L'irruzione dell'intelligenza artificiale generativa, con strumenti come ChatGPT, Gemini o Claude, sta trasformando il panorama delle richieste dopo le violazioni della sicurezza nelle grandi aziende. Un esempio recente è il caso di Endesa, che a gennaio ha ammesso una fuga di dati che ha colpito 20 milioni di clienti, inclusa informazioni sensibili come il numero di identificazione personale o l'IBAN bancario. Alla crisi reputazionale abituale si aggiunge ora la sfida di gestire un volume senza precedenti di richieste generate con IA. Secondo esperti legali, le aziende si trovano ad affrontare un'ondata di richieste automatizzate. Gli utenti, dopo aver ricevuto la notifica della violazione, ricorrono a strumenti di IA per redigere richieste precise in pochi secondi. Questa facilità si basa sulla normativa vigente: il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea obbliga a informare i soggetti interessati quando una violazione comporta un alto rischio per i loro diritti e libertà, come spiega Joaquín Muñoz, socio di Bird & Bird. In Spagna, la Legge Organica sulla Protezione dei Dati e la Legge Generale sulle Telecomunicazioni rafforzano questi obblighi, stabilendo sanzioni e linee guida specifiche, mentre l'Agenzia Spagnola per la Protezione dei Dati (AEPD) ne supervisiona il rispetto. Il criterio chiave per notificare una violazione è il rischio per i diritti dei soggetti interessati, non solo per l'azienda. Così, l'IA generativa moltiplica le richieste, dando potere ai cittadini ma generando anche aspettative che a volte superano ciò che la legge prevede. Le aziende devono ora non solo gestire la violazione e rispettare i termini di notifica, ma anche rispondere a un'ondata di richieste di esercizio dei diritti — accesso, rettifica, cancellazione, opposizione o portabilità — che il GDPR obbliga a trattare in tempo e forma. Molte di queste richieste non cercano un risarcimento diretto, ma possono essere escalate per due vie: quella amministrativa, tramite denuncia all'AEPD, che può imporre multe fino a 20 milioni di euro o il 4% del fatturato annuale; e quella civile, dove l'articolo 82 del GDPR riconosce il diritto a un risarcimento per danni materiali o immateriali, come la perdita di controllo dei dati o le usurpazioni di identità. Anche se in Spagna le somme tendono a essere moderate, la tendenza è in aumento, spinta dall'uso massiccio dell'IA nella preparazione delle richieste. Questo scenario genera frustrazione nelle aziende, che percepiscono che le sanzioni si basano sempre più sui risultati — l'esistenza della violazione — piuttosto che sui mezzi impiegati per prevenirla, anche se sono state adottate misure ragionevoli. L'impatto dell'IA si estende anche agli studi specializzati in richieste di massa. Le aziende dedicate a contenziosi bancari, aerei o di consumo osservano come l'automazione consenta agli utenti di generare richieste iniziali di qualità senza intermediari, erodendo il valore dei servizi più standardizzati. Casi come quello di Reclamador o la crisi di Arriaga Associados riflettono questo cambiamento: l'utente non dipende più da un terzo per avviare una richiesta di base, anticipando una trasformazione strutturale in un settore che per anni si è basato sulla standardizzazione e sul volume.