Home / Blog / Come usare l’AI nel marketing rispettando privacy e regole

AI

Come usare l’AI nel marketing rispettando privacy e regole

Usi ChatGPT per scrivere le email ai clienti, Midjourney per generare le creatività delle campagne, un tool di lead scoring che ti consiglia chi chiamare per primo. Funziona, costa poco, ti fa risparmiare ore. La domanda che pochi ti pongono è un’altra: quei dati che dai in pasto ai modelli, quei testi che pubblichi, quelle…

Simone CoglitoreFondatore · Mocart Studio
5 min lettura3 Giugno 2026
Illustrazione concettuale su marketing etico e AI responsabile: privacy, equità e trasparenza dei dati

Usi ChatGPT per scrivere le email ai clienti, Midjourney per generare le creatività delle campagne, un tool di lead scoring che ti consiglia chi chiamare per primo. Funziona, costa poco, ti fa risparmiare ore. La domanda che pochi ti pongono è un’altra: quei dati che dai in pasto ai modelli, quei testi che pubblichi, quelle decisioni automatizzate che prendi sui contatti, sei in regola? E se domani il Garante Privacy ti chiede conto, hai qualcosa da mostrare?

Da agosto 2026 l’AI Act europeo è pienamente operativo nelle sue parti che toccano il marketing. Il GDPR c’è da otto anni e si applica eccome anche quando il dato passa da un modello generativo. Eppure la maggior parte delle PMI italiane che usa l’AI nel marketing non ha fatto nemmeno il primo passo di verifica. Questo articolo serve a fare quel passo.

I tre rischi reali che corri usando l’AI nel marketing

Prima di parlare di adempimenti, voglio mostrarti cosa può succedere concretamente. Non scenari distopici: cose già accadute a PMI europee negli ultimi diciotto mesi.

Rischio privacy. Incolli nel prompt di ChatGPT la lista clienti per farti scrivere un’email personalizzata. Quei dati, se non hai un piano enterprise con clausole specifiche, possono finire nell’addestramento del modello o essere trattati su server fuori UE senza le garanzie richieste dal GDPR. Sanzione potenziale: fino al 4% del fatturato annuo. Per una PMI da 2 milioni significa fino a 80.000 euro.

Rischio bias. Usi un sistema di lead scoring che ti dice chi è più “probabile” che converta. Il sistema, allenato su dati storici, esclude sistematicamente i contatti femminili dal settore tecnico o quelli con codici postali di periferia. Tu non lo sai, perché la scatola è nera. Il risultato è una discriminazione algoritmica che oltre a essere illegale ti fa perdere clienti reali.

Rischio trasparenza. Pubblichi articoli, post social, recensioni-risposta generati interamente da AI senza dirlo. L’AI Act lo classifica come pratica scorretta in diversi contesti. Il cliente che scopre che la “risposta personale” del titolare era un output di ChatGPT perde fiducia, e la perde in modo difficile da recuperare.

Questi tre rischi si gestiscono. Non servono studi legali da 5.000 euro al mese, ma servono accorgimenti precisi. Vediamoli uno per uno.

Privacy e GDPR quando usi l’AI: gli adempimenti che spesso saltano

Il GDPR non ha una sezione “intelligenza artificiale”, ma si applica ogni volta che dati personali passano attraverso un sistema AI. Tradotto operativamente per una PMI che usa l’AI nel marketing, significa cinque cose concrete.

  1. Mappare i flussi di dati verso i tool AI. Apri un foglio e scrivi: quale strumento uso (ChatGPT, Claude, Gemini, Copilot, un tool di lead scoring, un CRM con AI integrata), quali dati personali ci entrano (nomi, email, comportamenti d’acquisto, dati di navigazione), con quale base giuridica li tratto, dove sono i server. Senza questa mappa non puoi fare nient’altro.
  2. Aggiornare l’informativa privacy. Se usi strumenti AI per trattare dati personali, deve comparire nell’informativa: quali strumenti, quali finalità, eventuali trasferimenti extra-UE, diritto di opporsi. La versione “usiamo i tuoi dati per finalità di marketing” non basta più.
  3. Valutare se serve la DPIA. La valutazione d’impatto sulla protezione dei dati è obbligatoria quando il trattamento presenta rischi elevati. Profilazione automatizzata su larga scala, decisioni che producono effetti significativi sulle persone (es. esclusione da un’offerta), monitoraggio sistematico: sono tutti casi in cui la DPIA va fatta. Per molti tool di lead scoring o segmentazione AI, va fatta.
  4. Verificare il fornitore. Il tool che usi è responsabile del trattamento ai sensi dell’art. 28 GDPR. Devi avere un Data Processing Agreement firmato. OpenAI, Anthropic, Google hanno DPA standard scaricabili dai pannelli enterprise. Se usi il piano consumer di ChatGPT per dati aziendali, formalmente sei fuori.
  5. Gestire il diritto di opposizione e cancellazione. Se un cliente ti chiede di essere cancellato, devi poterlo fare anche dai sistemi AI dove i suoi dati sono stati processati. Per i modelli generativi che non conservano i dati post-sessione il problema non si pone; per i sistemi che memorizzano (es. CRM con embedding), sì.

Su questo tema ho scritto in modo più tecnico nell’articolo su come integrare l’AI in azienda, dove entro nel merito dei piani enterprise e delle configurazioni di compliance.

Il bias algoritmico: come accorgersi che il tuo sistema discrimina

Il bias non è un problema astratto da paper accademici. È quello che succede quando un sistema, allenato su dati che riflettono squilibri reali o storici, prende decisioni che penalizzano sistematicamente alcune categorie. Nel marketing succede in tre punti precisi.

Targeting pubblicitario. Le piattaforme ADV ottimizzano sulla base di chi converte. Se nelle prime settimane convertono soprattutto uomini 35-50 di centro città, l’algoritmo continuerà a mostrare l’annuncio a quel pubblico, escludendo il resto. Risultato: non testi mai il pubblico potenziale, e in alcuni settori (lavoro, credito, abitazione) questo è giuridicamente discriminatorio.

Lead scoring e segmentazione. I tool che classificano i contatti per probabilità di conversione lo fanno su pattern. Se i pattern incorporano variabili proxy di genere, etnia, reddito, il sistema riproduce e amplifica quelle discriminazioni. Tu vedi solo “lead caldo / lead freddo”, ma sotto c’è una scelta.

Contenuti generati. I modelli generativi riflettono i bias dei dati di addestramento. Chiedi a un’AI di generare l’immagine di “un imprenditore di successo” e nel 90% dei casi otterrai un uomo bianco in giacca. Se questi output vanno nelle tue creatività senza filtro, stai consolidando stereotipi nella tua comunicazione.

I controlli pratici da fare sono tre. Primo: chiedi al fornitore del tool una documentazione sui dati di training e sulle metriche di fairness, se non ce l’ha è già un segnale. Secondo: testa il sistema con input di gruppi diversi e confronta gli output (un audit semplice si fa in poche ore). Terzo: rivedi periodicamente le creatività e le segmentazioni per individuare pattern sospetti.

Il punto su cosa l’AI può e non può fare in modo affidabile l’ho approfondito parlando di marketing predittivo e suoi limiti reali.

Trasparenza: cosa devi dichiarare e come

L’AI Act introduce obblighi di trasparenza specifici. Per una PMI che fa marketing, tre obblighi pesano più degli altri.

I contenuti generati o significativamente modificati da AI devono essere identificabili come tali. La norma è chiara per i contenuti che rischiano di trarre in inganno (deepfake, testi pubblicati come opinioni di terzi). È più sfumata per i contenuti di marketing ordinari, ma la direzione è una sola: il pubblico ha diritto di sapere quando interagisce con un output AI.

I chatbot e assistenti virtuali devono dichiarare di non essere umani. Se hai un chatbot sul sito che risponde ai clienti, la prima riga del messaggio deve chiarire che è un assistente automatico. Vale anche se “sembra umano”, anzi soprattutto in quel caso. Su questo aspetto ho scritto un’analisi pratica su quando ha senso automatizzare il customer service con l’AI.

Le decisioni automatizzate che producono effetti significativi sulle persone devono essere comunicate e devono prevedere intervento umano. Se un sistema decide automaticamente chi riceve uno sconto, chi viene contattato dal commerciale, chi vede una certa offerta, e questa decisione ha un peso, il cliente ha diritto di saperlo e di chiedere revisione.

Tradotto in pratica: aggiungi una sezione “Uso dell’intelligenza artificiale” nella tua privacy policy o in una pagina dedicata. Spiega in linguaggio semplice cosa usi, per cosa, e come l’utente può chiedere chiarimenti. Non è solo compliance: è quel tipo di trasparenza che, nel 2026, inizia a essere un fattore di scelta per il cliente informato.

La checklist operativa: 12 punti da verificare entro il prossimo trimestre

Mi sono accorto che tradurre il tema in “leggi questo, leggi quello” non porta a fare niente. Preferisco una checklist concreta. Dodici punti che, se chiudi entro tre mesi, ti mettono in una posizione difendibile su privacy, bias e trasparenza nell’uso dell’AI nel marketing.

  • Inventario tool AI in uso. Elenco di ogni strumento AI che tocca dati di clienti o prospect, anche quelli “scoperti” usati da singoli collaboratori.
  • Piano enterprise sui tool principali. Passare ai piani business/enterprise di ChatGPT, Claude, Copilot dove i dati non vengono usati per training e c’è un DPA.
  • Mappa dei flussi di dati personali. Per ogni tool: quali dati entrano, quale base giuridica, dove sono i server, retention.
  • Aggiornamento informativa privacy. Sezione dedicata all’uso dell’AI, in linguaggio comprensibile.
  • DPA con i fornitori. Scaricare e archiviare i Data Processing Agreement di OpenAI, Anthropic, Google, Microsoft e degli altri tool usati.
  • DPIA dove necessaria. Valutazione d’impatto per profilazione, scoring automatizzato, decisioni con effetti significativi.
  • Linee guida interne sull’uso dell’AI. Un documento di una pagina che dica al team cosa si può incollare nei prompt e cosa no.
  • Audit bias sui sistemi di scoring/targeting. Test con input diversificati, almeno una volta a trimestre.
  • Etichettatura contenuti generati da AI. Regola interna su quando e come dichiarare l’uso dell’AI nei contenuti pubblicati.
  • Disclaimer chatbot. Frase iniziale che dichiara la natura automatica dell’assistente.
  • Procedura per richieste GDPR. Chi risponde, in quanti giorni, come si cancellano i dati anche dai sistemi AI.
  • Formazione team. Almeno una sessione l’anno con chi usa l’AI nel quotidiano, anche solo di un’ora.

Questi dodici punti non richiedono uno studio legale. Richiedono ordine. La maggior parte delle PMI che ho visto partire da zero ci arriva in due-tre mesi di lavoro distribuito, con un investimento di tempo interno e un paio di consulenze mirate.

Cosa cambia con l’AI Act nel 2026

L’AI Act europeo è entrato in vigore ad agosto 2024 con applicazione progressiva. Le parti rilevanti per il marketing (obblighi di trasparenza sui sistemi a rischio limitato, divieti su pratiche manipolative, requisiti per i sistemi ad alto rischio) sono pienamente operative da agosto 2026.

Per una PMI che fa marketing, le implicazioni concrete sono tre. Le pratiche manipolative basate su AI sono vietate: tecniche subliminali, sfruttamento di vulnerabilità (età, disabilità, situazione economica) per indurre comportamenti dannosi. Sembrano cose lontane dal marketing ordinario, ma certi pattern di personalizzazione spinta su utenti fragili possono ricaderci.

I sistemi ad alto rischio includono quelli usati per valutazione del credito, accesso al lavoro, servizi essenziali. Se nel tuo marketing usi sistemi che incidono su queste aree (es. pre-screening candidati con AI, valutazione clienti per dilazioni di pagamento), sei in territorio ad alto rischio e gli obblighi sono significativi.

Gli obblighi di trasparenza per i sistemi a rischio limitato sono quelli che toccano la maggior parte delle PMI: chatbot, contenuti generati, sistemi di riconoscimento emozionale. Qui basta dichiarare. Non è oneroso, ma va fatto.

La buona notizia è che le sanzioni più pesanti (fino al 7% del fatturato) sono riservate alle violazioni dei divieti assoluti, che difficilmente una PMI normale commette. Le sanzioni per violazioni di trasparenza sono inferiori, ma il danno reputazionale di un richiamo pubblico del Garante o dell’AGCM, per una PMI che vive di fiducia, vale molto di più della multa.

Domande frequenti

Posso continuare a usare ChatGPT con il piano consumer per il marketing della mia azienda?

Tecnicamente sì, finché non ci metti dati personali di clienti o prospect. Nel momento in cui incolli email, nomi, dati comportamentali, sei fuori dal GDPR perché manca un DPA e i dati possono essere usati per addestramento. La soluzione pratica è passare al piano Team o Enterprise: costa qualche decina di euro al mese per utente e risolve il problema alla radice. Per una PMI che usa intensivamente l’AI nel marketing, è un investimento non discutibile.

Devo dichiarare che un articolo del blog è stato scritto con l’AI?

L’AI Act non lo impone esplicitamente per i contenuti di marketing ordinari. Lo impone per i contenuti che potrebbero ingannare (deepfake, testi attribuiti a terzi). La mia posizione operativa è: se l’articolo è stato scritto interamente da AI senza revisione umana sostanziale, una nota di trasparenza serve. Se è stato scritto da una persona usando l’AI come assistente, non serve dichiararlo, come non dichiari di aver usato Word o un correttore grammaticale. Il discrimine è la responsabilità editoriale umana reale.

Quanto costa mettersi in regola su privacy e AI per una PMI?

Dipende dal punto di partenza, ma per una PMI di medie dimensioni che parte da zero, un percorso strutturato di compliance su AI nel marketing costa tra 3.000 e 8.000 euro di consulenza esterna, più il tempo interno per implementare. La parte più consistente è l’aggiornamento della documentazione (informativa, DPIA, linee guida) e il setup dei contratti con i fornitori. È molto meno della sanzione minima per una violazione GDPR di una certa gravità.

Il bias nei tool AI è davvero un problema concreto per una piccola azienda?

Sì, in due modi. Primo: anche una piccola azienda risponde delle decisioni automatizzate che prende, e una segmentazione discriminatoria può costare cara. Secondo, più pratico: il bias ti fa perdere mercato reale. Se il tuo sistema di lead scoring esclude sistematicamente certi segmenti di pubblico, tu non li lavori, e quelli vanno alla concorrenza. Quindi non è solo etica, è performance commerciale.

Da dove inizio se non ho fatto ancora nulla?

Dall’inventario. Apri un foglio e scrivi tutti i tool AI usati in azienda, anche quelli “non ufficiali” che i collaboratori usano nel quotidiano. Spesso emergono sorprese. Una volta che hai la mappa, sai dove sono i rischi e puoi prioritizzare. Il secondo passo è il piano enterprise sui tool principali: è l’azione che chiude il rischio più grande con lo sforzo minore. Da lì, segui la checklist dei dodici punti.

Il prossimo passo concreto

Se hai letto fino a qui e ti sei accorto di essere indietro su uno o più dei dodici punti della checklist, il prossimo passo è uno solo: fai l’inventario dei tool AI in uso nella tua azienda questa settimana. Trenta minuti, un foglio di calcolo, una colonna per lo strumento e una per “tocca dati personali sì/no”. È la base da cui costruire tutto il resto.

Su privacy, tracciamento e adempimenti collegati ho approfondito altri aspetti operativi, dal setup delle automazioni AI in produzione ai temi di consenso e cookie. La compliance non è un progetto da chiudere, è un processo che si tiene aggiornato, ma il primo controllo si fa adesso, non al prossimo audit.

Newsletter

Un'email ogni due settimane.

Articoli nuovi, case study, strumenti testati. Niente spam — se non ti piace, un click e ti cancelli.

Hai un progetto simile?

Parliamone 30 minuti.
Zero impegno.

Scrivimi cosa vuoi ottenere. Se posso farlo bene ti rispondo in giornata — altrimenti ti indirizzo a chi lo fa meglio di me.