Nell’ultimo anno il 71% delle organizzazioni nel Regno Unito e negli USA ha dovuto pagare multe salate per violazioni dei dati. Secondo quanto riportano i professionisti della cybersecurity coinvolti in una indagine di IO, uno dei rischi emergenti più citati alla base dei data breach è lo Shadow AI, ossia l’uso incontrollato di strumenti di GenAI da parte dei dipendenti. A metterlo nero su bianco è il IO State of Information Security Report 2025.

Il fenomeno dello Shadow AI rientra nella più ampia tematica degli errori umani. Dal report emerge che l’utilizzo non autorizzato di software e servizi, lo Shadow IT, si riconferma la pratica più diffusa negli ultimi dodici mesi. La sua sottocategoria Shadow AI riguarda il 37% degli intervistati: è questa, infatti, la percentuale dei dipendenti che hanno ammesso di usare strumenti di GenAI senza il permesso dell’azienda. A chiudere il terzetto dell’ampliamento della superficie di rischio è l’uso di dispositivi personali non sicuri e l’accesso a reti Wi-Fi pubbliche.

Perché non si parla solo di Shadow IT? Perché a differenza dello Shadow IT, lo Shadow AI moltiplica l’esposizione delle aziende aprendo a conseguenze profonde e talvolta imprevedibili. Per capire basti pensare che gli strumenti di GenAI sono capaci di processare dati sensibili e informazioni proprietarie con logiche che, se non presidiate, possono tradursi in violazioni di normative come il GDPR. L’inconsapevolezza dei dipendenti e la mancata supervisione da parte del reparto IT generano pertanto un vuoto gestionale che mette a repentaglio la protezione del dato.

Il report evidenzia poi che il 20% delle violazioni di dati nell’ultimo anno è riconducibile direttamente a incidenti di Shadow AI. Un ulteriore 11% delle aziende vittime dichiara di non sapere se l’episodio sia collegato a questo fenomeno, il che fa sospettare che la reale portata del problema sia destinata a rimanere in parte sommersa. La preoccupazione è confermata dal fatto che il 34% degli intervistati pone lo Shadow AI ai primi posti tra i rischi per i prossimi dodici mesi. Un trend che si inserisce in un contesto in cui l’adozione di tecnologie di intelligenza artificiale e machine learning è in crescita costante, se si considera che il 79% delle aziende coinvolte nel sondaggio ha già implementato soluzioni di AI e un ulteriore 19% lo farà entro la fine dell’anno.

Quali sono gli errori di cybersecurity più comuni commessi dai vostri dipendenti negli ultimi 12 mesi?

Uno degli aspetti più critici resta la gestione della compliance in relazione ai dati sensibili. Inserire informazioni protette in strumenti AI pubblici apre infatti la strada a potenziali fughe di dati, perdita di proprietà intellettuale e pesanti sanzioni da parte delle autorità di vigilanza. Nonostante questa consapevolezza, solo il 21% delle aziende intende dare priorità nel prossimo anno alla definizione di policy per l’uso responsabile dell’AI.

Al contrario, oltre la metà degli intervistati riconosce di aver introdotto la GenAI troppo rapidamente e ora fatica a gestirne i rischi. Una situazione che si traduce in una superficie d’attacco sempre più vasta e difficile da monitorare, perché gli strumenti non approvati possono facilitare, senza che l’azienda se ne renda conto, la fuga accidentale di dati sensibili, l’introduzione di minacce sviluppate con AI (pensiamo al malware generativo o al data poisoning), il mancato rispetto delle logiche interne di segmentazione delle informazioni.