Alessandro FerrariIl 24 aprile 2026 — ieri — DeepSeek ha rilasciato i modelli open-weight V4 Pro e V4 Flash su Hugging Face, con prestazioni competitive rispetto a Claude Opus e Gemini 3.1-Pro su coding e ragionamento matematico. In Italia, però, il Garante per la Protezione dei Dati Personali mantiene il blocco d'emergenza del servizio in cloud disposto il 30 gennaio 2025. E il fatto che i modelli siano ora scaricabili liberamente apre un nuovo capitolo di rischi GDPR per le aziende italiane che decidono di adottarli.
Cosa è DeepSeek V4 e perché è tornato in tendenza
DeepSeek V4 Pro è composto da 1.600 miliardi di parametri totali (49 miliardi attivi simultaneamente) e supporta contesti da 1 milione di token. Il costo API è fissato a 0,28 dollari per milione di token in ingresso — una delle offerte più economiche del mercato. DeepSeek V4 Flash, la versione più leggera, conta 284 miliardi di parametri totali e 13 miliardi attivi.
Entrambi i modelli sono distribuiti con licenza MIT: chiunque può scaricarli, modificarli e deployarli localmente senza pagare nulla a DeepSeek. Questa è la novità sostanziale rispetto al servizio in cloud bloccato dal Garante: i modelli open-weight vivono sui server di chi li scarica, non sui server cinesi di Hangzhou o Pechino.
Il blocco del Garante Privacy: cosa è successo e cosa vale ancora
Il 30 gennaio 2025, il Garante per la Protezione dei Dati Personali italiano ha disposto, in via d'urgenza e con effetto immediato, la limitazione del trattamento dei dati degli utenti italiani da parte delle società cinesi Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence.
Il provvedimento è arrivato dopo che le due aziende avevano risposto in modo «assolutamente insufficiente e inadeguato» alle richieste di chiarimento del Garante su quali dati personali venissero raccolti, dove fossero conservati, e su quale base giuridica venisse effettuato il trattamento. DeepSeek aveva dichiarato di «non operare in Italia» e di non essere soggetta alla normativa europea — una posizione che il Garante ha ritenuto in contraddizione con l'evidenza raccolta.
A febbraio 2026 un'analisi IAPP (International Association of Privacy Professionals) ha confermato che la Cina non dispone di una decisione di adeguatezza europea ai sensi del GDPR, il che significa che qualsiasi trasferimento di dati verso server cinesi è privo della base legale richiesta dall'articolo 46 del Regolamento.
Il testo completo del provvedimento di blocco è consultabile direttamente sul sito del Garante Privacy.
I 3 rischi GDPR che le aziende italiane non possono ignorare
Il blocco del servizio cloud non tocca i modelli open-weight. Ma questo non significa che le aziende che li scaricano siano esenti da obblighi GDPR. I rischi concreti sono tre.
Rischio 1: responsabilità per trattamento dei dati personali degli utenti. Se un'azienda italiana deploya DeepSeek V4 su propri server e i dipendenti o clienti interagiscono con il sistema inserendo dati personali — nomi, email, informazioni mediche, dati contrattuali — l'azienda diventa titolare del trattamento. Qualsiasi violazione della sicurezza che esponga quei dati comporta la notifica obbligatoria al Garante entro 72 ore, ai sensi dell'articolo 33 del GDPR, e potenziali sanzioni fino a 20 milioni di euro o al 4% del fatturato globale.
Rischio 2: mancanza di DPIA (Data Protection Impact Assessment). Per qualsiasi sistema di intelligenza artificiale che elabora dati personali su larga scala, il GDPR richiede una valutazione d'impatto preliminare. Molte aziende che integrano modelli AI open-weight nei propri flussi di lavoro saltano questo passaggio, esponendosi a contestazioni formali durante i controlli dell'Ispettorato.
Rischio 3: training data e diritto all'oblio. I modelli large language model come DeepSeek sono stati addestrati su enormi corpora di testo. Se nelle fasi di fine-tuning aziendale vengono utilizzati dati di clienti o dipendenti, si apre la questione della cancellazione: il GDPR prevede il diritto all'oblio, ma cancellare dati da un modello addestrato è tecnicamente complesso e non ancora standardizzato nelle procedure di compliance.
Per capire come le aziende italiane stanno affrontando rischi analoghi con altri strumenti AI, è utile questo approfondimento: Palantir e il GDPR: cosa rischia la tua azienda se usa software AI americano.
Il deployment «air-gapped» è davvero sicuro?
La risposta è: dipende da come viene implementato. Un deployment completamente isolato dalla rete (air-gapped), su infrastruttura proprietaria, senza telemetria verso i server di DeepSeek, elimina il rischio di trasferimento dei dati verso la Cina. Ma mantiene tutti gli altri obblighi GDPR relativi al trattamento interno dei dati.
Secondo le linee guida del European Data Protection Board, anche i modelli AI installati localmente rientrano nel perimetro di applicazione del GDPR non appena trattano dati personali. Questo significa che l'azienda deve redigere un registro dei trattamenti aggiornato, eseguire la DPIA, nominare un DPO se necessario, e garantire la sicurezza dei dati con misure tecniche adeguate.
Cosa può fare un esperto informatico per la tua azienda
Il lancio di DeepSeek V4 rende evidente un problema strutturale: la velocità con cui i modelli AI diventano disponibili è molto più alta della velocità con cui le aziende adattano le proprie policy di sicurezza e compliance. Un consulente informatico specializzato in cybersecurity e GDPR può aiutare su fronti precisi.
Può effettuare un'analisi dell'infrastruttura per valutare se un deployment locale di modelli open-weight sia tecnicamente sicuro. Può redigere o aggiornare la DPIA richiesta dalla normativa. Può configurare sistemi di logging e monitoraggio che traccino ogni interazione con il modello per garantire la tracciabilità richiesta in caso di ispezione. E può definire procedure di risposta agli incidenti (incident response) allineate ai tempi ristretti previsti dal GDPR.
DeepSeek V4 Pro è potente, economico e legalmente scaricabile. Ma usarlo in azienda senza una valutazione tecnica e legale aggiornata significa correre rischi che le sanzioni del Garante possono rendere molto costosi.
Su ExpertZoom trovi consulenti informatici specializzati in cybersecurity e GDPR pronti ad aiutarti a valutare se e come adottare strumenti AI nel rispetto della normativa europea.
