Secondo una ricerca pubblicata da TrustedTech, partner di Microsoft specializzato in soluzioni enterprise, il 63% dei dirigenti aziendali ammette di utilizzare piattaforme di intelligenza artificiale prive dell’approvazione aziendale. Tra i dipendenti di livello operativo la percentuale scende invece al 31%, evidenziando come il problema della Shadow AI sia oggi particolarmente concentrato ai vertici dell’organizzazione.

Il dato assume un significato ancora più rilevante se si considera che circa tre lavoratori su quattro dichiarano di essere perfettamente consapevoli dei rischi legati alla sicurezza informatica e alla protezione dei dati quando si ricorre a strumenti AI esterni. In altre parole, il fenomeno non nasce da una scarsa conoscenza delle problematiche di cybersecurity, bensì da una scelta deliberata.

Secondo TrustedTech, attribuire il fenomeno a una mancanza di formazione sarebbe quindi un errore. Alla base dello Shadow AI ci sarebbero se mai fattori culturali, organizzativi e operativi. Molti utenti ritengono infatti che gli strumenti approvati dall’azienda siano meno efficaci rispetto alle piattaforme disponibili sul mercato, oppure lamentano l’assenza di soluzioni ufficiali in grado di soddisfare le esigenze quotidiane.

La rapidità con cui evolvono i servizi basati sull’intelligenza artificiale rende questo divario ancora più evidente. Mentre i provider aggiornano continuamente le proprie piattaforme introducendo nuove funzionalità, molte organizzazioni impiegano settimane o mesi per completare le valutazioni di sicurezza, le procedure di procurement e i processi di conformità necessari prima di autorizzarne l’utilizzo. Il risultato è che dipendenti e dirigenti scelgono spesso la strada più semplice, ricorrendo direttamente agli strumenti pubblici.

Quando questo comportamento arriva dai livelli più alti dell’organizzazione, però, le conseguenze diventano decisamente più complesse. Andy Nolan, vicepresidente Technology di TrustedTech, sottolinea come la governance possa funzionare soltanto se il rispetto delle regole parte dal management. Se gli stessi dirigenti aggirano policy e strumenti approvati, trasmettono implicitamente il messaggio che velocità e produttività abbiano maggiore importanza rispetto a sicurezza, conformità normativa e protezione delle informazioni aziendali.

Per CIO e CISO si crea così una situazione estremamente delicata. Da una parte sono responsabili della sicurezza informatica e della gestione del rischio, mentre dall’altra spesso non dispongono dell’autorità necessaria per impedire ai vertici aziendali di utilizzare servizi AI non autorizzati. Il rischio è che le policy interne perdano rapidamente credibilità agli occhi dell’intera organizzazione.

Shadow AI

Crediti: Shutterstock

La questione assume un peso ancora maggiore considerando il tipo di informazioni trattate quotidianamente dai dirigenti. Bilanci, strategie industriali, dati finanziari, proprietà intellettuale, trattative commerciali e informazioni sui clienti rappresentano contenuti di enorme valore, che potrebbero finire accidentalmente all’interno di piattaforme AI esterne senza che l’azienda abbia alcun controllo sulla loro conservazione o sul loro utilizzo futuro.

La risposta a questo fenomeno non può però limitarsi all’introduzione di regole più rigide. Gli esperti concordano sul fatto che aumentare controlli e divieti raramente elimina il fenomeno. Al contrario, può spingere gli utenti verso strumenti ancora meno visibili all’interno dell’organizzazione. La vera sfida consiste invece nel rendere gli strumenti approvati competitivi rispetto alle alternative disponibili online. Se le piattaforme aziendali risultano lente, limitate o poco integrate con i flussi di lavoro quotidiani, sarà inevitabile che utenti e dirigenti preferiscano utilizzare servizi esterni capaci di offrire un’esperienza più immediata.

Una situazione analoga emerge anche da una recente indagine di Teramind, secondo cui oltre due terzi dei dirigenti privilegiano la rapidità operativa rispetto alla sicurezza quando utilizzano strumenti di intelligenza artificiale. Ancora più curioso è il fatto che, in numerosi casi, le aziende dispongano già di licenze ufficiali delle stesse piattaforme AI, mentre i dipendenti continuano a utilizzare versioni personali attraverso account privati.

Secondo Nik Kale, principal engineer di Cisco e membro della Coalition for Secure AI, questo dimostra che il problema risiede negli ostacoli burocratici e organizzativi che rallentano l’utilizzo delle soluzioni approvate. Se accedere alla versione governata richiede procedure lunghe e complesse, mentre quella pubblica è immediatamente disponibile, la scelta degli utenti diventa quasi scontata, soprattutto in presenza di scadenze ravvicinate.

Anche Matthew Scavetta, Chief Technology Innovation Officer di Future Tech Enterprise, evidenzia come molte aziende non comunichino efficacemente quali strumenti AI siano già disponibili né investano a sufficienza nella formazione. In assenza di indicazioni chiare, i lavoratori tendono naturalmente a utilizzare le piattaforme che conoscono meglio.

Per i responsabili IT la sfida nei confronti della Shadow AI consiste quindi nel trovare un equilibrio tra innovazione e controllo. L’obiettivo non può essere trasformare CIO e CISO nei “poliziotti” dell’intelligenza artificiale, quanto piuttosto creare un ecosistema in cui la soluzione più sicura coincida anche con quella più semplice, veloce ed efficace da utilizzare. Solo in questo modo, secondo quanto emerge dal report di TrustedTech, sarà possibile limitare realmente il fenomeno dello Shadow AI, evitando che proprio il management diventi il principale punto debole della sicurezza aziendale.

(Immagine in apertura: Shutterstock)