L'intelligenza artificiale generativa sta trasformando il modo di lavorare, ma porta con sé una sfida che i responsabili IT conoscono fin troppo bene: quella dell'adozione non autorizzata di strumenti tecnologici. Mentre i dipendenti sperimentano autonomamente nuove soluzioni basate sull'AI, si crea una zona d'ombra che mette a rischio dati sensibili, conformità normativa e sicurezza aziendale. Secondo il rapporto annuale 2025 "The Access-Trust Gap" di 1Password, il 43% dei lavoratori utilizza app di intelligenza artificiale su dispositivi personali per scopi professionali, mentre un quarto ricorre a strumenti non approvati direttamente sul posto di lavoro.
Gli esperti del settore, tuttavia, non considerano questo fenomeno come qualcosa da sradicare completamente. Il loro approccio punta piuttosto a comprendere, guidare e gestire queste iniziative spontanee, trasformando un potenziale problema in un'opportunità di innovazione controllata.
Creare confini chiari senza soffocare la creatività
La prima strategia consiste nello stabilire linee guida precise che distinguano ciò che è consentito da ciò che non lo è. Danny Fisher, responsabile tecnologico di West Shore Home, raccomanda ai CIO di classificare gli strumenti AI in tre categorie fondamentali: approvati, limitati e vietati. Gli strumenti approvati hanno superato verifiche rigorose e ricevono supporto dal reparto IT, quelli limitati possono essere utilizzati solo in ambienti controllati con dati fittizi, mentre i sistemi pubblici o non crittografati devono essere bloccati a livello di rete.
Jason Taylor, architetto senior di LeanIX (controllata di SAP), sottolinea l'importanza di comunicare chiaramente quali scenari d'uso siano permessi e come i dipendenti debbano gestire le informazioni aziendali quando interagiscono con l'AI. Specificare se sono consentiti solo caricamenti occasionali piuttosto che integrazioni profonde tra sistemi diventa cruciale in un panorama tecnologico che evolve rapidamente. Taylor raccomanda anche di creare elenchi dettagliati che indichino quali tipologie di dati possano essere utilizzate in determinate circostanze.
Patti Patria, CIO del Babson College, evidenzia l'esigenza di linee guida specifiche per le piattaforme di sviluppo no-code e low-code. Questi strumenti permettono ai dipendenti di prototipare rapidamente soluzioni basate su AI, ma creano rischi unici quando si collegano a dati proprietari o sensibili. L'istituzione mantiene un registro aggiornato di strumenti ufficialmente supportati e di quelli sconsigliati per l'elevato livello di rischio.
Monitoraggio continuo: vedere per governare
Non si può gestire ciò che rimane invisibile. Mantenere un inventario accurato e aggiornato degli strumenti AI rappresenta una delle difese più efficaci contro l'adozione incontrollata. Fisher enfatizza l'importanza di creare una cultura in cui i dipendenti si sentano a proprio agio nel condividere apertamente gli strumenti che utilizzano, combinando questionari trimestrali con registri self-service dove i lavoratori possono segnalare autonomamente le applicazioni AI che stanno testando.
Ari Harrison, vicepresidente IT di Bamko, descrive un approccio stratificato alla visibilità. Il suo team estrae dati dalla vista delle app connesse di Google Workspace e invia eventi al sistema SIEM, mantenendo così un registro in tempo reale delle applicazioni collegate. Strumenti CASB (Cloud Access Security Broker) completano il quadro dove necessario, permettendo di identificare immediatamente quali strumenti AI accedono ai dati aziendali, chi li ha autorizzati e quali permessi possiedono.
Mani Gill, vicepresidente senior di Boomi, sostiene che gli audit manuali non bastino più. Secondo Gill, una gestione efficace dell'inventario richiede visibilità continua e automatizzata sull'intero ecosistema dati, preferibilmente attraverso una piattaforma centralizzata che gestisca tutti gli scambi di informazioni con agenti AI. Tim Morris, consulente capo per la sicurezza di Tanium, concorda: i nuovi strumenti AI possono apparire da un giorno all'altro, rendendo indispensabile il rilevamento immediato di app o plugin emergenti.
Protezione dei dati attraverso controlli tecnologici
I sistemi di prevenzione della perdita di dati (DLP), la crittografia e il principio del privilegio minimo costituiscono la base tecnica per impedire l'esposizione di informazioni attraverso l'AI non autorizzata. Fisher raccomanda di bloccare tramite regole DLP il caricamento di dati personali, contratti o codice sorgente verso domini non approvati, mascherando le informazioni sensibili prima che escano dall'organizzazione e attivando registri di controllo per tracciare prompt e risposte negli strumenti approvati.
Harrison aggiunge che Bamko si concentra su tre controlli fondamentali: ispezione dei contenuti in uscita per bloccare dati sensibili, governance OAuth per mantenere i permessi di terze parti al minimo indispensabile, e controlli di accesso che limitano il caricamento di informazioni riservate solo ai connettori AI approvati all'interno della suite di produttività aziendale. I permessi ad ampio raggio, come lettura e scrittura di documenti o email, vengono classificati ad alto rischio e richiedono approvazione esplicita.
Taylor insiste sulla necessità di applicare controlli uniformi in tutti gli ambienti: i dati sensibili devono essere crittografati sia a riposo che in transito o durante l'uso, mentre le politiche di accesso devono seguire i principi zero-trust. Questi controlli vanno verificati regolarmente per garantire coerenza tra desktop, mobile e web.
Definire e comunicare la soglia di rischio accettabile
Stabilire parametri di rischio non è solo questione di tecnologia, ma anche di comunicazione efficace. Fisher consiglia di collegare i livelli di tolleranza al rischio a uno schema di classificazione dei dati, utilizzando un sistema cromatico semplice: verde per attività a basso rischio come contenuti di marketing, giallo per documenti interni che richiedono strumenti approvati, rosso per dati finanziari o dei clienti che non possono essere utilizzati con sistemi AI.
Morris suggerisce di basare i parametri di rischio sul valore aziendale e sugli obblighi normativi, dividendo l'utilizzo dell'AI in categorie chiare e comunicando questo framework costantemente attraverso briefing dirigenziali, onboarding dei nuovi assunti e portali interni. Il Comitato di Governance AI del Babson College svolge un ruolo centrale in questo processo: quando emergono rischi potenziali, vengono discussi collegialmente per sviluppare strategie di mitigazione condivise.
Costruire fiducia attraverso l'apertura
La gestione efficace dell'AI non autorizzata si fonda sulla trasparenza. I dipendenti devono comprendere cosa viene monitorato e perché. Fisher raccomanda di pubblicare sulla intranet aziendale le modalità di governance dell'AI, accompagnandole con esempi reali di utilizzi appropriati e rischiosi. L'obiettivo non è individuare colpevoli, ma costruire fiducia nel fatto che l'uso dell'AI sia sicuro ed equo.
Taylor suggerisce di mantenere pubblico e aggiornato l'elenco dei servizi AI approvati, comunicando chiaramente la roadmap su quando e come saranno disponibili funzionalità ancora non offerte. È importante prevedere procedure per richiedere eccezioni o l'introduzione di nuovi strumenti. Patria sottolinea che organizzazioni dedicate come i comitati di governance AI aumentano significativamente la capacità di gestire i rischi, non solo attraverso la revisione delle minacce ma anche spiegando decisioni e motivazioni.
Morris riassume efficacemente: la trasparenza significa che non ci sono sorprese. I dipendenti devono sapere quali strumenti sono approvati, come vengono prese le decisioni e dove rivolgersi con domande o nuove idee.
Formazione continua e contestualizzata
L'educazione rappresenta uno dei metodi più efficaci per prevenire l'uso improprio involontario degli strumenti AI. La chiave sta nel renderla breve, pertinente al lavoro quotidiano e ripetuta nel tempo. Fisher consiglia di progettare la formazione per ruolo specifico, evitando lunghe presentazioni e privilegiando storie basate su casi reali, dimostrazioni rapide ed esempi chiari.
Il Babson College integra la consapevolezza dei rischi AI nella formazione annuale sulla sicurezza informatica e invia newsletter periodiche su nuovi strumenti e minacce emergenti. Patria rivela che i "campioni AI" dipartimentali vengono incoraggiati a facilitare conversazioni che evidenzino sia i vantaggi che le insidie dell'adozione dell'intelligenza artificiale.
Taylor raccomanda di incorporare la formazione direttamente negli strumenti utilizzati dai dipendenti, permettendo loro di apprendere le migliori pratiche nel momento stesso in cui lavorano. Gill sottolinea che i dipendenti devono comprendere come conformità e produttività vadano di pari passo: gli strumenti approvati offrono risultati più rapidi, maggiore accuratezza dei dati e minori incidenti di sicurezza rispetto all'AI ombra.
Dall'adempimento al vantaggio competitivo
La gestione dell'AI non autorizzata non si limita a ridurre i rischi, ma sostiene l'innovazione responsabile. I CIO che si concentrano su fiducia, comunicazione e trasparenza possono trasformare potenziali problemi in vantaggi competitivi. Taylor osserva che quando si fornisce agli utenti ciò che desiderano e il percorso non autorizzato comporta maggiori inconvenienti, generalmente non si oppongono al sistema.
Morris concorda: l'obiettivo non è spaventare le persone ma farle riflettere prima di agire. Quando il percorso approvato è facile e sicuro, viene scelto naturalmente. Il futuro verso cui i CIO dovrebbero orientarsi è un ambiente in cui l'uso responsabile dell'AI diventa un vantaggio per il business oltre che un requisito di conformità, permettendo alle persone di innovare in sicurezza, sperimentare liberamente nella fiducia reciproca e proteggere costantemente i dati aziendali.