Shadow AI: l’intelligenza artificiale nell’ombra che sfida le regole aziendali

Parliamo sempre più spesso di quanto sia essenziale e strategico l’inserimento di elementi di intelligenza artificiale all’interno dei molteplici processi aziendali, ma spesso resta in secondo piano un fattore di criticità fortemente diffuso e difficile da monitorare: l’utilizzo non controllato e autorizzato dell’AI da parte dei dipendenti. È quello che in gergo viene chiamato shadow AI ed espone l’azienda a rischi legati alla cybersecurity e non solo.

Che cos’è la shadow AI

Il problema può suonare familiare: sono anni che le aziende sono esposte a criticità qualora il personale utilizzi strumenti tecnologici non autorizzati (in questo caso si parla di shadow IT). La grossa differenza, però, sta proprio nell’enorme quantità di dati, anche sensibili, che l’AI può processare con sempre maggiore autonomia: un qualunque chatbot può creare in pochi secondi un report completo sulla riunione appena conclusa oppure proporre una strategia adatta allo scenario prospettato. 

Tuttavia quelle informazioni vengono date in pasto alla macchina e, negli scenari peggiori, usate per l’addestramento del modello stesso. Ogni interazione rappresenta potenzialmente un punto di fuga per informazioni proprietarie, dati personali protetti dal GDPR e persino segreti industriali: un rischio concreto di falle non previste nei protocolli di cybersecurity di un’organizzazione.

Quanto è diffuso il fenomeno

Partiamo dai dati: secondo uno studio di Infosecurity Magazine, tra 2023 e 2024 l’adozione di applicativi di intelligenza artificiale da parte dei dipendenti è cresciuta dal 74 al 96% tra quelle aziende che si sono dotate di sistemi di questo tipo. Quasi quattro dipendenti su dieci, però, hanno ammesso di aver condiviso informazioni sensibili con piattaforme AI non autorizzate.

Tra i motivi principali del ricorso alla tecnologia ci sono la possibilità di aumentare la produttività o di automatizzare compiti ripetitivi, ma anche l’opportunità di accedere a capacità analitiche avanzate non disponibili attraverso strumenti aziendali.

Ed è qui uno dei nodi del problema: spesso le aziende non hanno policy chiare sull’AI oppure vietano il ricorso senza però offrire alternative ufficiali. L’uso autorizzato quindi non è legato alla trasgressione in sé del divieto, quanto a una sorta di gap percepito tra i bisogni di chi lavora e la disponibilità di strumenti autorizzati. 

Le motivazioni sui ritardi delle aziende su questo sono molteplici, dai lunghi tempi della burocrazia, ai processi di approvazione dell’IT, alla resistenza al cambiamento da parte dei vertici, fino a una più scontata mancanza di budget apposito.

Stando a un sondaggio di CybSafe, svolto su oltre 7mila persone tra Stati Uniti, Regno Unito, Canada, Germania, Australia, India e Nuova Zelanda, i più propensi a “sperimentare” sono i giovani della GenZ (46% di loro usa l’AI senza consenso dell’azienda): in quanto nativi digitali, per loro risulta più facile cimentarsi con i nuovi strumenti e restare al passo con i rapidi sviluppi della tecnologia. Subito dopo di loro ci sono i Millennials (43% di uso non autorizzato), e via via che si sale a ritroso con l’anno di nascita l’uso di strumenti AI diminuisce sensibilmente.

Quali sono i rischi

L’utilizzo improprio dell’intelligenza artificiale in azienda espone a diverse criticità, ciascuna con gravose implicazioni non solo per le direzioni HR, ma anche per i manager e la leadership.

Un primo e lampante rischio è legato alla possibilità di generare data breach ed esporre dati sensibili: questo perché il dipendente non ha contezza di dove le informazioni vengano archiviate e a che scopo, se vengano usate per addestrare i modelli o altro ancora. Sono molti i casi in cui, per esempio, i fornitori dei vari chatbot hanno clausole esplicite che concedono diritti di utilizzo su tutti i contenuti caricati. Un singolo prompt può quindi ‘cedere’ strategie commerciali, dati di clienti, proprietà intellettuale.

Da qui discende anche il concreto rischio di violare la privacy delle persone (pensiamo banalmente a usare l’AI, senza autorizzazione, per selezionare o analizzare una serie di CV di potenziali candidati) o di risultare non conformi alla normativa europea. Il GDPR impone infatti trasparenza e controllo sui trattamenti automatizzati di dati personali, perciò utilizzare indiscriminatamente sistemi AI esterni può generare una serie di violazioni 

Molti strumenti AI generativi riproducono poi pregiudizi presenti nei dataset di addestramento: usare un sistema non controllato per lo screening dei CV, per esempio, potrebbe esporre a bias algoritmici e discriminazione, creando danni ai candidati, in primis, ma anche alla reputazione dell’azienda.

Un’AI non attentamente valutata può generare con ancora maggior frequenza, nello scenario aziendale, risultati convincenti ma totalmente errati o inventati (è la cosiddetta allucinazione), per questo non è assolutamente praticabile delegare importanti decisioni a questi strumenti, che devono mantenere un controllo umano alla base, tanto più se gli output sconfinano in criticità di carattere etico o legale.

Le opportunità nascoste

Nell’uso di shadow AI, però, si nascondono anche degli elementi di innovazione: è un chiaro segnale che il personale è in grado, e anzi è desideroso di farlo, di usare nuovi strumenti e nuove tecnologie per lavorare meglio. Pur non trascurando tutti i rischi connessi, l’uso di AI resta un indice di proattività da parte del dipendente, che ha anche quel giusto guizzo necessario a immaginare nuovi metodi di lavoro: l’importante, qui, è riuscire a canalizzare questi tentativi sparsi all’interno di un tracciato studiato e ben definito.

I dipendenti che sperimentano autonomamente nuovi strumenti spesso individuano applicazioni non considerate dall’IT o dal management e possono persino identificare inefficienze processuali, scoprire modalità creative di utilizzo e testare nuove soluzioni prima dell’investimento formale. Da un punto di vista prettamente HR, invece, si possono ottenere insight su competenze emergenti, attitudine al cambiamento, aree di eccellenza o difficoltà tra il personale. 

Come gestire la shadow AI

Come tutti i problemi all’interno di un’azienda, anche l’uso improprio dell’intelligenza artificiale può rientrare agevolmente nei ranghi se affrontato nel modo corretto. Serve innanzitutto mappare il fenomeno, per capirne l’estensione: a questo scopo possono essere utili survey anonime o audit specifici, che rivelino quali strumenti siano utilizzati, per quale motivo e con quale frequenza. Il clima deve essere di fiducia, altrimenti i dipendenti si sentiranno minacciati e taceranno gli utilizzi non autorizzati.

L’azienda deve dotarsi, o aggiornare, quanto prima la propria policy in materia, puntando su una comunicazione chiara e trasparente: è importante optare per punti ben definiti e semplici, più che su lunghi fraseggi in legalese. I dipendenti cercano principalmente risposte a domande basilari ma essenziali: quali dati non devono mai essere inseriti in un’AI pubblica? Di cosa risponde il lavoratore? Esiste una prassi consolidata?

E in effetti, vietare senza proporre alternative è controproducente: è importante valutare, nei limiti, l’adozione di piattaforme AI ad hoc, che offrono maggiori garanzie di sicurezza, conformità e controllo. Per le direzioni HR diventa altresì necessario investire anche sulla formazione del personale e della governance: l’autonomia e la proattività dimostrate nell’uso di shadow AI devono essere canalizzate in un utilizzo più consapevole anche dei rischi e delle criticità. Non solo: formare tutti significa anche aiutare i lavoratori più maturi, che rischiano di essere lasciati indietro perché meno avvezzi alle tecnologie in rapido cambiamento.