Sicurezza informatica 
I dipendenti adottano strumenti di intelligenza artificiale (AI) per migliorare la loro produttività, ma raramente considerano le implicazioni per la sicurezza legate a questa scelta. Quando
Pubblicato il Maggio 13, 2026
Immagina un rappresentante del servizio clienti della tua organizzazione che carica dati sensibili dei clienti in uno strumento di AI per redigere email più rapidamente. Quando un dipendente utilizza uno strumento di AI senza l’approvazione del reparto IT, si parla di Shadow AI e casi del genere stanno diventando sempre più comuni. Secondo il Work Trend Index 2024 di Microsoft, tra i dipendenti che utilizzano l’AI sul lavoro, il 78% dichiara di utilizzare strumenti non formalmente approvati dalla propria organizzazione. Sebbene i team di sicurezza abbiano sviluppato strategie per affrontare il tradizionale Shadow IT, lo Shadow AI introduce nuovi rischi che richiedono un approccio più moderno. La principale differenza tra Shadow IT e Shadow AI è che lo Shadow AI non solo trasferisce e memorizza dati sensibili, ma li elabora attivamente e può conservarli.
Continua a leggere per saperne di più su Shadow IT, Shadow AI e su come individuare e gestire efficacemente lo Shadow AI.
Cos’è lo Shadow IT?
Il termine Shadow IT si riferisce a qualsiasi software o servizio cloud che i dipendenti utilizzano senza la conoscenza o l’approvazione del reparto IT. Ciò può includere l’uso di account di posta elettronica personali per condividere file di lavoro, l’installazione di estensioni browser non autorizzate o il collegamento di dispositivi personali a una rete aziendale. Poiché queste azioni bypassano i processi formali di approvazione, non vengono verificate dai team di sicurezza prima dell’utilizzo. Sebbene lo Shadow IT sia motivato principalmente dalla produttività piuttosto che da intenti malevoli, può introdurre diversi rischi per la sicurezza:
- Visibilità limitata: quando i team IT non sono a conoscenza di applicazioni non autorizzate, non possono monitorarne l’utilizzo né proteggere i dati aziendali. Qualsiasi vulnerabilità di sicurezza in tali applicazioni può diventare un punto di ingresso nascosto in una rete.
- Violazioni della conformità: i software non autorizzati raramente soddisfano i criteri di gestione dei dati previsti da normative come il GDPR o l’HIPAA. Se i dati vengono gestiti in modo improprio, le organizzazioni possono incorrere in gravi sanzioni e multe.
- Superficie di attacco ampliata: ogni applicazione non approvata rappresenta un potenziale vettore di attacco per i criminali informatici. Con la crescita dello Shadow IT, specialmente negli ambienti cloud, garantire la sicurezza dell’organizzazione diventa più difficile.
Cos’è lo Shadow AI?
Il termine Shadow AI si riferisce all’uso di strumenti o applicazioni di AI senza che il reparto IT ne sia a conoscenza e senza la sua approvazione. Esempi comuni includono i dipendenti che utilizzano l’AI generativa per redigere comunicazioni interne con dati riservati o gli sviluppatori che eseguono codice attraverso strumenti di AI utilizzando account personali. Ciò che rende lo Shadow AI particolarmente insidioso è il fatto che i dipendenti non sempre aggirano intenzionalmente le misure di sicurezza. Molte applicazioni moderne hanno funzionalità di AI integrate di default, quindi i dipendenti potrebbero non rendersi conto di utilizzare l’AI.
Lo Shadow AI introduce rischi che vanno oltre quelli che molte organizzazioni sono preparate ad affrontare:
- Perdite di dati non tracciabili: quando i dipendenti utilizzano strumenti di AI attraverso account personali, le organizzazioni tipicamente non hanno accesso ai log delle interazioni, anche su piattaforme che offrono la registrazione al livello aziendale. Non esiste alcun audit trail che indichi quali dati sono stati inseriti, come sono stati elaborati o se sono stati conservati.
- Implicazioni sulla sicurezza delle identità: lo Shadow AI introduce nuovi rischi per la sicurezza che i modelli tradizionali non sono in grado di gestire, principalmente con l’ascesa di agenti AI autonomi. Quando i dipendenti creano account su piattaforme di AI esterne, le organizzazioni perdono il controllo su come tali identità accedono ai dati sensibili.
Principali differenze tra Shadow IT e Shadow AI
Shadow IT e shadow AI condividono la stessa causa principale, ovvero l’adozione di strumenti da parte dei dipendenti per lavorare in modo più produttivo, ma differiscono nel modo in cui introducono il rischio.
Elaborazione e condivisione dei dati
Con lo Shadow IT, i dati in genere seguono un processo strutturato come il caricamento di file o la condivisione di documenti. Queste azioni creano schemi prevedibili che gli strumenti di sicurezza possono rilevare. Lo Shadow AI, d’altra parte, opera attraverso input non strutturati e di tipo conversazionale. I dipendenti inseriscono dati sensibili in appositi campi che vengono elaborati in tempo reale e trasmessi tramite traffico HTTPS standard, rendendo difficile distinguere questo traffico dalle normali attività.
Visibilità e tracciabilità
L’attività dello Shadow IT genera audit trail tramite l’uso delle applicazioni, il trasferimento di file o il monitoraggio della rete, così che i team di sicurezza possano indagare sugli incidenti di sicurezza. Al contrario, lo Shadow AI spesso manca di visibilità centralizzata, poiché molte piattaforme di AI non forniscono alle organizzazioni registri dettagliati delle interazioni. Quando i dipendenti utilizzano strumenti di AI esterni, specialmente tramite account personali, le organizzazioni possono avere accesso limitato o nessun accesso ai dati di interazione, rendendo difficile capire come le informazioni vengano utilizzate o memorizzate.
Rischi legati alla conservazione dei dati
Lo Shadow IT introduce rischi legati all’archiviazione non autorizzata dei dati e alla possibilità che informazioni sensibili finiscano al di fuori dei sistemi approvati, in posizioni identificabili. Lo Shadow AI introduce un diverso tipo di rischio. Sulle piattaforme di AI di livello consumer, i dati inseriti nei prompt possono essere utilizzati per addestrare modelli futuri per impostazione predefinita, mentre la maggior parte delle piattaforme di livello aziendale disabilita questa funzione. Il rischio è massimo quando i dipendenti utilizzano account personali su strumenti consumer, aggirando le protezioni dei dati fornite dalle licenze aziendali.
| Shadow IT | Shadow AI | |
|---|---|---|
| Scope | Any unauthorized software or cloud service | Unauthorized AI tools, models and applications |
| Data processing | Structured transfers and uploads | Unstructured, conversational inputs via natural language prompts |
Detection |
Detectable through DLP and network monitoring tools | Mainly invisible to traditional DLP tools since it appears as normal HTTPS traffic |
| Auditability | Typically available through network analysis and logs | Limited, if any; none if employees use personal accounts to access AI tools |
| Data retention risk | No equivalent risk | Sensitive data may be used to train third-party AI models |
| Level of autonomy | Tools require human action | AI agents can act autonomously across multiple systems on behalf of users |
| Governance | More established policies | Largely ungoverned |
Come rilevare e gestire lo Shadow AI
Poiché lo Shadow AI espone dati sensibili in modi difficili da rilevare, le organizzazioni devono adottare un approccio proattivo nella loro gestione. Gli strumenti tradizionali utilizzati per gestire lo Shadow IT non affrontano gli stessi rischi associati all’inserimento di dati sensibili nelle piattaforme di AI da parte dei dipendenti o alla concessione all’AI dell’accesso ai sistemi interni. Sebbene molte organizzazioni arrivino a vietare completamente gli strumenti di AI, questo approccio spesso si ritorce contro di loro, perché spinge i dipendenti a cercare strumenti non approvati senza alcuna visibilità. Le organizzazioni dovrebbero concentrarsi sulla governance facendo quanto segue:
- Creare una politica di utilizzo accettabile dell’AI: stabilire linee guida chiare che definiscano quali strumenti di AI sono approvati, quali dati possono essere condivisi e le conseguenze di un uso improprio.
- Creare un catalogo interno di app di AI: fornire ai dipendenti un elenco di strumenti di AI controllati che possono utilizzare, in modo che non cerchino alternative non approvate e potenzialmente rischiose.
- Implementare soluzioni di AI di livello aziendale: le soluzioni di AI aziendali offrono un maggiore controllo sulla gestione e sull’archiviazione dei dati rispetto agli strumenti di AI consumer.
- Condurre regolari controlli di conformità dell’AI: controllare quali strumenti di AI vengono utilizzati e identificare i rischi emergenti per la sicurezza.
- Formare i dipendenti sull’utilizzo dell’AI: la formazione continua rafforza la consapevolezza organizzativa, che i dipendenti potrebbero non sviluppare completamente limitandosi alla lettura di una policy. Le organizzazioni con programmi di formazione attivi aiutano i dipendenti a capire come utilizzare l’AI in modo sicuro.
Tieni lo Shadow AI sotto controllo
Lo Shadow AI si diffonde rapidamente, opera attraverso canali difficili da monitorare e introduce rischi che gli strumenti di sicurezza tradizionali non sono in grado di rilevare. Governarlo in modo efficace richiede visibilità su ogni identità — umana e macchina — che interagisce con i sistemi di AI e sui dati a cui accede. Man mano che gli agenti di AI diventano integrati nei flussi di lavoro aziendali, le identità delle macchine su cui fanno affidamento (cioè chiavi API, token degli account di servizio e segreti infrastrutturali) necessitano della stessa governance degli account utente umani. Un agente di AI con permessi eccessivi e senza audit trail rappresenta il rischio più grave legato allo Shadow AI.
Con una soluzione di gestione degli accessi con privilegi (PAM) zero trust come Keeper®, le organizzazioni possono ottenere una visibilità e un controllo centralizzati su utenti, sistemi e identità. Che il rischio derivi da applicazioni non autorizzate o dall’uso non approvato dell’AI, Keeper aiuta a garantire che tutti gli accessi siano attentamente monitorati e protetti.
Inizia oggi la tua prova gratuita di KeeperPAM per garantire che tutte le identità nel tuo ambiente siano gestite correttamente.
