Un’intelligenza artificiale che promette di trasformare un compito noioso in un capolavoro di efficienza. Sembra l’inizio di una storia di successo nell’era della produttività 4.0, ma per Samsung si è trasformato in un incubo digitale. La notizia, rimbalzata dalla Corea del Sud, è un monito che risuona potente anche in Italia: alcuni dipendenti, nel tentativo di ottimizzare il proprio lavoro, avrebbero consegnato i gioielli della corona aziendale – codice sorgente segreto, processi produttivi proprietari, verbali di riunioni strategiche – nelle mani di ChatGPT.
Questo incidente non è solo un aneddoto tecnologico ma un caso di studio che ci costringe a guardare in uno specchio legale, riflettendo un’immagine complessa e piena di insidie. Cosa sarebbe successo se quel click fatale fosse avvenuto in un ufficio a Catania, Roma o a Milano?
La risposta si dipana attraverso un labirinto di responsabilità incrociate, dove il lavoratore impreciso, l’azienda vittima e la legge stessa si trovano a danzare su un filo sottilissimo, sospeso sull’abisso della rivoluzione digitale.
Immaginiamo il dipendente italiano. Motivato, forse, dalla lodevole intenzione di migliorare la propria performance, decide di “chiedere aiuto” a un’IA generativa. Inserisce il codice sorgente di un software in sviluppo per una rapida correzione, o condivide dati di produzione per ottimizzare un processo. In quel momento, senza forse neppure rendersene conto, ha appena firmato una potenziale condanna lavorativa.
La sua condotta, nell’ordinamento italiano, rappresenta una violazione frontale e insanabile degli obblighi più sacri del rapporto di lavoro: la diligenza (art. 2104 c.c.) e, soprattutto, la fedeltà (art. 2105 c.c.). Quest’ultimo articolo non è un’astratta dichiarazione di intenti, ma un muro portante che vieta al lavoratore di divulgare notizie attinenti all’organizzazione e ai metodi di produzione, o di usarle in modo pregiudizievole per l’impresa.
La contrattazione collettiva, vera spina dorsale del diritto del lavoro italiano, rafforza questo principio con clausole sempre più specifiche, soprattutto nell’era del lavoro agile e della digitalizzazione. Molti CCNL, da quello del settore alimentare a quello della pelletteria, contengono articoli dedicati alla protezione dei dati e alla riservatezza, imponendo al lavoratore un dovere di segretezza sulle informazioni aziendali.
Una violazione di questa portata non è una semplice negligenza. È un atto che lacera il vincolo fiduciario, il tessuto connettivo invisibile ma essenziale di ogni rapporto di lavoro. La giurisprudenza è costante nel considerare la divulgazione di informazioni riservate una giusta causa di licenziamento, ovvero il recesso immediato e senza preavviso. Non valgono scuse come lo stress, la prostrazione psicologica o l’intento di “fare una cortesia”. La gravità della condotta, che espone l’azienda a un rischio competitivo esistenziale, sarebbe quasi certamente ritenuta tale da non consentire la prosecuzione, neppure per un giorno, del rapporto.
Oltre al profilo lavoristico, la condotta del dipendente apre un secondo fronte, quello della proprietà industriale. Il codice sorgente, i modelli di test per i semiconduttori, le strategie discusse in una riunione non sono semplici informazioni: sono segreti commerciali, il “know-how” che costituisce il vantaggio competitivo di un’azienda.
Il Codice della Proprietà Industriale (artt. 98 e 99) li protegge a tre condizioni: (i) che siano segreti, (ii) che abbiano un valore economico proprio perché segreti, e che (iii) l’azienda abbia adottato misure ragionevoli per mantenerli tali. Nel caso Samsung, questi requisiti sono palesemente soddisfatti. La divulgazione a un’entità esterna come OpenAI è un illecito civile che darebbe all’azienda il diritto di chiedere al dipendente un risarcimento per tutti i danni subiti.
Qui, però, la strada si fa in salita.
Come si quantifica il valore di un segreto perduto per sempre? Come si misura la perdita di competitività futura?
La giurisprudenza ammette il ricorso a criteri equitativi, ma l’onere della prova grava sull’azienda, che deve dimostrare non solo la sottrazione, ma anche le specifiche caratteristiche e il valore del know-how violato, un compito spesso arduo. Il danno c’è, è tangibile, ma trasformarlo in una cifra su un atto giudiziario è una sfida complessa.
Ed è qui che la trama si complica, assumendo i contorni di un paradosso kafkiano.
L’azienda, vittima della condotta infedele del suo dipendente, si troverebbe a sua volta esposta a gravissime responsabilità, questa volta ai sensi del GDPR (Regolamento UE 2016/679).
In qualità di Titolare del trattamento, l’azienda ha il dovere di proteggere i dati. L’incidente Samsung, visto con le lenti del Garante Privacy, rivelerebbe una potenziale catastrofe di compliance e nello specifico:
- violazione dell’accountability: il principio di responsabilizzazione (art. 5 GDPR) impone al titolare di dimostrare di aver adottato misure adeguate. la fuga di dati è la prova vivente di un fallimento in questo senso;
- carenza di privacy by design: il GDPR (art. 25) esige che la protezione dei dati sia integrata “fin dalla progettazione”. se un dipendente può copiare e incollare liberamente informazioni critiche in una chat esterna, significa che i sistemi aziendali non sono stati progettati per impedirlo. Molti CCNL ora spingono per l’adozione di policy basate sulla “security by design”, con crittografia e sistemi di autenticazione robusti;
- trasferimento illecito di dati extra-ue: i dati inseriti in chatgpt viaggiano verso server negli stati uniti. dopo la storica sentenza “schrems ii” della corte di giustizia UE, che ha invalidato il privacy shield, trasferire dati personali verso gli USA è un’operazione ad altissimo rischio che richiede garanzie ferree . Un trasferimento incontrollato da parte di un dipendente è una palese violazione del Capo V del GDPR.
Le conseguenze?
Sanzioni amministrative che possono arrivare fino al 4% del fatturato mondiale annuo dell’azienda. Un’ipoteca potenzialmente devastante, mitigabile forse dalla cooperazione con l’autorità, ma che lascia una macchia indelebile. A ciò si aggiunge il rischio di azioni di risarcimento da parte di terzi i cui dati fossero contenuti nelle informazioni trapelate, sebbene la giurisprudenza richieda la prova di un danno concreto e non di un mero pericolo astratto.
Come avrebbe potuto l’azienda scoprire la violazione? La risposta è una sola: attraverso i controlli informatici. Ed è qui che si spalanca la porta sull’articolo più dibattuto e cruciale del diritto del lavoro digitale italiano: l’articolo 4 dello Statuto dei Lavoratori, come riscritto dal Jobs Act (D.Lgs. 151/2015).
Questa norma è il campo di battaglia dove si scontrano due diritti fondamentali: la tutela del patrimonio aziendale e la privacy del lavoratore. L’art. 4 distingue tra strumenti usati per controllare a distanza l’attività (che richiedono un accordo sindacale o l’autorizzazione dell’Ispettorato) e “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (come PC e software), per i quali tale accordo non è necessario.
Per scoprire la fuga di dati, l’azienda avrebbe usato software di Data Loss Prevention (DLP) o analizzato i log di rete. Questi strumenti, essendo parte dell’infrastruttura di sicurezza, rientrerebbero verosimilmente nella seconda categoria. Ma il vero nodo gordiano è il comma 3:
“Le informazioni raccolte […] sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli…”
Questa è la chiave di volta. L’azienda può usare le prove raccolte per licenziare il dipendente solo e soltanto se lo ha preventivamente e dettagliatamente informato che esistono sistemi di monitoraggio, per quali finalità (es. sicurezza informatica) e con quali modalità. Questa informativa, resa ancora più stringente dal Decreto Trasparenza (D.Lgs. 104/2022) per i sistemi automatizzati, deve essere chiara, completa e accessibile.
Senza una policy aziendale impeccabile, trasparente e comunicata a tutti i dipendenti, le prove raccolte sarebbero inutilizzabili in un giudizio. Si creerebbe così il paradosso supremo: un dipendente colpevole di una gravissima violazione potrebbe vincere la causa di licenziamento, non perché innocente, ma perché il datore di lavoro, nel tentativo di proteggersi, ha violato le sue garanzie procedurali. L’azienda si troverebbe a camminare su una fune: da un lato il dovere di vigilare per proteggere i propri asset e rispettare il GDPR, dall’altro il rischio di trasformare questa vigilanza in un controllo illecito.
Uno sguardo al futuro e riflessioni finali.
Questo scenario non è fantascienza. Il legislatore italiano, consapevole del terremoto in atto, si sta già muovendo. La recentissima Legge sull’Intelligenza Artificiale (n. 132/2025) delega il Governo a disciplinare proprio questi aspetti. La legge stabilisce che l’IA deve migliorare le condizioni di lavoro nel rispetto della dignità e della privacy e, soprattutto, prevede una specifica regolamentazione della responsabilità civile per i danni causati da sistemi di IA, con un occhio di riguardo alla ripartizione dell’onere della prova. È il riconoscimento che le vecchie regole non bastano più e che serve un nuovo patto sociale digitale per il mondo del lavoro.
Il caso Samsung è molto più di una fuga di dati. È il racconto di un patto faustiano che ogni azienda e ogni lavoratore sta silenziosamente stringendo con la tecnologia. Ci insegna che la responsabilità è una catena che lega tutti gli anelli: il dipendente, con il suo dovere di lealtà; l’azienda, con il suo dovere di protezione e trasparenza; e il legislatore, con il suo dovere di creare regole al passo con un’innovazione che corre più veloce del diritto.
Per le aziende italiane, la lezione è chiara: l’adozione di strumenti di IA non può essere un atto di fede tecnologica, ma deve essere governata da una strategia giuridica proattiva. Policy chiare, formazione continua e, soprattutto, un dialogo onesto e trasparente con i lavoratori su quali controlli esistono e perché, non sono più un’opzione, ma l’unica polizza assicurativa contro il rischio di vedere il proprio patrimonio più prezioso svanire in una chat, e di scoprire, troppo tardi, di essere allo stesso tempo vittima e colpevole.
