Agenti AI nell’assistenza clienti: norme da rispettare e best practice

Nel B2C, è importante garantire un buon servizio di assistenza clienti. Spesso, l’assistenza clienti è esternalizzata a società di call center, che la erogano sia tramite canale telefonico che via chat. Per ottimizzare i servizi offerti ai propri committenti e per agevolare i propri operatori nello svolgimento delle attività quotidiane, i call center tendono sempre di più a integrare i processi di assistenza ai clienti con strumenti di intelligenza artificiale (AI).

Fra questi, spiccano gli agenti AI, assistenti virtuali capaci di eseguire compiti complessi in modo autonomo e di collaborare con operatori umani, dandogli supporto o fornendogli raccomandazioni in tempo reale. Gli agenti AI si differenziano dalle chatbot tradizionali. Infatti, mentre le chatbot rispondono a input predefiniti con risposte programmate e dunque limitate, gli agenti AI evolvono continuamente grazie all’apprendimento automatico, migliorando il servizio. Inoltre, possono collegarsi a database, sistemi CRM, ERP o strumenti esterni di analisi, per fornire risposte accurate e aggiornate.

Quadro normativo per gli agenti AI nell’assistenza clienti

L’uso degli agenti AI nell’assistenza clienti soggiace a due normative: una pienamente operante (il GDPR), l’altra (AI Act) in vigore, ma che per il tema che stiamo affrontando diventerà esecutiva dal 2 agosto 2026.

Tipologie di agenti AI e impatti sui dati personali

Sul piano della protezione dei dati personali, possiamo suddividere gli agenti AI per l’assistenza clienti in due tipologie: quelli che non determinano trattamenti di dati personali degli utenti finali aggiuntivi rispetto a quelli già svolti nell’attività di call center ordinaria, ma possono determinare trattamenti aggiuntivi dei dati degli operatori del call center, e quelli che invece ampliano nei mezzi o nelle finalità anche il trattamento dei dati degli utenti finali abitualmente svolto nell’assistenza clienti.

Alla prima tipologia appartengono agenti AI che generano riassunti delle chiamate gestite; oppure altri che fanno traduzione in tempo reale di testi scambiati dall’operatore con l’utente finale; o altri ancora che permettono di gestire le richieste degli utenti finali prima mediante chatbot e poi, solo quando l’intervento umano è considerato realmente necessario, mediante trasferimento della chiamata verso gli operatori umani.

Alla seconda tipologia sono riconducibili agenti AI che, in sostituzione o in aggiunta a quanto sopra, facilitano l’operatore in attività dispositive (permettendo, ad es., la registrazione, direttamente nell’assistente digitale, dell’autolettura di un utente finale che voglia cambiare fornitore di energia); o permettono di dare agli utenti finali risposte personalizzate sulla base del loro profilo o delle loro esigenze, o fanno un’analisi automatizzata del sentiment dell’utente finale durante la chiamata, dando poi raccomandazioni su come gestirlo.

Adempimenti GDPR per gli agenti ai che monitorano gli operatori

Sul mercato, le soluzioni di agente AI sono messe da società specializzate (leader nello sviluppo di piattaforme per l’assistenza clienti) a disposizione delle aziende che offrono l’assistenza clienti o, più spesso, ai call center esterni ai quali esse esternalizzano l’attività. In base al principio di responsabilizzazione (art. 24 del GDPR), è onere del datore di lavoro degli operatori/Titolare del trattamento (sia esso l’azienda o il call center):

A) chiedersi se gli agenti AI comportano un monitoraggio automatizzato, anche solo potenziale, dell’attività degli operatori;

B) decidere se effettuare una Valutazione d’impatto ai sensi dell’art. 35 del GDPR;

C) in ogni caso, garantire adeguati livelli di sicurezza per i dati personali che incamerano;

D) disciplinare il trattamento di dati personali degli operatori da parte di fornitori di servizi connessi allo strumento;

E) in ogni caso, definire tempi proporzionati di conservazione dei dati;

F) valutare se c’è un trasferimento di dati personali verso Paesi terzi.

Vediamo nel dettaglio ciascuno di questi aspetti.

1. Un agente AI usato per analizzare i contenuti delle chiamate al fine di gestire meglio l’assegnazione dei task agli operatori o di valutare le performance degli operatori deve essere considerato come uno strumento di controllo a distanza ai sensi dell’art. 4.1 dello Statuto dei lavoratori. Ciò significa che il suo impiego è subordinato a un accordo con le RSA o all’autorizzazione dell’Ispettorato del Lavoro.

• Pur non essendo automaticamente necessario, lo svolgimento di una Valutazione d’impatto dovrebbe essere preso in considerazione nella misura in cui il trattamento – connesso all’uso di una nuova tecnologia – consente al datore di lavoro un controllo a distanza dell’attività dei dipendenti (operatori) e comporta il ricorso all’intelligenza artificiale, casistica di per sé rilevante nell’elenco delle tipologie di trattamenti soggetti al requisito di una Valutazione d’impatto accluso al provvedimento del Garante dell’11 ottobre 2018

• Tutti i dati, in transit e at rest, devono essere crittografati per impedire accessi non autorizzati.

• Il Titolare deve nominare le società erogatrici delle piattaforme che mettono a disposizione gli agenti AI Responsabili del trattamento. Solitamente, ciò accade sulla base di template contrattuali prodotti dalle società stesse. Spesso, queste ultime stipulano accordi con Big Tech provider di servizi cloud, che mettono a disposizione modelli di intelligenza artificiale generativa. Nel mettere a disposizione questi servizi, le Big Tech tendono a qualificarsi anch’esse, nelle loro condizioni di servizio, come Responsabili. Per l’esattezza, queste Big Tech andrebbero inquadrate come ulteriori Responsabili per conto delle società provider delle piattaforme per l’assistenza clienti (Sub-Responsabili).

• Il Titolare deve imporre alle le società erogatrici delle piattaforme di cui sopra di trattare i dati personali necessari per l’elaborazione automatizzata delle tipologie di supporto sopra indicate per il tempo strettamente necessario a tale elaborazione e comunque non oltre la durata della chiamata.

• Se la società che mette a disposizione gli agenti AI è stabilita fuori dallo Spazio Economico Europeo (SEE) e se non ricorrono altre condizioni tali da legittimare il trasferimento (es., in caso di società statunitense, iscrizioni della società e/o della Big Tech che le fornisce i servizi cloud e/o il modello di AI generativa allo EU – US Privacy Framework), bisogna effettuare un Transfer Impact Assessment (TIA) e sottoscrivere le Standard Contractual Clauses (SCC) della Commissione Europea.

Gestione delle trascrizioni vocali negli agenti ai per call center

Spesso, nell’ambito dei canali di assistenza clienti via telefono, gli agenti AI si basano su un meccanismo di trascrizione in tempo reale delle chiamate (c.d. speech-to-text). Le trascrizioni delle chiamate vengono analizzate dall’agente AI, che le usa per dare suggerimenti agli operatori e per semplificare in tempo reale i loro compiti.

La complessità aumenta se le trascrizioni effettuate dall’agente AI non vengono cancellate alla fine della chiamata, ma vengono riutilizzate per alimentare soluzioni di analisi qualitativa delle telefonate (c.d. speech analytics) che effettuano un’analisi approfondita delle conversazioni, eventualmente tarata su parole o correlazioni.

Gli obiettivi del ricorso a questa soluzione – tendenzialmente combinata con una o più delle altre sopra citate – potrebbero essere l’individuazione dei motivi più comuni per i quali gli utenti finali effettuano la chiamata, il monitoraggio dell’andamento del servizio erogato, l’analisi della soddisfazione degli utenti finali in una logica di servizio e di ausilio agli operatori, o altre ancora.

Per proteggere i dati degli operatori, lo speech analytics deve essere svolto nel rispetto di misure adeguate, possibilmente tarate sulle prescrizioni date dal Garante a TIM con un provvedimento del 18 aprile 2018.

Inoltre, se ad implementare un agente AI con speech analytics è una società di call center che opera come Responsabile, è probabile che il Titolare, oltre a dover autorizzare il Responsabile all’uso della soluzione, debba informarne gli utenti finali e scegliere la base giuridica, che potrebbe essere il legittimo interesse.

Protezione dei dati degli utenti con gli agenti AI nell’assistenza

Come visto sopra, c’è una tipologia emergente di agenti AI che ampliano nei mezzi o nelle finalità il trattamento dei dati degli utenti finali abitualmente svolto nell’assistenza clienti. In base al GDPR, questi agenti AI sono utilizzabili solo se il Titolare (cioè l’azienda che eroga assistenza ai propri clienti):

• informa gli utenti finali di questo trattamento, indicandone bene la finalità. Ad esempio, se l’agente AI supporta l’operatore nell’analisi del sentiment dell’utente finale, la finalità perseguita potrebbe essere di profilazione, o di prevenzione di reclami e contenziosi, o di entrambe.
• definisce la base giuridica del trattamento. Qualora opti per la base giuridica del legittimo interesse, svolge e documenta (per eventuali controlli del Garante) un test di legittimo interesse.
• decide se effettuare una Valutazione d’impatto e- in caso positivo – la svolge, eventualmente con la collaborazione del call center esterno nominato Responsabile, motivando la proporzionalità del trattamento e mettendo adeguatamente fuoco i rischi che incombono sui diritti e sulle libertà degli utenti finali e le misure adottate per affrontarli.

Soprattutto se l’agente AI implica una profilazione in tempo reale dell’utente finale, l’assolvimento di questi obblighi non è banale: richiede uno sforzo di analisi tecnica della soluzione con le professionalità appropriate, uno sforzo comunicativo e di linguaggio verso l’utenza, uno sforzo organizzativo per raggiungere con l’informativa un’utenza molto ampia nei cui confronti questo adempimento spesso è già stato osservato.

Agenti AI nell’assistenza clienti e AI Act

Il ricorso agli agenti AI presenterà implicazioni di conformità al Regolamento (UE) 1689/2024 (“AI Act”). Secondo il considerando (27) dell’AI Act, gli esseri umani devono essere consapevoli del fatto di comunicare o interagire con un sistema di AI. Secondo il considerando (132), alcuni sistemi di AI destinati all’interazione con persone fisiche possono comportare rischi specifici di impersonificazione o inganno. Perciò, secondo l’art. 50.1 dell’AI Act, i fornitori di sistemi di AI destinati a interagire direttamente con le persone fisiche devono progettarli e svilupparli in modo che le persone fisiche interessate siano informate del fatto di stare interagendo con un sistema di AI, a meno che ciò non risulti evidente dal punto di vista di una persona fisica ragionevolmente informata, attenta e avveduta, tenendo conto delle circostanze e del contesto di utilizzo. Rispetto alle persone fisiche/operatori dell’assistenza clienti, l’assolvimento di questo obbligo è semplice.

Altro aspetto da chiarire è se gli agenti AI capaci di identificare il sentiment degli utenti finali debbano essere considerati come “sistemi di riconoscimento delle emozioni”, e quindi sistemi di AI ad alto rischio, con le relative conseguenze in termini di compliance al Capo III dell’AI Act a carico delle società leader in piattaforme per l’assistenza clienti che li mettono a disposizione (soggezione a una procedura di valutazione della conformità, governance dei dati, documentazione tecnica, sistema di gestione della qualità, accuratezza, robustezza e cibersicurezza, obblighi di registrazione, ecc.).

Secondo l’art. 3, lettera 39 dell’AI Act, un «sistema di riconoscimento delle emozioni» è un sistema di AI finalizzato all’identificazione o all’inferenza di emozioni o intenzioni (quali felicità, tristezza, rabbia, sorpresa, disgusto, imbarazzo, eccitazione, vergogna, disprezzo, soddisfazione e divertimento) di persone fisiche sulla base dei loro dati biometrici. Considerare automaticamente la voce come dato biometrico appare eccessivo. L’art. 4.1, 14) del GDPR definisce i «dati biometrici» come «i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici»; la stessa identica definizione è ripresa dall’art. 3.1, 34) dell’AI Act. La voce diventa dato biometrico quando un sistema di riconoscimento vocale prima registra una persona nota catturandone la voce e poi invia quel campione vocale a un motore biometrico. Il motore biometrico crea un modello partendo dal campione, identifica le caratteristiche distintive del discorso di una persona e crea un’“impronta vocale” unica per quell’individuo.

Quando l’agente AI fungerà da sistema di riconoscimento delle emozioni nel senso sopra indicato, i deployer dovranno informare le persone fisiche che vi sono esposte in merito al suo funzionamento, a norma dell’art. 50.3 dell’AI Act. Dal 2 agosto 2026, un’azienda che vorrà usare agenti AI per un’analisi automatizzata del sentiment attraverso il riconoscimento delle emozioni dell’utente finale durante la chiamata, dovrà ottemperare a questa ulteriore – gravosa – previsione.