Lo shadow AI è la nuova frontiera dello shadow IT. Se dieci anni fa il problema era l’uso non autorizzato di Dropbox o WhatsApp per condividere documenti aziendali, oggi sono ChatGPT, Gemini, Claude e decine di altri strumenti di IA generativa a proliferare senza controllo nelle organizzazioni. E i rischi sono esponenzialmente maggiori.
Secondo una ricerca Gartner (2025), il 65 % delle aziende europee ha dipendenti che utilizzano strumenti di IA generativa con account personali, senza alcuna supervisione da parte dell’IT. In Italia, dove il Garante per la protezione dei dati personali ha una posizione particolarmente rigorosa sull’IA generativa, le conseguenze possono essere severe.
À retenir
- Il 65 % delle aziende europee ha dipendenti che usano IA generativa senza autorizzazione aziendale
- Lo shadow AI espone l'azienda a violazioni del GDPR (sanzioni fino a 20 milioni di euro o 4 % del fatturato)
- Il Garante italiano è tra i regolatori più attivi al mondo sulla regolamentazione dell'IA generativa
- La soluzione non è vietare l'IA, ma governarla: policy chiare, strumenti ufficiali e formazione
Cos’è lo shadow AI
Lo shadow AI si verifica quando i dipendenti utilizzano strumenti di intelligenza artificiale senza che l’azienda ne sia a conoscenza o li abbia autorizzati. Le forme più comuni:
- Uso di ChatGPT/Gemini/Claude con account personali per redigere email, report, presentazioni
- Upload di documenti aziendali su piattaforme di IA per riassunti, traduzioni o analisi
- Uso di plugin e estensioni AI nel browser (riassunti automatici di meeting, trascrizioni)
- Generazione di codice con strumenti AI non approvati dall’IT
- Analisi di dati aziendali copiati e incollati in chatbot esterni
65%
delle aziende europee ha dipendenti che usano strumenti di IA generativa con account personali, fuori dal controllo IT
Source : Gartner Survey on Shadow AI in European Enterprises, 2025
Perché è pericoloso: i 5 rischi principali
1. Violazione del GDPR
Quando un dipendente copia dati personali di clienti, dipendenti o partner in ChatGPT (versione gratuita), quei dati vengono trasferiti ai server di OpenAI negli Stati Uniti. Senza le clausole contrattuali standard (SCC) e senza una base giuridica per il trasferimento, questa operazione viola il GDPR.
Il Garante italiano ha dimostrato di prendere molto seriamente queste violazioni. Dopo il blocco di ChatGPT nel 2023, ha imposto a OpenAI una sanzione di 15 milioni di euro nel 2024 e ha emanato prescrizioni dettagliate sul trattamento dei dati degli utenti italiani.
Per l’azienda, la responsabilità è diretta: il titolare del trattamento è responsabile anche per le azioni dei propri dipendenti, incluso l’uso non autorizzato di strumenti di IA.
2. Fuga di dati riservati
Samsung ha vietato l’uso di ChatGPT dopo che tre diversi dipendenti hanno inserito codice sorgente proprietario e note di riunioni riservate nel chatbot in un periodo di sole tre settimane. Incidenti simili si verificano ogni giorno nelle aziende italiane, ma la maggior parte non viene mai rilevata.
I dati a rischio includono:
- Codice sorgente e proprietà intellettuale
- Dati finanziari non pubblici
- Strategie commerciali e piani di business
- Contratti e documenti legali
- Dati sanitari dei dipendenti
3. Violazione del Regolamento IA
L’Articolo 4 del Regolamento (UE) 2024/1689 obbliga le aziende a garantire competenze IA adeguate per il personale. L’uso non governato di strumenti IA è l’opposto di questa prescrizione. Inoltre, se un dipendente usa un sistema di IA ad alto rischio senza le dovute precauzioni, l’azienda può incorrere in sanzioni fino a 15 milioni di euro.
La formazione strutturata è il primo passo per passare dallo shadow AI a un uso governato.
4. Decisioni basate su output inaffidabili
Quando i dipendenti usano l’IA in segreto, non applicano protocolli di verifica. Le allucinazioni dell’IA — informazioni false presentate come vere — diventano la base di decisioni aziendali senza che nessuno lo sappia.
5. Impossibilità di audit
In caso di incidente (violazione dei dati, decisione errata, contestazione legale), l’azienda non ha traccia dell’uso dell’IA. Questo rende impossibile l’analisi post-incidente e compromette la difesa legale.
Il paradosso dello shadow AI: più un’azienda vieta l’uso dell’IA senza offrire alternative, più i dipendenti ricorrono allo shadow AI. Il divieto totale non è una soluzione — è un acceleratore del problema.
Come rilevare lo shadow AI nella vostra azienda
1. Analisi del traffico di rete
Il team IT può monitorare le connessioni verso le API e i domini dei principali provider di IA (api.openai.com, gemini.google.com, claude.ai, etc.) dalla rete aziendale. Questo rivela l’entità del fenomeno senza violare la privacy individuale.
2. Indagine anonima
Un sondaggio interno anonimo è spesso il metodo più efficace. Le domande chiave:
- Quali strumenti di IA utilizzate nel lavoro quotidiano?
- Per quali attività?
- Con quale frequenza?
- Avete mai inserito dati aziendali in questi strumenti?
L’anonimato è fondamentale: i dipendenti non ammetteranno l’uso di strumenti non autorizzati se temono conseguenze.
3. Analisi dei flussi di lavoro
Cercate segnali indiretti: report che sembrano generati da IA (stile uniforme, struttura standardizzata), produttività improvvisamente elevata su attività specifiche, email con formulazioni insolitamente elaborate.
4. Revisione delle sottoscrizioni SaaS
Gli strumenti come Productiv, Zylo o Torii permettono di inventariare tutte le applicazioni SaaS in uso nell’organizzazione, identificando quelle non autorizzate.
15M€
sanzione imposta dal Garante italiano a OpenAI nel 2024 per violazioni del GDPR relative al trattamento dei dati degli utenti italiani
Source : Garante per la protezione dei dati personali, Provvedimento n. 9978570, 2024
La soluzione: governare, non vietare
Fase 1: Riconoscere e comprendere (settimana 1-2)
- Conducete un’analisi dello stato attuale con i metodi descritti sopra
- Quantificate l’entità del fenomeno
- Identificate i casi d’uso principali (perché i dipendenti usano l’IA?)
Fase 2: Definire la policy (settimana 3-4)
Redigete una policy sull’uso dell’IA che sia:
- Chiara: linguaggio comprensibile, non legale
- Realistica: se i dipendenti hanno bisogno dell’IA, fornite alternative ufficiali
- Specifica: quali strumenti sono approvati, quali dati si possono usare, quali no
- Proporzionata: livelli di accesso diversi per ruolo e livello di rischio
La Banca d’Italia ha pubblicato nel 2025 linee guida sull’uso dell’IA nel settore finanziario che possono servire da modello per la struttura della policy.
Fase 3: Fornire strumenti ufficiali (settimana 3-6)
La soluzione più efficace allo shadow AI è dare ai dipendenti ciò di cui hanno bisogno:
- Sottoscrivere licenze enterprise (ChatGPT Enterprise, Gemini Enterprise, Microsoft Copilot) con garanzie di privacy e compliance
- Configurare l’accesso SSO per centralizzare la gestione
- Attivare la residenza dati UE dove disponibile
- Definire i limiti tecnici: DLP (Data Loss Prevention) per impedire l’inserimento di dati classificati
Fase 4: Formare (settimana 4-8)
La formazione è il cardine della transizione dallo shadow AI all’uso governato. Deve coprire:
- Come usare gli strumenti ufficiali in modo efficace
- Quali dati possono e non possono essere inseriti
- Come verificare gli output dell’IA
- Come segnalare problemi o dubbi
Fase 5: Monitorare e aggiornare (continuo)
- Monitoraggio trimestrale dell’uso degli strumenti IA
- Aggiornamento della policy in base all’evoluzione degli strumenti e della normativa
- Sessioni di aggiornamento formativo semestrali
Test: quanto siete esposti allo shadow AI?
Valutate la vostra esposizione allo shadow AI con questo scenario interattivo.
Il ruolo del DPO: il Data Protection Officer è una figura chiave nella gestione dello shadow AI. In Italia, dove il ruolo del DPO è particolarmente strutturato, la collaborazione tra DPO, IT e HR è essenziale per costruire un framework di governance efficace. Coinvolgetelo fin dalla fase di analisi.
Conclusione
Lo shadow AI non è un problema che si risolve con un divieto. È il sintomo di un bisogno reale dei dipendenti che l’azienda non sta soddisfacendo. La soluzione è governare l’IA: fornire strumenti ufficiali, definire regole chiare e formare le persone. Le aziende italiane che affrontano lo shadow AI con questo approccio riducono i rischi, migliorano la produttività e si mettono in regola con il GDPR e il Regolamento IA.
Volete governare l’uso dell’IA nella vostra azienda?
Articoli correlati
Rischi IA in azienda: 6 categorie e piano d'azione
Gestite i rischi dell'IA con matrice di rischio, piano di mitigazione e conformità al Regolamento Europeo. Guida operativa per dirigenti.
Rischi dell'IA in azienda: 6 minacce e soluzioni
I 6 rischi concreti dell'IA per le aziende: allucinazioni, bias, fughe di dati e shadow AI. Esempi reali e soluzioni pratiche da applicare.
Compliance IA in azienda: guida al Regolamento 2026
Adeguate la vostra azienda all'AI Act e al GDPR. Audit, documentazione e formazione obbligatoria in una guida pratica.