Classificazione dei dati: Pubblico, Interno, Confidenziale e Riservato

Una guida pratica ai quattro livelli di sensibilità delle informazioni che dovrebbero determinare come i team archiviano, condividono e utilizzano i dati con strumenti AI.

10 min di lettura Aggiornato: aprile 2026

Perché la classificazione dei dati è importante

Non ogni informazione merita lo stesso livello di protezione. Un\n\t\tpost del blog pubblico, una nota di pianificazione interna, un contratto con un cliente e un\n\t\tsegreto di produzione non dovrebbero essere trattati allo stesso modo. Questo è lo scopo della\n\t\tclassificazione dei dati: etichettare le informazioni in base alla sensibilità e all'impatto aziendale affinché\n\t\tle persone sappiano come archiviare, condividere e proteggere i dati.

Non esiste uno schema di denominazione universale. Alcuni framework usano etichette come\n\t\t Public, General, Confidential, e Altamente Riservato. I modelli governativi possono usare etichette completamente diverse. I nomi possono\n\t\tcambiare, ma lo scopo resta lo stesso: comprendere quale danno potrebbe verificarsi se\n\t\tle informazioni venissero esposte, alterate, perse o inviate al pubblico sbagliato.

Regola semplice: la classificazione non è burocrazia fine a sé stessa.\n\t\tÈ uno strumento decisionale rapido per il lavoro quotidiano, specialmente prima di condividere file,\n\t\tusare chatbot AI o collegare app e agenti esterni.

Il modello a quattro livelli

Per molte organizzazioni del settore privato, un semplice modello a quattro livelli funziona bene perché\n\t\tè facile da insegnare e pratico da applicare:

  • Public
  • Internal
  • Confidential
  • Restricted

Questo modello non è l'unico valido, ma crea una scala chiara di\n\t\tsensibilità. Le persone non devono memorizzare dozzine di etichette. Hanno bisogno di un\n\t\tmodello operativo che possano effettivamente usare quando inviano un file, condividono una nota o\n\t\tdecidono se una chatbot dovrebbe vedere il contenuto.

1. Pubblico

Public le informazioni possono essere condivise all'esterno dell'organizzazione senza\n\t\tcausare un danno significativo alla riservatezza. Esempi spesso includono post di blog pubblici,\n\t\comunicati stampa, documentazione pubblicata, testi di marketing approvati e pagine prodotto visibili al pubblico.

Pubblico non significa non importante. Richiede comunque integrità e revisione. Ma\n\t\tdal punto di vista della riservatezza, questa è la classe a rischio più basso.

2. Interno

Internal le informazioni sono destinate all'uso normale all'interno dell'organizzazione.\n\t\tSe vengono divulgate, il danno è solitamente limitato, ma non sono comunque pensate per la distribuzione pubblica. Le politiche interne, note di riunione, materiale di onboarding, schermate destinate solo all'interno e la documentazione di progetto ordinaria rientrano spesso qui.

Qui molte squadre diventano negligenti. “Non molto sensibile” non significa\n\t\t“va bene condividere ovunque.” I dati interni appartengono ancora a sistemi approvati\n\t\te richiedono ancora qualche controllo di accesso.

3. Riservato

Confidential le informazioni potrebbero causare danni reali se esposte alle\n\t\tpersone sbagliate. Registri dei clienti, dati dei dipendenti, informazioni finanziarie non pubbliche, contratti,\n\t\tdocumenti legali, procedure di sicurezza interne, prezzi non pubblici e codice sorgente privato di solito appartengono a questa categoria.

Questo livello di solito richiede restrizioni di accesso più severe, migliori sistemi di auditing\n\t\te regole di condivisione più stringenti. Se la divulgazione potrebbe danneggiare clienti, dipendenti,\n\t\tobblighi legali, entrate o fiducia, probabilmente sei in territorio Riservato.

4. Ristretto

Restricted le informazioni sono la categoria a massima sensibilità in\n\t\tun tipico modello privato a quattro livelli. L'esposizione potrebbe causare gravi danni aziendali,\n\t\tlegali, finanziari, operativi o di sicurezza.

Esempi possono includere segreti di produzione, credenziali root, chiavi di cifratura,\n\t\tarchitettura di sicurezza altamente sensibile, materiale di fusione, segreti industriali e\n\t\ti set di dati regolamentati più sensibili. Queste sono informazioni a conoscenza necessaria con\n\t\tle misure di controllo più severe.

La classificazione riguarda l'impatto

Una delle abitudini più utili nella classificazione dei dati è smettere di chiedere,\n\t\t“Questo sembra sensibile?” e invece chiedere, “Cosa succede se questo viene\n\t\tesposto, alterato o inviato nel posto sbagliato?”

Un documento può sembrare noioso e comunque essere sensibile. Un foglio di calcolo con\n\t\temail dei clienti, una schermata con URL interni o un file di testo semplice con\n\t\tsegreti API potrebbe non sembrare drammatico, ma l'impatto dell'esposizione può essere elevato.\n\t\tIl contesto conta più dell'emozione.

Se sai già che il tuo rischio principale è la condivisione eccessiva nelle interfacce di chat, abbina\n\t\tquesto modello con Cosa non condividere mai con i chatbot AI in modo che l'etichetta di classificazione e gli esempi concreti si rafforzino a vicenda.

La classificazione deve guidare le regole di gestione

Un sistema di classificazione funziona solo se ogni etichetta cambia il comportamento. Le etichette\n\t\tsenza regole di gestione sono una decorazione.

Come minimo, ogni livello dovrebbe rispondere ad alcune domande pratiche:

  • Chi può accedervi?
  • Dove può essere archiviato?
  • Può essere inviato via email all'esterno?
  • Può essere copiato negli strumenti di AI?
  • Richiede crittografia, approvazione o monitoraggio?

Un modello operativo semplice potrebbe essere questo: Pubblico può essere condiviso\n\t\testernamente, Interno rimane negli spazi approvati dall'azienda, Riservato\n\t\trichiede accesso limitato e restrizioni di condivisione più forti, e Ristretto è\n\t\ttightly controllato con approvazione esplicita e aspettative di monitoraggio.

Come questo aiuta con gli strumenti di AI

Uno dei maggiori vantaggi pratici della classificazione dei dati è che\n\t\tgeneralmente offre alle persone un primo filtro decisionale prima che incollino qualcosa in una\n\t\tchatbot, lo carichino su un agente o lo espongano tramite un connettore.

  • Se i dati sono Public, condividerlo con uno strumento AI è di solito\n\t\t\tun rischio basso dal punto di vista della riservatezza.
  • Se i dati sono Internal, potrebbe comunque essere accettabile solo in\n\t\t\tambienti AI aziendali approvati, non automaticamente in strumenti personali o\n\t\t\trivolti al pubblico.
  • Se i dati sono Confidential, di solito non dovrebbero essere inseriti negli\n\t\t\tstrumenti di AI per consumatori per impostazione predefinita e potrebbero richiedere la redazione o un flusso di lavoro aziendale approvato.\n
  • Se i dati sono Restricted, l'ipotesi più sicura è che\n\t\t\tdovrebbero restare fuori dagli strumenti AI di uso generale a meno che non ci sia un processo strettamente\n\t\t\tcontrollato e esplicitamente approvato.

Se hai bisogno della parte di controllo della privacy di quella decisione, leggi Impostazioni privacy chat AI . Se la tua preoccupazione riguarda azioni esterne, strumenti o integrazioni, la guida di sicurezza su GPTs, agenti e connettori MCP aggiunge il lato del confine di fiducia alla panoramica.

Un modo pratico per classificare le informazioni

Quando non sai come classificare qualcosa, un breve test basato sull'impatto è\n\t\tdi solito sufficiente:

  1. È destinato al pubblico? Se sì, probabilmente è Pubblico.
  2. La divulgazione pubblica causerebbe poco o limitato danno? Se sì,\n\t\t\tpotrebbe essere Interno.
  3. L'esposizione danneggerebbe clienti, dipendenti, obblighi legali,\n\t\t\t\toprazioni o fiducia? Se sì, probabilmente è Riservato.
  4. L'esposizione creerebbe danni gravi o richiederebbe il massimo livello di protezione? Se sì, probabilmente è Ristretto.

Questo flusso non è perfetto, ma è molto meglio che indovinare. L'obiettivo principale\n\t\tè far sì che le persone si fermino prima di condividere informazioni nel sistema sbagliato.

Errori comuni

Un errore frequente è trattare tutte le informazioni non pubbliche come ugualmente\n\t\tsensibili. Un altro è l'uso eccessivo dell'etichetta più alta fino a farle perdere significato. Entrambi\n\t\tquesti problemi indeboliscono la classificazione.

Un terzo errore è dimenticare che il contesto modifica la sensibilità. Un\n\t\tapparente schermata innocua, una trascrizione o un foglio di calcolo possono diventare\n\t\tidentificativi una volta che includono nomi, timestamp, riferimenti interni o\n\t\tmetadati collegati.

Importante: se non conosci la classificazione, non presumere\n\t\tche la risposta più sicura sia “probabilmente va bene.” Fermati, classificala e poi decidi se\n\t\til flusso di lavoro è ancora appropriato.

Riferimenti ufficiali e letture ulteriori

Domande Frequenti

Esiste uno standard di classificazione universale per ogni azienda?

No. Organizzazioni diverse usano etichette e quadri giuridici differenti. Ciò che conta di più è che il modello sia chiaro, coerente e legato a regole pratiche di gestione.

Qual è il modello più semplice per l'uso quotidiano in azienda?

Per molte squadre, un modello a quattro livelli funziona bene: Pubblico, Interno, Riservato e Ristretto. È abbastanza semplice da ricordare e pratico per guidare decisioni reali.

Le informazioni interne possono essere incollate in strumenti di AI?

A volte, ma non automaticamente. I dati interni potrebbero comunque richiedere un ambiente AI aziendale approvato, con condivisione limitata o redazione prima di essere usati con una chatbot o uno strumento connesso.

Che tipi di dati sono solitamente Ristretti?

Segreti di produzione, credenziali root, chiavi di cifratura, materiale legale o strategico altamente sensibile e i set di dati regolamentati più delicati solitamente appartengono al livello di protezione più alto.

Perché la classificazione è utile prima di usare l'AI?

Perché fornisce un primo filtro decisionale. Se sai che il contenuto è Riservato o Ristrett o, puoi fermarti prima di incollarlo in una chatbot per consumatori e scegliere un flusso di lavoro più sicuro.

Qual è l'errore di classificazione più comune?

Trattare tutte le informazioni non pubbliche allo stesso modo. Alcuni materiali interni comportano basso rischio, mentre altre informazioni possono creare gravi danni alla privacy, legali o di sicurezza se esposte.