, ,

Garante Privacy 2026: 40+ ispezioni in università e cosa rischia chi usa ChatGPT in tesi

5 min di lettura

Garante Privacy 2026: 40+ ispezioni in università e cosa rischia chi usa ChatGPT in tesi

Con il provvedimento n. 797 del 30 dicembre 2025, il Garante per la Protezione dei Dati Personali italiano ha varato il piano ispettivo per il primo semestre 2026, con almeno quaranta accertamenti programmati che includono esplicitamente l’utilizzo dell’intelligenza artificiale in ambito scolastico e accademico. Per gli studenti italiani che usano strumenti come ChatGPT, Gemini o altre piattaforme IA per la redazione della tesi, questo sviluppo normativo impone una comprensione precisa di cosa sia consentito, cosa dichiarare e dove si trovano le reali aree di rischio.

Il contesto è mutato radicalmente rispetto a soli due anni fa. Dopo la sanzione da 15 milioni di euro inflitta a OpenAI (poi annullata dal Tribunale di Roma nel marzo 2026), il blocco temporaneo di ChatGPT in Italia nel 2023 e l’imminente piena applicazione dell’EU AI Act a partire dal 2 agosto 2026, il quadro normativo sull’uso dell’IA nelle università italiane ha raggiunto un livello di complessità che richiede attenzione. Questo articolo analizza ogni aspetto rilevante con riferimento diretto alle fonti normative.

In sintesi: Il Garante Privacy ha pianificato 40+ ispezioni nel 2026 sulle università e l’uso dell’AI. Il rischio diretto per lo studente singolo è prevalentemente disciplinare (non privacy), ma le istituzioni che usano strumenti IA non conformi al GDPR rischiano sanzioni amministrative fino al 4% del fatturato globale. Usare strumenti IA in modo trasparente, dichiarato e senza caricare dati sensibili di terzi rimane la strategia più sicura.

Il piano ispettivo 2026 del Garante: i 40 accertamenti

Il Garante per la Protezione dei Dati Personali ha definito il proprio programma ispettivo per il primo semestre 2026 attraverso il provvedimento n. 797 del 30 dicembre 2025. Il piano prevede almeno quaranta accertamenti ispettivi, condotti anche con il supporto della Guardia di Finanza, e si concentra su quattro aree prioritarie:

  • Data breach: verifica delle procedure di notifica e gestione delle violazioni dei dati
  • Whistleblowing: controllo dei sistemi di segnalazione interna negli enti pubblici
  • Telemarketing: contrasto alle chiamate commerciali non autorizzate
  • AI in ambito scolastico e accademico: questa è la novità rilevante per gli studenti universitari

Per quest’ultima categoria, le ispezioni verificheranno come le istituzioni — università comprese — trattano i dati personali di studenti, docenti e personale nell’ambito degli strumenti basati su intelligenza artificiale. Le modalità di ispezione includono sia accertamenti fisici presso le sedi degli atenei, sia controlli da remoto tramite analisi dei siti web istituzionali e delle piattaforme digitali adottate.

Le ispezioni non si limitano a controlli documentali formali: riguardano l’intero ciclo di vita dei dati personali, dalla raccolta all’archiviazione fino alla cancellazione. Un ateneo che abbia adottato un sistema IA per la valutazione delle tesi, il rilevamento del plagio o il supporto didattico senza un’adeguata base giuridica GDPR e senza aver condotto una DPIA (Data Protection Impact Assessment) dove richiesta, si espone a una procedura ispettiva.

Fonte: Federprivacy — Piano ispezioni Garante Privacy primo semestre 2026

Il caso OpenAI/ChatGPT: sanzione, ricorso e conseguenze

La vicenda OpenAI/Garante Privacy è diventata il caso-pilota europeo sull’applicazione del GDPR ai modelli linguistici di grandi dimensioni. Ripercorriamo le tappe principali e le loro implicazioni per il mondo accademico.

Marzo 2023 — il blocco temporaneo

Il Garante italiano dispone il blocco temporaneo di ChatGPT in Italia per mancanza di base giuridica nel trattamento dei dati degli utenti. È il primo provvedimento di questo tipo in Europa. OpenAI risponde implementando una serie di misure richieste dall’Autorità.

Gennaio 2024 — chiusura dell’istruttoria

Il Garante chiude l’istruttoria nei confronti di OpenAI e irroga una sanzione di 15 milioni di euro, contestando: raccolta illecita dei dati personali degli utenti per addestrare il modello; violazione del principio di trasparenza; mancanza di strumenti adeguati per la verifica dell’età dei minori; assenza di una base giuridica per alcune tipologie di trattamento.

OpenAI è tenuta a condurre una campagna informativa di sei mesi rivolta agli utenti italiani.

Marzo 2026 — il Tribunale di Roma annulla la sanzione

Il Tribunale di Roma annulla la sanzione amministrativa da 15 milioni inflitta dal Garante a OpenAI. L’annullamento riguarda la misura pecuniaria, ma non rimette in discussione la legittimità delle misure correttive precedentemente adottate né i principi di tutela della privacy applicabili all’IA generativa.

Fonte: Garante Privacy — Comunicato stampa chiusura istruttoria OpenAI

Implicazioni per gli studenti

La vicenda OpenAI ha un effetto pratico immediato: i servizi IA di uso comune negli atenei italiani sono ora soggetti a una scrutiny regolatoria stabile. Questo non significa che usare ChatGPT per la tesi sia illegale — significa che il modo in cui si usano questi strumenti può avere implicazioni sul rispetto della normativa privacy, specialmente quando si trattano dati di terzi.

GDPR e tesi: dove si trovano i rischi reali per lo studente

Il GDPR (Regolamento (UE) 2016/679) si applica al trattamento di dati personali identificabili. Nella scrittura della tesi universitaria, le situazioni in cui il GDPR diventa rilevante per lo studente sono specifiche e delimitate.

Scenari ad alto rischio privacy

1. Tesi con dati di intervistati o partecipanti a ricerche
Se la tesi include dati raccolti tramite questionari, interviste o osservazioni, il ricercatore è qualificato come titolare o responsabile del trattamento. Caricare questi dati su una piattaforma IA come ChatGPT senza consenso esplicito degli interessati e senza una base giuridica adeguata costituisce una violazione del GDPR. Per approfondire il quadro normativo specifico, il nostro articolo su GDPR e tesi con dati sensibili analizza le decisioni del Garante in dettaglio.

2. Tesi con dati sanitari, giudiziari o appartenenti a categorie particolari
L’articolo 9 del GDPR impone condizioni speciali per il trattamento di dati sensibili (salute, origine etnica, opinioni politiche, ecc.). Inserire queste informazioni in un prompt di uno strumento IA commerciale potrebbe configurare un trasferimento non autorizzato a un responsabile del trattamento senza adeguate garanzie contrattuali.

3. Uso di strumenti IA non certificati su piattaforme istituzionali
Se l’ateneo fornisce una piattaforma istituzionale per la gestione della tesi, l’uso di strumenti IA esterni non autorizzati dalla DPO (Data Protection Officer) dell’ateneo potrebbe violare le policy interne.

Scenari a rischio basso o nullo

Usare ChatGPT o uno strumento IA per:

  • Migliorare lo stile di un paragrafo che non contiene dati personali
  • Tradurre un testo scientifico in lingua straniera
  • Generare una struttura di capitolo da un prompt generico
  • Verificare la coerenza logica di un’argomentazione teorica

…non comporta rischi privacy significativi, a condizione che non vengano inseriti dati personali identificabili di terzi.

EU AI Act e università: cosa cambia dal 2 agosto 2026

Il Regolamento (UE) 2024/1689 — EU AI Act — entrerà progressivamente in vigore nel corso del 2026. La data del 2 agosto 2026 segna l’applicazione degli obblighi per i sistemi IA ad alto rischio e dei requisiti di trasparenza per i modelli IA di uso generale (GPAI). Per una lettura ateneo per ateneo del quadro applicativo, consulta la nostra mappa degli obblighi EU AI Act ateneo per ateneo.

Cronologia di implementazione dell'EU AI Act 2024-2027: date chiave di entrata in vigore delle diverse disposizioni del Regolamento europeo sull'intelligenza artificiale
Source: EU AI Act — Implementation Timeline

Per le università italiane, le implicazioni più dirette riguardano:

Sistemi IA ad alto rischio in ambito educativo

L’allegato III dell’EU AI Act include esplicitamente tra i sistemi ad alto rischio i sistemi IA utilizzati per determinare l’accesso all’istruzione, valutare le prestazioni degli studenti o monitorarne il comportamento. Un software antiplagio con componente IA, un sistema di valutazione automatica delle tesi o una piattaforma di ammissione algoritmica rientrano potenzialmente in questa categoria e sono soggetti agli obblighi più stringenti del Regolamento.

Requisiti di trasparenza per i modelli GPAI

I fornitori di modelli GPAI (come GPT-4o, Gemini, Claude) sono tenuti a rispettare obblighi di trasparenza e documentazione tecnica. Dal punto di vista dello studente, questo significa che i modelli usati per supportare la scrittura della tesi saranno sottoposti a un framework normativo più definito rispetto al passato.

Obblighi per gli atenei

Gli atenei che implementano sistemi IA nelle proprie procedure — dalla valutazione delle domande di ammissione alla rilevazione del plagio con IA — devono predisporre una valutazione della conformità prima della messa in uso. La mancata conformità all’EU AI Act potrà comportare sanzioni fino a 35 milioni di euro o al 7% del fatturato globale annuo.

Fonte: EUR-Lex — Regolamento (UE) 2024/1689 — EU AI Act

Dichiarazione di uso dell’IA in tesi: cosa richiedono gli atenei italiani

A partire dal 2023-2024, la quasi totalità degli atenei italiani ha aggiornato i propri regolamenti sull’uso dell’IA nelle tesi di laurea. La CRUI (Conferenza dei Rettori delle Università Italiane) ha prodotto linee guida che raccomandano la dichiarazione esplicita dell’uso di strumenti IA generativa.

Le forme più comuni di obbligo dichiarativo includono:

  • Dichiarazione in frontespizio o appendice: molti atenei richiedono che lo studente inserisca una nota specifica che indichi quali strumenti IA sono stati usati, per quali sezioni e con quale grado di intervento
  • Dichiarazione giurata all’atto della presentazione della domanda di laurea: alcuni atenei richiedono che lo studente dichiari di aver rispettato il regolamento sull’uso dell’IA
  • Verifica con software antiplagio con rilevamento IA: strumenti come Turnitin con funzionalità IA detection sono già in uso in diversi atenei italiani

L’omissione intenzionale dell’uso di strumenti IA, quando il regolamento dell’ateneo la richiede, è equiparata da molti codici disciplinari a una forma di frode accademica. Il rischio non è solo il voto ma l’intera validità dell’elaborato.

Checklist: come usare l’IA nella tesi in modo conforme

Prima di usare uno strumento IA per la tesi

  • Verifica il regolamento del tuo ateneo sull’uso dell’IA (cerca “intelligenza artificiale” nel regolamento tesi)
  • Controlla se il tuo relatore ha indicazioni specifiche sull’uso di strumenti generativi
  • Verifica se il provider IA che intendi usare ha un Data Processing Agreement (DPA) conforme al GDPR

Durante l’uso

  • Non inserire mai dati personali di intervistati, partecipanti a ricerche o soggetti terzi nei prompt
  • Non caricare documenti riservati, cartelle cliniche, atti giudiziari o file con dati sensibili
  • Documenta quali prompt hai usato e per quali sezioni — sarà utile per la dichiarazione finale
  • Mantieni la paternità intellettuale: usa l’IA per migliorare, non per sostituire il tuo ragionamento

Al momento della presentazione

  • Inserisci la dichiarazione d’uso dell’IA nella forma richiesta dal tuo ateneo (frontespizio, appendice o modulo separato)
  • Specifica il nome degli strumenti usati (es. “ChatGPT-4o”, “Tesify”) e il tipo di utilizzo (revisione stilistica, ricerca bibliografica, strutturazione)
  • Firma la dichiarazione di originalità se richiesta

Sanzioni disciplinari per uso non dichiarato dell’IA

Il rischio principale per lo studente non è il Garante Privacy ma la commissione disciplinare dell’ateneo. I regolamenti italiani hanno progressivamente equiparato l’uso non dichiarato dell’IA generativa per la produzione di elaborati accademici alle forme tradizionali di frode accademica.

Le sanzioni tipicamente previste nei regolamenti aggiornati includono:

Violazione Sanzione tipica
Uso non dichiarato di IA in sezioni secondarie Richiesta di revisione dell’elaborato, riduzione voto
Uso non dichiarato di IA in parti sostanziali Annullamento della sessione di laurea, obbligo di ripresentazione
Ghostwriting completo (tesi generata da IA o da terzi) Sospensione, in casi gravi espulsione dall’ateneo
Revoca del titolo post-laurea per frode accertata Revoca del diploma con conseguenze su carriera professionale

La distinzione cruciale che emerge dai regolamenti più recenti è tra uso assistito dichiarato e delega totale non dichiarata. Il primo è tendenzialmente ammesso con le opportune dichiarazioni; il secondo è considerato frode accademica indipendentemente dalla qualità del testo prodotto.

Il tema della conformità GDPR nelle tesi è approfondito nel nostro articolo su GDPR e tesi con dati sensibili 2026, con analisi delle decisioni specifiche del Garante italiano.

Risorse internazionali

Il dibattito su privacy, IA e ricerca accademica è in corso anche negli altri paesi europei. Per uno sguardo comparato, leggi come affrontano la privacy dei dati nella tesi tra GDPR e AI Act 2026 in Spagna, quali sono i limiti etici e percentuali permesse di IA nelle tesi accademiche in Portogallo e la checklist di conformità GDPR per i dati di ricerca accademica proposta nel contesto francese.

Domande frequenti

Il Garante Privacy può sanzionare uno studente che usa ChatGPT per la tesi?

Il Garante Privacy sanziona i titolari del trattamento dei dati, non i singoli individui nell’uso personale degli strumenti. Tuttavia, se uno studente inserisce dati personali di terzi (intervistati, pazienti, soggetti di ricerca) in un sistema IA senza base giuridica adeguata, può configurarsi una violazione. Il rischio principale per il singolo studente rimane comunque disciplinare, non sanzionatorio privacy.

Cosa ha deciso il Garante Privacy su ChatGPT in Italia?

Il Garante Privacy italiano ha irrogato a OpenAI una sanzione da 15 milioni di euro per violazioni del GDPR. Il Tribunale di Roma ha annullato la sanzione amministrativa nel marzo 2026, ma i principi che hanno guidato il provvedimento — trasparenza, base giuridica adeguata, protezione dei minori — rimangono vincolanti per i fornitori di strumenti IA operativi in Italia.

Le ispezioni del Garante Privacy riguardano anche le università?

Sì. Il piano ispettivo 2026 del Garante (provvedimento n. 797 del 30 dicembre 2025) include esplicitamente l’uso dell’AI in ambito scolastico e accademico tra le aree prioritarie. Le ispezioni verificano come gli atenei trattano i dati personali di studenti e docenti nell’adozione di strumenti basati su IA.

Cosa deve dichiarare uno studente che usa l’IA nella tesi?

La maggior parte degli atenei italiani richiede una dichiarazione esplicita sull’uso dell’IA nella tesi, specificando quali strumenti sono stati usati, per quali parti del lavoro e in quale misura. Il CRUI raccomanda questa prassi nelle proprie linee guida. L’omissione può essere considerata violazione dell’integrità accademica.

L’EU AI Act cambia qualcosa per le tesi dal 2 agosto 2026?

Dal 2 agosto 2026 gli atenei che usano sistemi IA per valutare tesi, rilevare il plagio o gestire ammissioni devono essere conformi agli obblighi EU AI Act per i sistemi ad alto rischio. Per lo studente l’impatto diretto è indiretto: i software antiplagio IA usati dal tuo ateneo saranno soggetti a requisiti di trasparenza e documentazione più stringenti.

Come si usa ChatGPT per la tesi in modo conforme al GDPR?

Per usare ChatGPT in modo conforme al GDPR nella tesi: non inserire mai dati personali di terzi (nomi di intervistati, dati di ricerca sensibili); non caricare file con informazioni riservate; verifica se il tuo ateneo ha indicazioni specifiche sulle piattaforme IA autorizzate; dichiara l’uso dell’IA nell’elaborato finale nella forma richiesta dal regolamento del tuo corso.