Che cos'è la shadow AI?

Un esempio comune di shadow AI è l'uso non autorizzato di applicazioni di AI generativa (gen AI) come ChatGPT di OpenAI per automatizzare attività come la modifica del testo e l'analisi dei dati. I dipendenti spesso si rivolgono a questi strumenti per migliorare la produttività e velocizzare i processi. Tuttavia, poiché i team IT non sono a conoscenza dell'utilizzo di queste app, i dipendenti possono inconsapevolmente esporre l'organizzazione a rischi significativi riguardanti la sicurezza dei dati, la conformità e la reputazione dell'azienda.

Per i CIO e i CISO, lo sviluppo di una solida strategia di AI che incorpori iniziative di governance e sicurezza dell'AI è fondamentale per un'efficace gestione del rischio di intelligenza artificiale. Impegnandosi a rispettare politiche AI che enfatizzino l'importanza della conformità e della cybersecurity, i leader possono gestire i rischi della shadow AI, abbracciando al contempo i vantaggi delle tecnologie di intelligenza artificiale.

Per comprendere le implicazioni della shadow AI, è utile distinguerla dallo shadow IT.

Lo shadow IT si riferisce all'implementazione di qualsiasi software, hardware o tecnologia informatica su una rete aziendale senza l'approvazione, la conoscenza o la supervisione di un dipartimento IT o del CIO. I dipendenti potrebbero rivolgersi a una tecnologia AI non autorizzata quando ritengono che le soluzioni esistenti siano insufficienti o che le opzioni approvate siano troppo lente. Esempi comuni includono l'utilizzo di servizi di cloud storage personale o strumenti di gestione dei progetti non approvati.

Mentre lo shadow IT si concentra su qualsiasi applicazione o servizio non autorizzato, la shadow AI si concentra su strumenti, piattaforme e casi d'uso specifici dell'AI. Ad esempio, un dipendente potrebbe utilizzare un modello linguistico di grandi dimensioni (LLM) per generare rapidamente un report senza rendersi conto dei rischi per la sicurezza. La differenza fondamentale sta nella natura degli strumenti utilizzati: la shadow AI riguarda l'uso non autorizzato dell'intelligenza artificiale, che introduce preoccupazioni uniche legate alla gestione dei dati, agli output dei modelli e al processo decisionale.

Dal 2023 al 2024, l'adozione di applicazioni di AI generativa da parte dei dipendenti aziendali è cresciuta dal 74% al 96% man mano che le organizzazioni hanno adottato le tecnologie AI.¹ In concomitanza con questa crescita si è verificato un aumento della shadow AI. Oggi, oltre un terzo (38%) dei dipendenti ammette di condividere informazioni di lavoro sensibili con strumenti di AI senza il permesso dei datori di lavoro.²

La shadow AI può esporre le aziende a diversi rischi, tra cui fuga di dati, multe per non conformità e gravi danni alla reputazione:

Uno dei principali rischi associati alla shadow AI è la potenziale violazione dei dati. Quando manca la supervisione sull'uso dell'AI, i dipendenti possono inavvertitamente esporre informazioni sensibili con conseguenti problemi di privacy dei dati. Secondo un recente sondaggio tra i CISO, 1 azienda su 5 nel Regno Unito ha subito una perdita di dati a causa dell'utilizzo di gen AI da parte dei dipendenti.³ L'elevato rischio di fuga di dati potrebbe spiegare perché tre quarti degli intervistati hanno anche affermato che gli insider rappresentano un rischio maggiore per l'organizzazione rispetto alle minacce esterne.⁴

In molti settori, la conformità delle normativa non è negoziabile. L'uso della shadow AI può portare a problemi di conformità, soprattutto per quanto riguarda la protezione dei dati e la privacy. Alle organizzazioni potrebbe essere richiesto di aderire a normative come il Regolamento generale sulla protezione dei dati (GDPR). Le sanzioni per la mancata conformità al GDPR possono essere molto pesanti: le violazioni più gravi (come il trattamento dei dati per scopi illegali) possono costare alle aziende fino a 20.000.000 euro o il 4% del fatturato mondiale dell'organizzazione nell'anno precedente, a seconda di quale sia l'importo più alto. 

Affidarsi a modelli AI non autorizzati può influire sulla qualità del processo decisionale. Senza una governance adeguata, gli output generati da questi modelli potrebbero non essere in linea con gli obiettivi o gli standard etici dell'organizzazione. Dati distorti, overfitting e deriva del modello sono alcuni esempi di rischi legati all'AI che possono portare a scelte strategiche sbagliate e danneggiare la reputazione di un'azienda. 

L'uso non autorizzato dell'AI potrebbe anche contraddire gli standard di qualità di un'azienda e minare la fiducia dei consumatori. Basta pensare al clamore che ha suscitato Sports Illustrated quando è stata smascherata per aver pubblicato articoli scritti da autori generati dall'AI, o quando Uber Eats è stata criticata per aver utilizzato immagini di cibo generate dall'AI.

Nonostante i rischi, la shadow AI sta diventando sempre più comune per diversi motivi. Le organizzazioni stanno abbracciando la trasformazione digitale e, di conseguenza, l'integrazione delle tecnologie AI per reimmaginare i workflow e il processo decisionale. 

La proliferazione di strumenti di AI intuitivi significa che i dipendenti possono accedere facilmente a soluzioni di AI avanzate per migliorare le proprie funzionalità. Molte applicazioni AI sono disponibili come prodotti Software as a Service (SaaS), che consentono alle persone di adottare rapidamente questi strumenti senza necessariamente coinvolgere i team IT o di sicurezza. Attraverso la democratizzazione dell'AI, i dipendenti stanno trovando nuovi modi per:

• Migliorare la produttività: i dipendenti spesso utilizzano strumenti di shadow AI per aumentare la loro produttività e aggirare le inefficienze operative. Utilizzando le app di gen AI, le persone possono automatizzare i compiti ripetitivi, generare contenuti in modo rapido e snellire i processi che altrimenti richiederebbero molto più tempo.
• Accelerare l'innovazione: l' la shadow AI può promuovere una cultura dell'innovazione, consentendo ai team di sperimentare nuovi strumenti di AI senza attendere l'approvazione ufficiale. Questa agilità può portare a soluzioni creative e a un miglioramento dei workflow, offrendo alle organizzazioni un vantaggio competitivo nei mercati in rapida evoluzione.
• Semplificare le soluzioni: spesso, la shadow AI consente ai team di affrontare le sfide in tempo reale. I dipendenti possono trovare rapidamente soluzioni ad hoc utilizzando gli strumenti AI disponibili, anziché affidarsi ai metodi tradizionali più lenti. Questa reattività può migliorare il servizio clienti e l'efficienza operativa.

La Shadow AI si manifesta in vari modi nelle organizzazioni, spesso guidata dalla necessità di efficienza e innovazione. Esempi comuni di shadow AI sono i chatbot basati sull'AI, i modelli di machine learning per l'analisi dei dati, gli strumenti di automazione del marketing e gli strumenti di visualizzazione dei dati.

Nel servizio clienti, i team potrebbero rivolgersi a ai chatbot non autorizzati per generare risposte alle domande. Per esempio, un rappresentante del servizio clienti potrebbe cercare di rispondere alle domande di un cliente chiedendo le risposte a un chatbot, invece di consultare i materiali approvati dall'azienda. Ciò può comportare messaggi incoerenti o falsi, potenziali problemi di comunicazione con i clienti e rischi per la sicurezza se la domanda del rappresentante contiene dati aziendali sensibili.

I dipendenti potrebbero utilizzare modelli di machine learning esterni per analizzare e trovare modelli all'interno dei dati aziendali. Sebbene questi strumenti possano fornire informazioni preziose, l'uso non autorizzato dei servizi AI può creare vulnerabilità di sicurezza. Ad esempio, un analista potrebbe utilizzare un modello di comportamento predittivo per comprendere meglio il comportamento dei clienti da un set di dati proprietario, esponendo inconsapevolmente informazioni sensibili nel processo.

I team di marketing potrebbero cercare di ottimizzare le campagne utilizzando strumenti di shadow AI, che possono automatizzare le attività di e-mail marketing o analizzare i dati sul coinvolgimento sui social media. L'uso di questi strumenti può portare a migliori risultati di marketing. Tuttavia, l'assenza di governance potrebbe comportare la non conformità agli standard di protezione dei dati, in particolare se i dati dei clienti vengono gestiti male.

Molte organizzazioni utilizzano strumenti di visualizzazione dei dati basati sull'intelligenza artificiale per creare rapidamente mappe di calore, grafici a linee, grafici a barre e altro ancora. Questi strumenti possono aiutare a rafforzare la business intelligence mostrando relazioni e approfondimenti complessi tra dati in un modo facile da capire. Tuttavia, l'input di dati aziendali senza l'approvazione dell'IT può portare a imprecisioni nella segnalazione e a potenziali problemi di sicurezza dei dati.

Per gestire i rischi della shadow AI, le organizzazioni potrebbero prendere in considerazione diversi approcci che incoraggino un uso dell'AI responsabile seppur riconoscendo la necessità di flessibilità e innovazione:

Un dialogo aperto tra i dipartimenti IT, i team di sicurezza e le unità di business può facilitare una migliore comprensione delle funzionalità e dei limiti dell'AI. Una cultura della collaborazione può aiutare le organizzazioni a identificare quali strumenti di AI sono vantaggiosi, contribuendo al contempo a garantire la conformità con i protocolli di protezione dei dati.

I framework di governance possono soddisfare la natura frenetica dell'adozione dell'AI mantenendo le misure di sicurezza. Questi framework possono includere linee guida chiare sui tipi di sistemi di AI che possono essere utilizzati, su come devono essere gestite le informazioni sensibili e sulla formazione necessaria ai dipendenti in merito all'etica dell'AI e alla conformità.

I guardrail per l'AI possono fornire una rete di sicurezza, contribuendo a garantire che i dipendenti utilizzino solo strumenti approvati all'interno di parametri definiti. I guardrail possono includere politiche relative all'uso esterno dell'AI, ambienti sandbox per testare le applicazioni AI o firewall per bloccare piattaforme esterne non autorizzate.

Potrebbe non essere fattibile eliminare tutte le istanze di shadow AI. Pertanto, le organizzazioni possono implementare strumenti di monitoraggio della rete per tracciare l'utilizzo delle applicazioni e stabilire controlli di accesso per limitare il software non approvato. Audit regolari e monitoraggio attivo dei canali di comunicazione possono anche aiutare a identificare se e come vengono utilizzate app non autorizzate.

Il panorama della shadow AI è in continua evoluzione, presentando sempre nuove sfide per le organizzazioni. Le aziende possono stabilire comunicazioni regolari, come newsletter o aggiornamenti trimestrali, per informare i dipendenti sulla shadow AI e i rischi associati.

Aumentando la consapevolezza delle implicazioni dell'uso di strumenti AI non autorizzati, le organizzazioni possono promuovere una cultura dell'uso responsabile dell'AI. Questa comprensione potrebbe incoraggiare i dipendenti a cercare alternative approvate o a consultare il dipartimento IT prima di distribuire nuove applicazioni.