La shadow AI è già dentro le aziende (anche se non lo sai)

La shadow AI è già dentro le aziende (anche se non lo sai)

In questo articolo

L’adozione dell’AI è più veloce della capacità delle aziende di governarla?

L’intelligenza artificiale è entrata nella quotidianità dei lavoratori molto più velocemente di quanto molte aziende siano riuscite a gestire. Da ChatGPT a Copilot, da Claude a Gemini, oggi gli strumenti basati su AI vengono utilizzati ogni giorno per scrivere email, analizzare dati, generare documenti o codice. Il punto è che, nella maggior parte dei casi, questo utilizzo avviene senza alcun controllo da parte dell’azienda.

Il fenomeno descritto sopra viene definito shadow AI, ovvero l’uso di strumenti di intelligenza artificiale non autorizzati, non monitorati e spesso completamente invisibili ai sistemi IT aziendali.

Il comportamento di molti professionisti non è intenzionalmente rischioso, è semplicemente una conseguenza naturale della facilità di accesso a queste tecnologie. Per le aziende, e in particolare per le PMI che hanno sistemi di verifica del traffico internet poco strutturati, all’adozione dell’intelligenza artificiale corrisponde una mancanza di governance.

Mentre l’AI entra nei processi operativi, i dati aziendali iniziano a uscire dal perimetro di controllo, spesso senza che nessuno se ne accorga.

Cos’è la Shadow AI
La shadow AI è l’utilizzo di strumenti di intelligenza artificiale all’interno dell’azienda senza autorizzazione, controllo o visibilità da parte dell’IT. In pratica, i dipendenti utilizzano tool AI accessibili via web per svolgere attività quotidiane, senza che l’azienda ne sia consapevole o ne abbia definito regole di utilizzo.

Perchè nasce la Shadow AI

Quando si parla di shadow AI si parla di software non installati ufficialmente, di strumenti usati in modo spontaneo per aumentare la produttività. Un obiettivo nobile ma con un fattore di rischio alto che nasce dal fatto che, per ottenere risultati, questi strumenti richiedono input come dati aziendali, informazioni confidenziali o contenuti sensibili.

Questo comportamento diffuso, che ora sappiamo prendere il nome di Shadow AI, nasce proprio dall’uso non governato dell’intelligenza artificiale, da una mancanza di controllo che può trasformarla in un rischio concreto per la sicurezza dei dati e per l’azienda nel suo complesso.

Dati e diffusione della shadow AI

I dati confermano che non si tratta di un fenomeno marginale. Secondo un’analisi di UpGuard (novembre 2025), si registra un aumento fino all’80% dei lavoratori che utilizzano strumenti di AI non approvati dall’azienda. Parallelamente, il fenomeno del “BYOAI” (Bring Your Own AI) è ormai diffuso: circa il 78% dei lavoratori utilizza strumenti AI personali sul lavoro, aggirando i sistemi aziendali (dati Microsoft / LinkedIn Work Trend Index 2024).

Il tema più critico resta però la mancanza di visibilità. Più del 50% degli utenti di AI generativa ammette di utilizzarla senza informare l’azienda, mentre il 47% accede tramite account personali, completamente fuori dal controllo IT (Netskope Cloud & Threat Report 2026).

Ancora più rilevante è il dato sui contenuti con il 38% degli utenti che dichiara di aver inserito dati aziendali confidenziali in strumenti AI senza autorizzazione e il 52% dei lavoratori che afferma di non aver mai ricevuto formazione sulla sicurezza nell’uso dell’intelligenza artificiale.

Dalla Generative AI Snapshot Research di Salesforce arriva un dato che dovrebbe preoccupare ulteriormente le aziende sulla gestione dei dati, con il 40% dei lavoratori che non sa come vengono gestiti i dati inseriti negli strumenti AI.

Shadow AI: un caso celebre di data leak

Tra i casi celebri più celebri di data leak e shadow AI, ovvero l’esposizione involontaria di dati sensibili a sistemi non autorizzati, c’è quello di Samsung, riportato da alcuni portali autorevoli come Agenda Digitale

Alcuni ingegneri del colosso sudcoreano hanno utilizzato ChatGPT per velocizzare attività ripetitive, arrivando però a condividere codice sorgente proprietario legato ai semiconduttori per individuare bug mentre, in un altro episodio, un dipendente ha incollato contenuti di un meeting interno riservato per ottenere un verbale automatico. Incidenti distinti nell’arco di poche settimane, accomunati dallo stesso errore, ovvero l’assenza di controllo sul dato.

La reazione iniziale di Samsung è stata il blocco degli strumenti di AI generativa ma nel breve tempo è emerso che vietare non è una strategia sostenibile. Samsung ha di conseguenza avviato lo sviluppo di soluzioni di intelligenza artificiale interne, mantenendo dati e know-how all’interno del proprio perimetro aziendale.

Shadow AI e sicurezza informatica

Shadow AI e settori a rischio

Nel settore clinico-ospedaliero, la diffusione della Shadow AI introduce scenari di rischio concreti e difficilmente tracciabili. La sicurezza del paziente rimane la priorità assoluta ma emergono criticità crescenti legate alla gestione del dato e alla perdita di controllo sui flussi informativi.

Secondo una ricerca condotta da CITE Research per conto di Wolters Kluwer Health (“Wolters Kluwer Healthcare Shadow AI Survey”), basata su un campione di 518 professionisti sanitari equamente suddivisi tra personale medico e amministratori, il 23% degli intervistati segnala problematiche riconducibili a intrusioni informatiche, accessi non autorizzati e assenza di adeguati meccanismi di governance, tipici di contesti in cui la Shadow AI si sviluppa in modo silente.

Un ulteriore elemento di vulnerabilità riguarda l’affidabilità degli output generati da queste soluzioni non validate. Il 42% dei medici evidenzia il rischio di risultati imprecisi, le cosiddette “allucinazioni”, prodotti da strumenti di AI utilizzati al di fuori di policy aziendali o framework regolatori, con impatti diretti sulla sicurezza clinica, sulla qualità delle decisioni e sulla compliance normativa. A ciò si aggiunge il tema del bias algoritmico, indicato dal 30% come fattore critico per l’equità e l’appropriatezza delle cure, soprattutto quando modelli non trasparenti vengono impiegati senza supervisione.

Il 10% dei medici dichiara di aver già fatto ricorso a strumenti non autorizzati anche in contesti di assistenza diretta al paziente. Un segnale inequivocabile di come la Shadow AI stia penetrando nei processi clinici in modo informale, sfuggendo ai sistemi di controllo, audit e risk management.

E i costi? Un’analisi condotta da IBM indica che nel 2025 il costo medio di una violazione di sicurezza nel settore sanitario ha superato i 7,42 milioni di dollari (circa 6,91 milioni di euro); il 97% delle aziende con incidenti di sicurezza legati all’AI era privo di adeguati controlli di accesso e il 63% era privo di policy di governance dell’AI.

Come possono difendersi le aziende dalla shadow AI?

Per difendersi dalla Shadow AI, le aziende devono innanzitutto renderla visibile e quindi governabile.

Monitoraggio e discovery delle applicazioni AI non autorizzate

Il primo passo consiste nell’implementare strumenti di discovery e monitoraggio in grado di individuare l’uso di applicazioni AI non autorizzate e tracciare i flussi dati verso servizi esterni.

Grazie a questa visibilità è possibile costruire un elenco reale delle tecnologie utilizzate e comprendere i casi d’uso emergenti. Parallelamente, è fondamentale definire policy chiare e applicabili, che stabiliscano cosa è consentito e cosa è vietato, soprattutto in relazione alla classificazione dei dati.

Definizione di policy chiare basate sulla classificazione dei dati e introduzione di strumenti AI ufficiali e conformi

Più che un approccio restrittivo è consigliato offrire alternative ufficiali, mettendo a disposizione strumenti di AI sicuri, integrati nei processi aziendali e conformi ai requisiti normativi. In questo modo si riduce la necessità di ricorrere a soluzioni esterne e si favorisce un’adozione più controllata dell’intelligenza artificiale.

Un secondo step riguarda la protezione dei dati e lo sviluppo di una cultura organizzativa consapevole. L’adozione di soluzioni di Data Loss Prevention e di tecniche di anonimizzazione permette di limitare il rischio di esposizione di informazioni sensibili, mentre processi strutturati di valutazione dei fornitori AI garantiscono maggiore controllo su sicurezza, trasparenza e gestione dei dati.

Al tempo stesso, è importante investire nella formazione del personale, affinché comprenda i limiti dell’AI, i rischi legati alle “allucinazioni” e l’importanza di validare gli output prima dell’utilizzo operativo. La Shadow AI deve inoltre essere integrata nei processi di risk management, con metriche dedicate, audit periodici e un allineamento alle funzioni di compliance e sicurezza. Per aumentare la sicurezza in azienda, l’adozione di un approccio Zero Trust consente di trattare ogni strumento e ogni output come potenzialmente non affidabile.

La cultura dell’AI in azienda per prevenire e mitigare la shadow AI

La diffusione della Shadow AI può essere prevenuta attraverso lo sviluppo di una buona cultura dell’intelligenza artificiale in azienda. Promuovere una AI literacy diffusa può rendere i dipendenti più consapevoli non solo delle opportunità, ma anche dei rischi legati all’uso improprio di strumenti non autorizzati. L’obiettivo è formare il personale affinché comprenda i limiti dell’AI, i rischi legati alle “allucinazioni” e l’importanza di validare gli output prima dell’utilizzo.
Un utente adeguatamente formato dovrebbe ottenere:

  • Comprensione di base di come funziona l’AI: sapere, ad esempio, che i modelli generativi non “pensano”, ma producono output probabilistici basati sui dati.
  • Consapevolezza dei limiti: riconoscere fenomeni come bias, errori e “allucinazioni”.
  • Uso corretto degli strumenti: sapere quando e come utilizzare l’AI, evitando l’inserimento di dati sensibili o riservati.
  • Capacità di valutare gli output: non accettare automaticamente i risultati ma verificarli criticamente.
  • Conoscenza delle policy aziendali e normative: comprendere cosa è consentito e cosa no in termini di utilizzo

Il tema della Shadow AI deve essere integrato nei programmi di security awareness, affinché venga percepito al pari di altre minacce come phishing o data breach. Formazione pratica, linee guida chiare e casi d’uso concreti aiutano a trasformare comportamenti spontanei in pratiche sicure.

Allo stesso tempo, è fondamentale cambiare prospettiva, dal momento che l’AI è ormai un vero e proprio asset strategico aziendale e se governata correttamente, può aumentare produttività, qualità decisionale e innovazione.

Scopri BeeCyber e i servizi gestiti di cyber security per proteggere i tuoi dati e il tuo business

BeeCyber offre servizi di cyber security completi e personalizzati per proteggere le aziende da minacce informatiche. BeeCyber fornisce una valutazione approfondita dei rischi, gestione delle identità, sistemi di protezione dei dati, monitoraggio continuo delle minacce e risposte rapide agli incident.
I servizi includono penetration test, vulnerability assessment e consulenza strategica per garantire conformità alle normative come NIS2, GDPR, ISO 27001 e altri requisiti specifici del settore.
Le soluzioni su misura di BeeCyber, insieme alla formazione del personale, aiutano a mantenere i sistemi aziendali sicuri e operativi.

Una mail al mese sui temi più caldi della cybersecurity. Iscriviti ora!
Compila il form per iscriverti alle nostre Cybernews


Il termine Shadow AI combina:
“Shadow” (ombra) → qualcosa che esiste ma non è visibile, non è tracciato o sfugge al controllo
“AI” (Artificial Intelligence) → strumenti e sistemi basati su intelligenza artificiale
Quindi, in senso letterale, indica un’AI che opera “nell’ombra”, al di fuori della visibilità e della governance ufficiale.

La Shadow AI indica infatti l’utilizzo non autorizzato o non governato di strumenti di intelligenza artificiale all’interno di un’azienda. Si tratta spesso di applicazioni utilizzate direttamente dai dipendenti, senza il coinvolgimento dell’IT o senza rispettare policy aziendali, con conseguenti rischi su sicurezza, compliance e gestione dei dati.

Un esempio tipico di Shadow AI è l’utilizzo da parte di un dipendente di strumenti di intelligenza artificiale generativa (come chatbot o assistenti AI online) per attività lavorative senza autorizzazione aziendale. Ad esempio, un medico che inserisce dati clinici in una piattaforma esterna per ottenere supporto nella redazione di un referto, oppure un impiegato che carica documenti interni riservati per generare report o sintesi. In questi casi, anche se l’obiettivo è aumentare l’efficienza, l’uso avviene al di fuori dei sistemi ufficiali e senza controlli su sicurezza, privacy e gestione dei dati, configurando quindi una situazione di Shadow AI.

La Shadow AI espone le aziende a rischi come la perdita di dati sensibili, accessi non autorizzati, output imprecisi o “allucinazioni” e problemi di natura normativa. L’assenza di controllo rende difficile monitorare l’utilizzo dell’AI e intervenire tempestivamente in caso di incidenti.

Quali sono le cause principali della diffusione della Shadow AI?
Le cause principali includono la facilità di accesso agli strumenti AI, la mancanza di alternative aziendali ufficiali, la scarsa formazione del personale e processi interni troppo lenti rispetto alle esigenze reali. Spesso i dipendenti cercano semplicemente soluzioni rapide per migliorare la produttività.

Le aziende possono identificare la Shadow AI attraverso strumenti di monitoraggio del traffico e analisi dei comportamenti digitali degli utenti. È fondamentale monitorare i flussi di dati verso piattaforme esterne.

La formazione è cruciale per sviluppare consapevolezza sui rischi e sui limiti dell’intelligenza artificiale. Programmi di security awareness aiutano i dipendenti a riconoscere comportamenti rischiosi, comprendere il valore dei dati e utilizzare strumenti AI in modo responsabile e conforme alle policy aziendali.

Sì, se gestita correttamente. La presenza di Shadow AI evidenzia un bisogno reale di strumenti innovativi. Le aziende possono sfruttare questo segnale per introdurre soluzioni AI ufficiali, sicure e integrate nei processi, trasformando un rischio in un asset strategico.