Secondo una ricerca pubblicata da TrustedTech, partner di Microsoft specializzato in soluzioni enterprise, il 63% dei dirigenti aziendali ammette di utilizzare piattaforme di intelligenza artificiale prive dell’approvazione formale dell’azienda. Questa percentuale contrasta con il 31% riscontrato tra i dipendenti operativi, evidenziando come il problema della cosiddetta Shadow AI sia particolarmente concentrato ai vertici delle organizzazioni.

Lo studio rivela che circa tre lavoratori su quattro dichiarano di essere pienamente consapevoli dei rischi per la sicurezza informatica e la protezione dei dati associati all’utilizzo di strumenti di intelligenza artificiale esterni. Questo dato suggerisce che il fenomeno non è dovuto a una mancanza di consapevolezza, ma piuttosto a una scelta deliberata da parte degli utenti.
TrustedTech sottolinea come attribuire questo comportamento a una semplice carenza di formazione sarebbe un errore. Le radici del problema risiederebbero in fattori culturali, organizzativi e operativi più profondi. Molti utenti percepiscono che gli strumenti approvati dall’azienda siano meno efficaci rispetto alle piattaforme disponibili sul mercato oppure lamentano l’assenza di soluzioni ufficiali capaci di soddisfare le loro esigenze quotidiane.
La rapida evoluzione dei servizi basati sull’intelligenza artificiale amplifica ulteriormente questo divario. Mentre i fornitori aggiornano costantemente le proprie piattaforme introducendo nuove funzionalità, molte organizzazioni impiegano settimane o addirittura mesi per completare le necessarie valutazioni di sicurezza, procedure di procurement e processi di conformità prima di autorizzarne l’utilizzo. Di conseguenza, dipendenti e dirigenti tendono a optare per la soluzione più immediata, ricorrendo direttamente agli strumenti pubblici.
Quando questo comportamento proviene dai livelli più alti dell’organizzazione, le conseguenze possono essere particolarmente complesse. Andy Nolan, vicepresidente Technology di TrustedTech, sottolinea che una governance efficace può funzionare solo se il rispetto delle regole parte dal management stesso. Se i dirigenti aggirano deliberatamente le policy e gli strumenti approvati, inviano implicitamente un messaggio secondo cui la velocità e la produttività sono considerate più importanti della sicurezza, della conformità normativa e della protezione delle informazioni aziendali.
Questo crea una situazione estremamente delicata per i CIO (Chief Information Officer) e i CISO (Chief Information Security Officer), che si trovano a dover bilanciare la responsabilità della sicurezza informatica e della gestione del rischio con la mancanza di autorità necessaria per impedire ai vertici aziendali di utilizzare servizi AI non autorizzati. Il rischio è che le policy interne perdano rapidamente credibilità agli occhi dell’intera organizzazione.
La questione assume un peso ancora maggiore considerando il tipo di informazioni a cui i dirigenti hanno accesso quotidianamente. Bilanci, strategie industriali, dati finanziari, proprietà intellettuale, trattative commerciali e informazioni sui clienti rappresentano asset di enorme valore che potrebbero finire accidentalmente all’interno di piattaforme AI esterne senza che l’azienda abbia alcun controllo sulla loro conservazione o sul loro utilizzo futuro.
Gli esperti concordano sul fatto che un approccio basato esclusivamente sull’introduzione di regole più rigide e divieti raramente si rivela efficace. Anzi, potrebbe spingere gli utenti verso strumenti ancora meno visibili all’interno dell’organizzazione. La vera sfida consiste nel rendere gli strumenti approvati competitivi rispetto alle alternative disponibili online.
Se le piattaforme aziendali risultano lente, limitate o poco integrate con i flussi di lavoro quotidiani, è inevitabile che utenti e dirigenti preferiscano utilizzare servizi esterni capaci di offrire un’esperienza più immediata. Una recente indagine condotta da Teramind conferma questa tendenza, rivelando che oltre due terzi dei dirigenti privilegiano la rapidità operativa rispetto alla sicurezza quando utilizzano strumenti di intelligenza artificiale.
È curioso notare come, in numerosi casi, le aziende dispongano già di licenze ufficiali per le stesse piattaforme AI, mentre i dipendenti continuano a utilizzare versioni personali attraverso account privati. Secondo Nik Kale, principal engineer di Cisco e membro della Coalition for Secure AI, questo dimostra che il problema risiede negli ostacoli burocratici e organizzativi che rallentano l’utilizzo delle soluzioni approvate.
Se accedere alla versione governata richiede procedure lunghe e complesse, mentre quella pubblica è immediatamente disponibile, la scelta degli utenti diventa quasi scontata, soprattutto in presenza di scadenze ravvicinate. Anche Matthew Scavetta, Chief Technology Innovation Officer di Future Tech Enterprise, evidenzia come molte aziende non comunichino efficacemente quali strumenti AI siano già disponibili né investano a sufficienza nella formazione dei dipendenti.
Per i responsabili IT, la sfida nei confronti della Shadow AI consiste quindi nel trovare un equilibrio tra innovazione e controllo. L’obiettivo non dovrebbe essere quello di trasformare CIO e CISO in “poliziotti” dell’intelligenza artificiale, ma piuttosto creare un ecosistema in cui la soluzione più sicura coincida anche con quella più semplice, veloce ed efficace da utilizzare. Solo in questo modo, secondo quanto emerge dal report di TrustedTech, sarà possibile limitare realmente il fenomeno dello Shadow AI, evitando che proprio il management diventi il principale punto debole della sicurezza aziendale.
Hardware Ready Ready to Bench?