Perché la sicurezza delle identità è fondamentale per gestire la Shadow AI

I dipendenti adottano strumenti di intelligenza artificiale (AI) per migliorare la loro produttività, ma raramente considerano le implicazioni per la sicurezza legate a questa scelta. Quando un dipendente incolla dati sensibili dei clienti in uno strumento di AI non approvato, tali dati vengono elaborati da un modello di terze parti al di fuori del controllo dell’organizzazione, spesso senza lasciare alcuna traccia di audit che i team di sicurezza possano esaminare.

Secondo il Work Trend Index Annual Report 2024 di Microsoft, il 78% dei dipendenti ha dichiarato di utilizzare propri strumenti di AI sul lavoro. Questo uso non approvato di strumenti di AI evidenzia quanto sia diffusa la Shadow AI. La sicurezza dell’identità fornisce la base per affrontare questa sfida, aiutando le organizzazioni ad acquisire visibilità su chi accede agli strumenti di AI e in quali condizioni, e offrendo ai team di sicurezza il controllo necessario per governare l’uso dell’AI.

Continua a leggere per saperne di più sulla Shadow AI, sul perché rappresenta un rischio importante per la sicurezza delle identità e su come gestire la Shadow AI incentrata sull’identità.

Differenze tra Shadow IT e Shadow AI

La Shadow AI amplia i rischi già esistenti dello Shadow IT, ma introduce minacce più moderne e complesse. Il termine Shadow IT si riferisce all’uso non autorizzato di software o sistemi all’interno di un’organizzazione. Ad esempio, un dipendente può utilizzare un account email personale per condividere file di lavoro, creando lacune nel controllo degli accessi e nella visibilità. La Shadow AI fa un ulteriore passo avanti in quanto gli strumenti di AI non solo memorizzano i dati, ma li elaborano attivamente e possono conservarli. Questo crea un nuovo livello di esposizione dei dati, in cui le informazioni sensibili possono essere profondamente incorporate in modelli esterni al di fuori del controllo dell’organizzazione. Due fattori che rendono l’AI particolarmente difficile da gestire includono:

• Uso di account personali o dispositivi: i dipendenti che accedono agli strumenti di AI al di fuori degli ambienti forniti dall’azienda tramite account e dispositivi personali disconnettono la loro attività dalla loro identità aziendale, eliminando trasparenza e tracciabilità.
• Strumenti di AI basati su browser: gli strumenti di AI basati su browser non richiedono installazione, rendendoli più difficili da rilevare in ambienti che si affidano esclusivamente a controlli basati su endpoint.

Questa combinazione di esposizione dei dati su una scala così ampia e di strumenti capaci di eludere il rilevamento tradizionale rende la Shadow AI un problema di sicurezza particolarmente impegnativo.

Perché la Shadow AI è una questione di sicurezza dell’identità

Quando i dipendenti utilizzano strumenti di AI non approvati, i team di sicurezza non hanno alcuna visibilità su quali dati sono stati condivisi, chi ha avuto accesso allo strumento o cosa fa con quei dati. Questa mancanza di visibilità dell’identità è il motivo principale per cui la Shadow AI è così difficile da individuare, per non parlare della gestione. Le soluzioni di gestione delle identità e degli accessi (Identity and Access Management o IAM) tradizionali sono state progettate per utenti umani con comportamenti prevedibili e ruoli definiti, ma le organizzazioni moderne devono adattare le loro strategie di sicurezza per tenere conto delle Identità non umane (Non-Human Identities o INH), inclusi agenti AI e account di servizio. Queste identità macchina possono accedere ai sistemi ed eseguire attività in modo autonomo su più sistemi critici, e stanno diventando sempre più diffuse all’interno delle aziende. Infatti, secondo i dirigenti senior intervistati nel State of AI Global Survey 2025 di McKinsey, il 62% ha riferito che le proprie organizzazioni stanno almeno sperimentando agenti AI. A differenza degli utenti umani, gli agenti AI possono operare continuamente, scalare rapidamente e interagire tra molti sistemi contemporaneamente. Senza controlli di sicurezza dell’identità in grado di governare sia le identità umane che quelle delle macchine, le organizzazioni perdono il controllo su come viene effettuato l’accesso ai loro dati e su come questi vengono utilizzati.

I principali rischi della Shadow AI legati all’identità

La debolezza della sicurezza delle identità non solo rende la Shadow AI più difficile da individuare, ma aggrava anche i danni che questa può causare.

Accesso ai dati non monitorato

I dipendenti che condividono dati sensibili con strumenti di AI non approvati creano un’esposizione dei dati che i sistemi di monitoraggio tradizionali potrebbero non rilevare. Gli strumenti di prevenzione della perdita di dati possono monitorare solo i canali su cui hanno visibilità; la Shadow AI opera al di fuori di questi confini. Se un dipendente utilizza uno strumento di AI non approvato tramite un account personale non monitorato, le organizzazioni non hanno modo di monitorare, registrare o tracciare l’attività. Se dati o credenziali riservati vengono esposti, i criminali informatici possono accedere a sistemi critici senza una chiara traccia di audit.

Proliferazione delle identità macchina

A differenza dei dipendenti umani, che sono sottoposti a processi formali di onboarding e offboarding, gli agenti AI e gli account di servizio spesso non hanno una gestione strutturata del ciclo di vita. Di conseguenza, un numero crescente di identità macchina opera in più ambienti con autorizzazioni eccessive e supervisione limitata, con conseguente proliferazione delle identità macchina. Senza visibilità sulle identità macchina, le organizzazioni non possono verificare a quali sistemi si accede né se questi siano stati compromessi.

Lacune nella conformità e negli audit

Quadri normativi come il GDPR, l’HIPAA e il PCI DSS richiedono alle organizzazioni di tracciare come i dati sensibili vengono accessi ed elaborati, indipendentemente dal fatto che la responsabilità sia di un umano o di una macchina. Se la sicurezza delle identità copre solo gli utenti umani, le organizzazioni non possono produrre un tracciamento completo delle attività di AI, esponendole a sanzioni normative e a rilievi di audit sempre più difficili da sanare a posteriori.

Come gestire la Shadow AI incentrata sull’identità

La gestione della Shadow AI non dovrebbe comportare il blocco di tutti gli strumenti di AI per i membri dell’organizzazione: dovrebbe iniziare ottenendo piena visibilità su chi accede a sistemi e dati critici. Ecco alcuni passaggi chiave che i tuoi team IT e di sicurezza dovrebbero seguire per adottare un approccio incentrato sull’identità nella gestione della Shadow AI:

Proteggi le identità umane e macchina con Keeper^®

Mentre l’adozione dell’AI cresce, anche la Shadow AI crescerà con essa. Le organizzazioni hanno bisogno di una piattaforma di sicurezza dell’identità che offra visibilità, controllo e governance su ogni identità, sia umana che macchina.

Keeper garantisce l’accesso privilegiato sia agli utenti umani che alle identità macchina, applica politiche del privilegio minimo e fornisce un monitoraggio delle sessioni in tempo reale sui sistemi critici. Governa i segreti dell’infrastruttura e le chiavi API su cui gli agenti AI fanno affidamento, assicurando che le NHI operino entro confini definiti e che le credenziali vengano ruotate automaticamente. KeeperAI migliora questa visibilità analizzando le sessioni privilegiate in tempo reale e facendo emergere le attività ad alto rischio nel momento stesso in cui si verificano. Costruita su un’architettura zero trust e zero knowledge, Keeper fornisce i log di audit e i controlli di accesso necessari alle organizzazioni per governare l’uso dell’AI senza bloccare la produttività che ne deriva.

Inizia oggi una prova gratuita di Keeper per ottenere piena visibilità e controllo su ogni identità nel tuo ambiente.