Scritto in data 20.4.2026
Stavo preparando un articolo sullo Shadow IT, un fenomeno che chi lavora nel mondo IT conosce bene da anni. Software installati senza autorizzazione, strumenti acquistati con carte aziendali senza passare dai processi interni, applicazioni usate dai team senza il coinvolgimento dell’IT. In sostanza, tecnologia introdotta in azienda fuori da qualsiasi governance.
Mentre raccoglievo materiale, mi sono però reso conto che il vero problema si era già spostato altrove.
Oggi molte organizzazioni continuano a preoccuparsi dello Shadow IT tradizionale, mentre al loro interno sta crescendo qualcosa di molto più rapido, silenzioso e difficile da controllare: lo Shadow AI, cioè l’utilizzo di strumenti di Intelligenza Artificiale non approvati o non governati dall’azienda.
La differenza è sostanziale. Un software installato senza controllo può generare inefficienza, problemi di compatibilità o vulnerabilità tecniche. Un sistema AI usato senza regole può invece esporre dati sensibili, trasferire proprietà intellettuale all’esterno, produrre errori decisionali e creare rischi normativi o reputazionali.
I numeri raccontano che il problema è già reale
Non si tratta di uno scenario futuro. È qualcosa che sta già accadendo.
Secondo il report BlackFog 2026, il 49% dei dipendenti dichiara di utilizzare strumenti AI non autorizzati dall’azienda. Ancora più significativo è ciò che viene inserito dentro queste piattaforme: il 33% carica dati aziendali, ricerche o dataset interni; il 27% inserisce dati relativi ai dipendenti; il 23% utilizza informazioni finanziarie o commerciali.
Fonte: BlackFog – Shadow AI Threat Grows Inside Enterprises
Tradotto in termini semplici: molte persone stanno già spostando contenuti aziendali verso strumenti esterni, spesso senza una reale consapevolezza delle conseguenze.
Il problema non nasce dalla cattiva fede
Nella maggior parte dei casi non c’è intenzione di violare regole o mettere a rischio l’azienda. C’è il desiderio di lavorare meglio e più velocemente.
Un contratto da riassumere. Un foglio Excel da analizzare. Un’offerta commerciale da riscrivere. Un report da sintetizzare. Un testo da migliorare.
L’AI rende tutto immediato e proprio questa semplicità abbassa la percezione del rischio. Bastano pochi secondi per copiare e incollare informazioni interne dentro una piattaforma gratuita.
Ma la vera domanda non è quanto sia comodo farlo. La vera domanda è: che fine fanno quei dati?
Dove vengono memorizzati? Per quanto tempo restano disponibili? Possono essere utilizzati per addestrare modelli futuri? Sono gestiti in linea con le policy aziendali? Sono compatibili con GDPR, AI Act e requisiti di compliance interna?
Se queste domande non hanno risposta, il problema esiste già.
Anche il management sta sottovalutando il fenomeno
Uno degli aspetti più interessanti emersi dal report BlackFog riguarda il top management. Il 69% dei dirigenti e membri del C-level intervistati dichiara di privilegiare velocità e produttività rispetto a privacy e sicurezza nell’adozione dell’AI.
È un segnale chiaro: in molte aziende l’innovazione sta correndo più veloce della governance.
Questo scenario viene confermato anche da Gartner, secondo cui entro il 2030 oltre il 40% delle imprese subirà incidenti legati alla Shadow AI, con impatti di sicurezza o compliance. Inoltre, il 69% delle organizzazioni sospetta o ha evidenze dell’uso di strumenti GenAI pubblici vietati o non approvati internamente.
Fonte Gartner Newsroom:
Gartner Identifies Critical GenAI Blind Spots That CIOs Must Urgently Address
Il messaggio è semplice: non siamo davanti a eccezioni isolate, ma a una tendenza strutturale.
La domanda interna di AI è già esplosa
Un ulteriore elemento arriva dalle analisi discusse da Harvard Business Review, basate su studi MIT e osservazioni sul comportamento delle organizzazioni. Il quadro mostra che in moltissime aziende i dipendenti stanno già utilizzando strumenti AI personali o non governati, mentre le imprese non hanno ancora introdotto piattaforme ufficiali o policy mature.
Secondo queste ricerche, oltre il 90% delle aziende ha persone che utilizzano strumenti AI personali per attività lavorative.
Fonte: Harvard Business Review – The Hidden Demand for AI Inside Your Company
In altre parole, la domanda interna di AI esiste già. Ciò che manca, spesso, è la risposta organizzativa.
Perché lo Shadow AI è più pericoloso dello Shadow IT
Lo Shadow IT tradizionale introduceva strumenti non controllati. Lo Shadow AI trasferisce invece conoscenza aziendale all’esterno.
Ogni prompt può contenere know-how operativo, strategie commerciali, pricing, codice sorgente, dati clienti, curriculum, valutazioni HR, report interni o processi proprietari.
Molte aziende continuano a proteggere server, reti e dispositivi, ma il patrimonio più prezioso spesso non si trova lì. Si trova nei contenuti che le persone generano ogni giorno.
Come affrontarlo davvero
Bloccare l’AI non è realistico, né intelligente. Governarla sì.
Le aziende dovrebbero prima di tutto offrire strumenti ufficiali, sicuri e semplici da usare. Quando non esiste un’alternativa interna, i dipendenti ne cercano inevitabilmente una esterna.
Serve poi una policy chiara, scritta in modo comprensibile, che spieghi cosa può essere inserito nei sistemi AI e cosa deve restare fuori. Senza regole pratiche, le policy restano documenti inutili.
È altrettanto importante investire nella formazione. Molti comportamenti rischiosi non derivano da malizia, ma da inconsapevolezza.
Infine, esiste una regola molto concreta che ogni azienda dovrebbe adottare immediatamente: mai inserire in strumenti AI gratuiti o consumer contratti, dati clienti, informazioni HR, documenti strategici, codice proprietario o contenuti riservati.
La vera domanda che ogni azienda dovrebbe porsi
Non è se i dipendenti stiano già usando l’AI.
Molto probabilmente lo stanno già facendo.
La domanda corretta è se la stiano usando sotto controllo o fuori controllo.
Perché lo Shadow IT di ieri installava software non autorizzato. Lo Shadow AI di oggi esporta conoscenza aziendale con un semplice copia-incolla.
E molte organizzazioni se ne renderanno conto solo quando il danno sarà già avvenuto.
Discussioni