Questo fenomeno, generato dall’uso non autorizzato di strumenti di intelligenza artificiale da parte dei dipendenti, sta causando un aumento delle violazioni dei dati aziendali.
[In pillole] La sintesi per chi va di fretta:
Le violazioni dei dati aziendali provengono sempre più dalla "Shadow AI", l'uso non autorizzato di strumenti di intelligenza artificiale da parte dei dipendenti. Questa minaccia interna, responsabile di quasi il 20% delle violazioni, aumenta drasticamente i costi. Dati sensibili e proprietà intellettuale sono a rischio, evidenziando una sfida culturale e organizzativa che richiede urgenti strategie di governance e formazione.
L’ombra che si allunga sui dati aziendali
La dimensione del problema della Shadow AI è tutt’altro che trascurabile, e a quantificarla è il recente Cost of a Data Breach Report di IBM, secondo cui quasi il 20% delle violazioni dei dati è ormai attribuibile a questo fenomeno.
Non si tratta di incidenti minori: per le organizzazioni con un alto livello di utilizzo di IA non autorizzata, il costo medio di una violazione aumenta di circa 670.000 dollari.
Questa cifra non rappresenta solo la perdita economica diretta, ma include i costi di ripristino, le sanzioni normative e, soprattutto, il danno reputazionale, spesso il più difficile da recuperare.
La ricerca mostra come le informazioni di identificazione personale dei clienti (PII) siano il bersaglio più comune, compromesse nel 65% dei casi, mentre la proprietà intellettuale, pur essendo colpita meno di frequente (40%), risulta la più costosa da perdere.
Questa tendenza globale trova un riscontro preoccupante anche nel contesto italiano. Un’analisi presentata da Thales evidenzia come, sebbene il 73% delle aziende italiane si dichiari preoccupato per le implicazioni di sicurezza legate all’IA, il 15% degli operatori ha già subito una violazione riconducibile a queste tecnologie nell’ultimo anno.
Esiste quindi una discrepanza notevole tra la percezione del rischio e l’effettiva capacità di mitigarlo.
Le aziende sembrano consapevoli del pericolo, ma la velocità con cui l’IA si sta diffondendo a tutti i livelli operativi rende le tradizionali strategie di sicurezza insufficienti e obsolete.
La minaccia non è più solo l’impiego di un software non approvato; il rischio si è evoluto e ora riguarda la potenziale corruzione degli stessi strumenti di intelligenza artificiale su cui le aziende fanno affidamento per le loro decisioni strategiche.
Quando l’intelligenza artificiale impara a mentire
L’integrità dei modelli di intelligenza artificiale è diventata il nuovo fronte della sicurezza informatica.
Il 64% delle organizzazioni, infatti, esprime una crescente preoccupazione per la possibilità che i propri modelli di machine learning vengano deliberatamente manipolati. Tecniche come il data poisoning, che consiste nell’introdurre dati corrotti durante la fase di addestramento di un modello per alterarne le risposte, non sono più concetti accademici, ma minacce concrete.
Un modello “avvelenato” può iniziare a fornire previsioni errate, analisi distorte o raccomandazioni dannose, erodendo silenziosamente i processi decisionali di un’intera azienda. Le conseguenze possono spaziare da proiezioni finanziarie sbagliate a diagnosi mediche inesatte, a seconda del settore di applicazione.
– Leggi anche: Italia: un nuovo piano da 58 milioni per la cybersicurezza nazionale
A questo si aggiunge un altro fenomeno, più sottile e forse più inquietante, noto come model collapse.
Come spiegato da diversi analisti di settore, questo problema si verifica quando i modelli di IA vengono addestrati su dati generati da altre IA. Con il tempo, questo processo ricorsivo può portare a una progressiva degradazione della qualità e della diversità dei dati, facendo sì che i modelli dimentichino le informazioni originali e basino le loro “conoscenze” su una versione sempre più sbiadita e distorta della realtà.
Le aziende che investono milioni nello sviluppo di modelli proprietari di intelligenza artificiale si trovano così di fronte a un dilemma: come garantire che l’intelligenza su cui basano il proprio futuro non stia, in realtà, diventando progressivamente meno intelligente e più inaffidabile, quasi come una copia sbiadita di una copia?
Una corsa alla sicurezza ancora incerta
Di fronte a queste nuove sfide, la reazione del mondo aziendale sembra essere quella di un massiccio investimento in tecnologia. Circa il 74% delle organizzazioni ha dichiarato di aver aumentato la spesa in strumenti specifici per la sicurezza dell’IA generativa.
Tuttavia, sorge un dubbio sulla reale efficacia di questo approccio.
L’acquisto di nuove piattaforme di sicurezza rischia di essere una soluzione parziale se non viene accompagnato da un cambiamento culturale profondo che affronti le cause alla radice della Shadow AI: la mancanza di formazione dei dipendenti, l’assenza di policy chiare e, talvolta, la lentezza dei dipartimenti IT nell’offrire alternative valide e autorizzate.
La sicurezza informatica, in questo contesto, non può più essere solo un insieme di regole imposte dall’alto, ma deve diventare una responsabilità condivisa a tutti i livelli dell’organizzazione.
La pressione normativa, come quella derivante dall’AI Act europeo, sta certamente spingendo le aziende a una maggiore trasparenza e accountability, ma la conformità normativa non è sempre sinonimo di sicurezza effettiva.
Il rischio, come confermato dall’Allianz Risk Barometer che posiziona il cyber risk come la principale preoccupazione per il 38% delle aziende, è che molte organizzazioni si limitino a un’adozione superficiale delle misure di sicurezza, una sorta di “security washing” per soddisfare i requisiti di legge senza risolvere le vulnerabilità strutturali.
La vera sfida per il futuro non sarà quindi solo quella di sviluppare un’IA più potente, ma di creare un ambiente in cui la sua adozione sia consapevole, governata e, soprattutto, sicura, evitando che lo strumento più promettente per l’innovazione si trasformi nel più grande rischio per la stabilità aziendale.
