Shadow AI: una minaccia per la cybersecurity delle imprese

La Generative AI è ovunque. Non c’è settore che non sia ormai impattato da questa tecnologia basata sui cd. LLM (Large Language Models) come Chat GPT o DeepSeek AI. Persone e aziende di tutto il mondo la utilizzano quotidianamente per svolgere compiti e mansioni come tradurre testi, identificare termini chiave di ricerca, analizzare dati relativi al coinvolgimento sui social media, creare immagini e video. Tuttavia, può accadere che si faccia uso dell’Intelligenza Artificiale senza rispettare le policy aziendali, contribuendo così ad accrescere quello che ormai è conosciuta come Shadow AI.

L’Industry Group Technology & Media di Andersen ha realizzato un approfondimento sul tema della Shadow AI per evidenziare i rischi che ne derivano e illustrare le modalità attraverso le quali le imprese possono mitigarli per aumentare la loro resilienza.

Shadow AI: quali sono i rischi derivanti dall’utilizzo dell’Intelligenza Artificiale

Con il termine Shadow AI si intende l’uso non autorizzato e incontrollato di uno strumento o una app di Generative AI da parte di un dipendente o di un utente finale senza che vengano rispettate le procedure aziendali (in particolare quelle in ambito informatico) o senza la supervisione del dipartimento ICT.

Si tratta di un fenomeno in crescita dovuto principalmente alla diffusione di app e strumenti AI user – friendly, che vengono utilizzati a causa della percezione della lentezza dei processi aziendali, della necessità di adottare velocemente una soluzione per far fronte a una richiesta, e della convinzione che l’implementazione dell’AI in azienda possa solo migliorare la produttività, rispondendo alla frenesia del quotidiano.

Ci sono, tuttavia, dei rischi invisibili che derivano da un utilizzo improprio della Generative AI – la  Shadow AI ne è un esempio – e che espongono sempre più di frequente le aziende a minacce per le proprie infrastrutture tecnologiche e per i dati trattati.

Diviene quindi fondamentale l’adozione di un approccio risk based, ormai alla base di tutte le più recenti normative europee (AI ACT, GDPR, Direttiva NIS 2, DORA) per gestire al meglio le nuove tecnologie che possono essere adottate in azienda.

I maggiori rischi della Shadow AI

I rischi principali che derivano dalla Shadow AI si traducono infatti nel verificarsi di incidenti di sicurezza o di violazioni di dati personali (data breach), nella violazione di procedure aziendali, nella assenza di compliance, ma anche nella violazione del copyright aziendale e causano impatti rilevanti non solo sull’operatività e sull’efficienza dei processi ma anche sulla reputazione.

La strategia di governance per aumentare la resilienza

Ciò considerato, diviene quindi fondamentale capire come proteggersi dai rischi per mantenere la propria business continuity.

Per rafforzare la resilienza dell’azienda e, quindi, la fiducia degli utenti è necessario adottare una strategia di governance efficace al fine di creare un sistema in grado di rispondere alle sfide presenti e future della Shadow AI. I professionisti di Andersen possono supportare le aziende nell’identificazione di alcune priorità fondamentali, quali:

• l’attività di risk assessment, effettuata sulla base di standard nazionali, europee e internazionali
• la definizione di procedure aziendali trasparenti e chiare sull’uso delle soluzioni di intelligenza artificiale da parte dei dipendenti dell’azienda
• la compliance, in particolare in materia di protezione dei dati personali (GDPR), di cybersecurity (NIS 2 e DORA), e di intelligenza artificiale (AI ACT)
• l’aggiornamento costante dei sistemi informatici, attraverso l’adozione di misure di sicurezza sempre più efficaci in termini di loss prevention e disaster recovery per garantire la sicurezza dei dati
• la pianificazione e l’organizzazione della formazione per i dipendenti in un’ottica di alfabetizzazione sui temi relativi all’AI e alla cybersecurity
• la riorganizzazione della governance aziendale, tenendo conto dei ruoli e delle responsabilità, oltre che dei requisiti normativi, ai fini di un monitoraggio costante dell’infrastruttura IT.

Come affrontare le sfide della Shadow AI

Individuate le priorità, è necessario passare dalla teoria alla pratica. Alle volte però possono mancare risorse e/o competenze. Per questo, i nostri professionisti, costantemente aggiornati alle recenti novità normative, possono supportare le imprese nell’affrontare le sfide della Shadow AI, consentendo così di raggiungere un equilibrio tra sicurezza dei dati e compliance normativa nell’ottica di tutelare quello che ad oggi si può definire il bene più prezioso, ovverosia i nostri dati.