L’intelligenza artificiale rappresenta un motore fondamentale per la trasformazione digitale delle imprese, ma apre anche la strada a temi sempre nuovi, che richiedono attenzione. Tra questi, rientra anche la “shadow AI“, cioè l’uso di servizi e soluzioni di intelligenza artificiale da parte dei lavoratori senza che l’azienda ne sia al corrente.

Questo concetto deriva da quello di “shadow IT“, ovvero l’utilizzo di servizi e applicazioni, da parte dei dipendenti, senza un’autorizzazione o un controllo dei team IT aziendali. Non è difficile intuire come questa pratica possa comportare dei rischi significativi in termini di sicurezza, privacy e conformità alle normative.

Cosa è la shadow AI?

Come evidenzia Margherita Ceci nel suo articolo su Il Sole 24 Ore, l’intelligenza artificiale è una corsa a “piantare per primi la bandierina” e le aziende devono decidere se essere all’avanguardia, oppure rimanere vulnerabili a causa di un controllo insufficiente. Guardando al panorama italiano, prevale una visione ottimistica e aperta alle nuove sfide. Lo rivelano i dati emersi dalla prima edizione dell’Italy AI Barometer realizzata da EY, che vedono il nostro Paese tra i primi tre in Europa ad aver adottato l’intelligenza artificiale nelle aziende, preceduta soltanto da Spagna e Svizzera.

“Spesso – sottolinea Giuseppe Santonato, AI leader di EY Emeia e AI transformation leader di EY Italia – ci dimentichiamo che l’Ia non è solo tecnologia, ma la capacità di far parlare tante cose diverse, informazioni da una parte, esigenze di business dall’altra. Penso che noi italiani siamo bravi in questo: inventare, costruire, tirare fuori il meglio da determinate situazioni complesse”.

L’AI crea enormi opportunità di business, ma naturalmente può comportare potenziali rischi per le imprese che non stabiliscono adeguati meccanismi di controllo. Una sfida continua e sempre in atto: da un lato, infatti, ci sono i cybercriminali che sfruttano le tecnologie, mentre dall’altro i team di sicurezza implementano contromisure.

La shadow AI è un fenomeno che cresce insieme alle applicazioni di intelligenza artificiale generativa, come ChatGPT. I dipendenti, spesso, utilizzano queste piattaforme per le loro attività quotidiane, ma l’azienda non ha sempre una piena consapevolezza dell’utilizzo o, magari, non ha definito dei rigidi protocolli di sicurezza.

Ross McKerchar, Chief Information Security Officer di Sophos, sottolinea che questa situazione richiama quanto accaduto dieci anni fa, quando le aziende iniziavano a migrare verso il cloud e molti strumenti venivano utilizzati senza controllo da parte del team IT. “Il mondo è andato avanti, ma i team di sicurezza hanno faticato a mettersi al passo con queste tendenze e ancora oggi stiamo cercando di recuperare”, afferma McKerchar.

Le implicazioni sono numerose: le applicazioni di AI utilizzate potrebbero violare regolamenti come il GDPR, esponendo dati sensibili o informazioni riservate a potenziali rischi. Un esempio recente è stata la fuga di dati attraverso ChatGPT, che ha sollevato preoccupazioni su come queste tecnologie gestiscono la privacy e la sicurezza delle informazioni.

Shadow AI e sicurezza informatica

Secondo uno studio di Palo Alto Networks, circa il 57% dei dipendenti utilizza applicazioni di AI generativa su base settimanale, mettendo in crisi i team di cybersecurity delle aziende, che si ritrovano costretti a rivedere strategie e controlli. Il vicepresidente di Palo Alto Networks, Michele Lamartina, spiega come l’espansione dell’AI sia molto più rapida, rispetto a quella di tecnologie precedenti, come gli smartphone o il web, aumentando il rischio di utilizzi non regolamentati

Menachem Shafran, vicepresidente per la Strategy and Innovation di XM Cyber, aggiunge che le aziende stanno cercando di rispondere offrendo modelli di AI proprietari e controllati, ma la vera sfida è garantire che questi strumenti siano sicuri. “Dietro ogni risposta generata da ChatGPT ci sono interi sistemi software e database, e tutti questi necessitano di protezione”, afferma Shafran, alludendo alla complessità e ai potenziali rischi legati all’uso di modelli generativi non regolamentati. Immagine di freepik.