Mentre l’entusiasmo legato all’improvvisa e apparentemente rivoluzionaria comparsa di DeepSeek si sta placando, le imprese si ritrovano alle prese con molte domande sull’uso dell’AI generativa in ambito professionale.

In particolare, ci si chiede se l’AI generativa cinese rappresenti una minaccia specifica alla sicurezza, o se semplicemente evidenzi i rischi legati all’adozione crescente di chatbot AI e LLM (Large Language Model) user-friendly. La risposta, come spesso accade, è nel mezzo.

Ecco i rischi per le aziende legati alla Shadow AI.

Shadow AI: la lezione di DeepSeek

Con molti di questi strumenti che richiedono poco più di un browser web per l’utilizzo, è sempre più difficile comprendere le tipologie di informazioni che vengono inviate e ricevute tra dipendenti e una quantità indefinita di applicazioni.

Quindi, se l’ascesa fulminea di DeepSeek può insegnare qualcosa, è la velocità con cui applicazioni potenti possano raggiungere il mercato e ottenere una diffusa adozione.

Se i controlli non sono abbastanza veloci per tenere il passo, si è esposti a un quantità elevata di rischi nascosti nell’ombra. Non a caso si parla di Shadow AI, per indicare un uso dell’intelligenza artificiale che sfugge ai controlli aziendali.

Cosa succede nell’ombra

In breve, la Shadow AI è l’utilizzo di qualsiasi strumento di AI al di fuori di controlli e autorizzazioni dell’organizzazione, spesso senza che questa ne sia a conoscenza.

Mentre alcuni dipendenti mascherano intenzionalmente il loro utilizzo, molti altri le usano apertamente e in buona fede, spesso inconsapevoli dei rischi o del fatto stesso che stiano interagendo con un’AI generativa.

Provando a chiedere a un dipendente medio di nominare le applicazioni AI che usa ogni giorno, potrebbe rispondere ChatGPT, anche se in raltà ce ne sono molte altre, da Microsoft Copilot e Google Gemini a Claude, Grammarly, Otter e alcuni strumenti in Canva e GitHub.

Si tratta di applicazioni che offrono molti vantaggi, aiutando i dipendenti a lavorare in modo più rapido ed efficiente.

Ma è fondamentale essere a conoscenza di cosa i dipendenti condividono. Inoltre chi li utilizza, deve essere consapevole di come funzionano, come gestiscono i dati e dei numerosi rischi potenziali che pongono all’azienda.

Shadow AI: l’inconsapevolezza può essere dannosa

Non sorprende che, non appena DeepSeek si è trovata al centro dell’attenzione mondiale, sia diventata un bersaglio per i criminali informatici. Qualsiasi applicazione che detiene e analizza dati finisce infatti nel loro mirino.

Se non si ottiene il controllo dell’utilizzo di questi strumenti, sarà difficile accorgersi di quanti dati siano stati compromessi, fino a quando non sarà troppo tardi.

La Shadow AI espone le aziende a numerosi rischi:

• vulnerabilità di sicurezza: quando le informazioni vengono condivise con una terza parte non autorizzata, non si ha modo di sapere come vengano archiviate, elaborate o analizzate. Anche una richiesta all’apparenza innocua a un LLM, come la creazione di un’email per un cliente o il riassunto di una trascrizione di una chiamata, può esporre dati sensibili sull’attività e i clienti;
• integrità dei dati: l’AI commette errori. Se i dipendenti accettano i risultati di ChatGPT ed altri strumenti in modo acritico, rischiano di considerare autentiche informazioni errate che possono influire sul servizio e danneggiare la reputazione;
• conformità: oltre a mettere i dati a rischio di esposizione, la loro condivisione con applicazioni di Shadow AI potrebbe compromettere NDA, Gdpr e numerose altre normative sulla privacy;
• minacce interne: gli utenti che copiano e incollano codice, testo o immagini da strumenti non autorizzati possono introdurre vulnerabilità, malware ed altro nelle reti e nei sistemi;
• fiducia e affidabilità: l’utilizzo di servizi di Shadow AI potrebbe non essere conforme con la policy aziendale relativa a questi strumenti, causando problemi di fiducia e autenticità se ciò dovesse giungere all’attenzione di clienti, prospect o partner commerciali.

Una sicurezza su più livelli

Non esiste una soluzione miracolosa quando si tratta di proteggere l’uso della Shadow AI.

Qualsiasi difesa informatica efficace deve essere multilivello, considerando in modo adeguato persone, processi e tecnologia. Ciò significa implementare controlli di accesso e dati incentrati sull’individuo, uniti a solide policy interne e commissioni di governance dell’AI per supervisione e guida.

Il primo passo è ottenere visibilità sul panorama della Shadow IT. Con strumenti Dlp (Data loss prevention) specializzati, è possibile tracciare l’utilizzo di oltre 600 siti di GenAI per utente, gruppo o reparto, identificare chi può accedere a dati cloud, email e calendari e monitorare l’utilizzo delle app in base al contesto di rischio dell’utente.

Una soluzione completa consente nel definire e applicare policy per l’utilizzo accettabile di GenAI, bloccando per esempio il caricamento di dati di valore, escludendo termini sensibili dai prompt AI e acquisendo metadati e screenshot prima e dopo l’uso delle applicazioni di GenAI.

Questi controlli devono essere abbinati a una formazione robusta e continua sulla consapevolezza dei dipendenti, affinché tutti in azienda siano in grado di comprendere i potenziali rischi associati alla Shadow AI, nonché i processi approvati per richiedere e utilizzare nuove tecnologie.

In questo modo, si può dare ai dipendenti ciò di cui hanno bisogno per svolgere il proprio lavoro, senza il rischio di perdere dati preziosi nell’ombra.