L’uso non autorizzato di strumenti di intelligenza artificiale da parte dei dipendenti sta diventando una delle principali fonti di vulnerabilità nelle imprese. Dietro la promessa dell’efficienza, si nasconde il pericolo della perdita di dati e di decisioni errate generate da strumenti non controllati. La soluzione per trasformare il rischio in una leva positiva? Un modello integrato che prevede governance, cultura digitale e strumenti di difesa avanzati.
di Furio Barbagallo, Senior Manager AGM Solutions
C’è chi la considera una delle minacce più insidiose del panorama della cybersecurity attuale: stiamo parlando della Shadow AI, tema che abbiamo trattato in occasione della round table su “AI e Cybersecuirty” alla Factory NoLo (Il lato oscuro dell’AI. Fra rischi e cyber awareness) e che riguarda l’utilizzo non autorizzato di strumenti di intelligenza artificiale da parte dei dipendenti, spesso senza che i responsabili IT ne siano consapevoli. Questo fenomeno sta crescendo rapidamente e gli analisti di Gartner prevedono in proposito che entro il 2027 il 75% dei dipendenti acquisirà, modificherà o creerà tecnologie al di fuori della visibilità dell’area informatica, segnando un aumento significativo rispetto al 41% del 2022.
I rischi associati alla Shadow AI sono molteplici e complessi. Una ricerca della Melbourne Business School ha rivelato, per esempio, che il 48% dei dipendenti censiti su scala globale ha caricato dati sensibili dell’azienda o dei clienti in strumenti di AI generativa pubblici, mentre il 44% ammette di utilizzare l’intelligenza artificiale al lavoro violando le politiche aziendali.
Le conseguenze di comportamenti non idonei degli addetti non sono solo reputazionali. Secondo recenti stime di IDC, la “Shadow IT costa in media oltre il 20% del budget annuale destinato alle tecnologie tra duplicazioni di licenze, inefficienze operative e spese non tracciate; la “Shadow AI” rischia di amplificare ulteriormente questi impatti, con danni economici diretti legati alla perdita di dati e indiretti dovuti a decisioni errate o a violazioni normative.
Origini e parallelismi
Con la diffusione sempre più estesa dell’intelligenza artificiale in azienda, dal marketing al coding, l’uso inconsapevole o non autorizzato da parte dei dipendenti di sistemi, software o servizi cloud esterni alle policy aziendali assume nuove e più pericolose forme, generando rischi che rimandano a radici ben conosciute in tema di security, ma con sfide e complessità nuove e ancora da decifrare completamente.
La “Shadow IT” emerse inizialmente come conseguenza diretta della digitalizzazione rapida e frammentata, in cui addetti e team aziendali ricorrevano a strumenti non ufficiali per rispondere a esigenze immediate, bypassando processi di approvazione e sicurezza formale. Questo tipo di comportamento generava falle nel processo di controllo, creando potenziali vettori di attacco e mettendo a rischio l’integrità dei dati aziendali.
La “Shadow AI” rappresenta la naturale evoluzione di quel comportamento, perché oggi chiunque può accedere a strumenti di intelligenza artificiale (modelli, API o strumenti di AI generativa) al di fuori dei canali ufficiali, senza supervisione e senza una governance adeguata. La facilità di utilizzo e l’ampia disponibilità di versioni gratuite o freemium di questi strumenti spingono molti dipendenti a “sperimentare” con i vari ChatGPT, Gemini, Perplexity o altri tool senza valutarne i rischi in fatto di sicurezza, privacy, compliance e continuità operativa.
I rischi per le aziende
L’utilizzo non controllato di strumenti di intelligenza artificiale può generare un insieme di pericoli che vanno ben oltre la semplice perdita di controllo tecnologico. La Shadow AI espone le aziende a vulnerabilità sia di natura tecnica che organizzativa. Vediamole insieme.
Il primo e più evidente rischio è la perdita di controllo sui dati sensibili. Quando i dipendenti caricano documenti aziendali, codici sorgente o informazioni sui clienti in piattaforme di AI pubbliche come ChatGPT o Copilot, quei dati possono essere archiviati, analizzati o persino utilizzati per addestrare altri modelli. Ciò apre la strada a fughe di informazioni riservate e violazioni della privacy, con conseguenze economiche e reputazionali significative. Basti pensare ai casi in cui grandi aziende del manifatturiero o della consulenza hanno dovuto vietare l’uso di tool di AI generativa ai propri collaboratori proprio per evitare l’esposizione di segreti industriali.
Un secondo fronte critico riguarda la qualità e l’affidabilità delle risposte generate. I modelli di AI non governati possono produrre “allucinazioni”, ovvero sia risultati errati o fuorvianti che (se non verificati) possono compromettere decisioni operative o strategiche. In contesti come il marketing o la finanza, dove l’intelligenza artificiale viene già largamente impiegata per generare report o analisi, un’informazione sbagliata può tradursi in perdita di credibilità verso clienti e stakeholder. A questo pericolo si aggiunge la vulnerabilità agli attacchi informatici: le applicazioni AI non autorizzate possono rappresentare un punto d’ingresso privilegiato per i cyber criminali, che sfruttano la mancanza di controlli o le connessioni cloud non protette per penetrare nelle reti aziendali. Tecniche come la “prompt injection”, un attacco attraverso il quale un utente malintenzionato manipola istruzioni fornite all’AI per aggirare le restrizioni e ottenere l’accesso a dati riservati o eseguire azioni non previste, stanno diventando sempre più sofisticate e difficili da intercettare.
L’uso simultaneo di diverse piattaforme o modelli di AI senza un coordinamento centrale, infine, può generare incoerenze e malfunzionamenti nei flussi di lavoro. Quando i team adottano strumenti diversi per automatizzare compiti simili, in altre parole, il rischio è quello di creare “isole tecnologiche” che non comunicano tra loro, ostacolando l’efficienza e complicando la governance IT. La Shadow AI non è dunque solo un problema tecnico, ma un fenomeno che intreccia comportamenti, cultura e sicurezza e che può compromettere, se non affrontato con strategie di prevenzione mirate, la resilienza complessiva dell’organizzazione.
.
Un vademecum per contrastare il fenomeno
In AGM Solutions crediamo che la prevenzione e il controllo di questi rischi siano fondamentali per assicurare una crescita sostenibile e sicura dell’adozione dell’AI in azienda e siamo convinti che la strada da seguire sia quella di combinare governance, cultura e tecnologia con un approccio strutturato.
1) Governance e policy chiare
– Definizione di regole e framework AI: stabilire quali strumenti possono essere utilizzati, da chi e per quali finalità, integrando criteri di sicurezza, privacy e conformità normativa.
– Controllo degli accessi e monitoraggio continuo: adottare sistemi di Identity & Access Management e strumenti di audit in grado di rilevare attività anomale o non autorizzate in tempo reale.
2) Cultura e awareness aziendale
– Formazione continua: sensibilizzare i dipendenti, con esempi concreti, sui rischi legati al caricare file riservati su piattaforme pubbliche e sull’importanza di utilizzare solo strumenti autorizzati nel rispetto delle policy aziendali.
– Coinvolgimento dei leader: educare e coinvolgere manager e team leader affinché fungano da promotori e moltiplicatori di comportamenti digitali responsabili, superando il tradizionale gap tra IT e business.
3) Tecnologie di difesa avanzate
– Soluzioni AI controllate: sviluppare e implementare piattaforme di AI interne o adottare tool di partner certificati, che permettano di sfruttare i vantaggi dell’AI senza rinunciare a sicurezza e controllo.
– Analisi comportamentale e rilevazione delle anomalie: utilizzare algoritmi di machine learning per rilevare in anticipo comportamenti sospetti e l’utilizzo improprio di nuove tecnologie e tool AI non autorizzati, prevenendo così incidenti anche in assenza di plug-in o permessi espliciti.
Sfide e opportunità
Ignorare il fenomeno della “Shadow AI” significa esporsi a rischi che vanno dall’esposizione dati alla perdita di produttività e del controllo operativo dell’azienda. La sfida è trasformare questa potenziale vulnerabilità in opportunità e in una risorsa gestita e controllata: governare l’AI significa poterla sfruttare per rendere più efficienti i processi, mantenendo però sicurezza, trasparenza e controllo. Ma solo attraverso un approccio consapevole e strutturato, le aziende potranno continuare a innovare superando i pericoli nascosti della “Shadow AI”.
AGM Solutions propone un modello integrato che unisce governance rigorosa, formazione continua e tecnologie di difesa all’avanguardia per valorizzare il potenziale dell’intelligenza artificiale e accompagnare le aziende verso un uso dell’intelligenza artificiale affidabile, sostenibile e “antifragile”, capace cioè di rafforzarsi davanti alle nuove complessità imposte dalla velocità della trasformazione digitale.
