Shadow AI: il 74% dell’IA nelle PMI è invisibile

Q: La formazione del personale è davvero utile o è un costo aggiuntivo?

È la leva con il ritorno più alto, se fatta bene. Una Formazione AI generica serve a poco; una formazione costruita sui processi reali del team riduce in modo misurabile l'uso scorretto degli strumenti e aumenta la qualità degli output. Il costo si recupera in produttività nel giro di pochi mesi.

Tre dipendenti su quattro usano strumenti di intelligenza artificiale che l’azienda non ha autorizzato, non monitora e spesso nemmeno conosce. È quello che oggi viene chiamato Shadow AI, e nelle PMI italiane è diventato un fenomeno strutturale.

Non parlo di abusi consapevoli. Parlo di account ChatGPT personali usati per scrivere offerte, di Copilot installato sul portatile aziendale senza policy, di traduttori automatici che processano contratti riservati. Tutto fuori dal radar dell’IT e della direzione.

Il problema non è l’uso dell’IA. Il problema è che nessuno sa dove finiscono i dati, quali decisioni vengono prese con quei modelli e chi risponde se qualcosa va storto. In questo articolo ti spiego perché il fenomeno è esploso, quali rischi concreti porta in azienda e come riportarlo sotto controllo senza bloccare la produttività.

Perché il 74% dell’IA in azienda resta invisibile

Le persone hanno iniziato a usare l’IA prima che le aziende decidessero come farlo. È un dato di realtà. Quando un’attività che richiedeva un’ora si chiude in dieci minuti con uno strumento gratuito, nessuno aspetta un comitato interno per decidere se è opportuno usarlo.

Il risultato è prevedibile. L’adozione bottom-up ha superato qualsiasi governance top-down, e la maggior parte delle PMI si trova oggi con un parco strumenti reale molto più ampio di quello dichiarato.

Le cause principali che vedo ricorrere nelle aziende con cui lavoro:

Assenza di alternative ufficiali: se l’azienda non fornisce uno strumento, le persone ne trovano uno da sole.
Policy assenti o troppo vaghe: dire “fate attenzione” non è una policy, è un augurio.
Pressione sui risultati: chi deve consegnare usa quello che funziona, subito.
Gap di competenze nel management: chi dovrebbe decidere spesso non conosce gli strumenti che i collaboratori già usano.

Quali rischi concreti porta la Shadow AI

Il rischio più immediato è la fuga di dati. Quando un commerciale incolla un’offerta in un modello pubblico per “renderla più convincente”, quei contenuti possono finire nei dataset di training o restare nei log del fornitore. Stessa logica per CV, contratti, codici sorgente, dati clienti.

I principali punti di esposizione che riscontro durante un AI Assessment:

Dati personali e GDPR: trasferimenti extra-UE non tracciati, basi giuridiche assenti, mancata informativa ai soggetti coinvolti.
Proprietà intellettuale: documenti riservati caricati su piattaforme che non garantiscono la riservatezza contrattuale.
Decisioni non verificabili: report e analisi prodotti dall’IA usati come base per scelte operative, senza che nessuno abbia controllato le fonti.
Compliance settoriale: in ambiti regolati (sanità, finanza, legale) l’uso non autorizzato espone a sanzioni dirette.
Dipendenza da strumenti instabili: account personali, abbonamenti gratuiti, tool che possono cambiare condizioni o sparire.

Il punto è che questi rischi non si vedono finché non si manifestano. E quando si manifestano, di solito è tardi.

Come emerge davvero il fenomeno in azienda

Nessuno alza la mano per dire “uso ChatGPT con i dati dei clienti”. La Shadow AI emerge solo se la cerchi, e va cercata con metodo. Un questionario generico non basta: le persone rispondono quello che pensano sia accettabile, non quello che fanno davvero.

Nel mio lavoro di AI Assessment parto sempre da tre fonti incrociate: interviste operative ai team, analisi del traffico verso domini noti di servizi IA, mappatura degli abbonamenti e delle estensioni installate. Solo così emerge il quadro reale.

Cosa fare per riportare l’IA sotto governance

L’errore più comune è bloccare tutto con una circolare. Funziona per due settimane, poi le persone trovano il modo di aggirarla e il problema diventa peggiore di prima, perché si sommerge ulteriormente.

L’approccio che consiglio è opposto: legalizzare l’uso, ma incanalarlo. Significa fornire strumenti ufficiali equivalenti o migliori di quelli che le persone usano da sole, definire cosa si può fare e cosa no in modo concreto, e formare chi lavora ogni giorno con questi strumenti.

Le fasi che applico nei progetti di Consulenza AI:

Mappatura reale dell’uso esistente, non dichiarato.
Selezione di strumenti aziendali con garanzie contrattuali sui dati.
Policy operative brevi e leggibili, non documenti di trenta pagine.
Formazione mirata per ruolo, non corsi generici.
Monitoraggio continuo, perché gli strumenti cambiano ogni mese.

Il ruolo della governance continuativa

Una policy scritta una volta e dimenticata non protegge nessuno. L’IA evolve troppo in fretta perché un assetto definito a gennaio resti valido a dicembre. Servono revisioni periodiche, un referente interno che tenga il polso degli strumenti adottati, un canale dove le persone possano segnalare nuovi tool prima di iniziare a usarli.

In molte PMI questa figura non esiste internamente, e creare un ruolo dedicato non è sostenibile. Per questo lavoro come AI Manager Esterno: presidio la governance dell’IA in modo continuativo, senza che l’azienda debba assumere o formare una funzione interna da zero.

Domande frequenti

Da cosa si capisce se in azienda c’è un problema di Shadow AI?

Se non hai una mappa scritta degli strumenti di IA usati internamente, il problema c’è già. Altri segnali: nessuna policy specifica, abbonamenti pagati con carte personali rimborsate, output di IA presenti in documenti aziendali senza che sia chiaro chi li abbia generati. Un AI Assessment strutturato ti dà il quadro reale in poche settimane.

Vietare ChatGPT e strumenti simili è una soluzione?

No, e i dati lo confermano. I divieti generici spostano l’uso su canali ancora meno tracciabili: smartphone personali, account privati, dispositivi non aziendali. La via realistica è fornire alternative ufficiali con garanzie sui dati, definire regole d’uso chiare e formare le persone su cosa è accettabile e cosa no.

Quanto tempo serve per mettere ordine?

Per una PMI di dimensioni medie, una prima fase di mappatura e definizione delle policy si chiude in sei-otto settimane. La parte di adozione degli strumenti ufficiali e formazione richiede altri due-tre mesi. La governance poi diventa continuativa, perché il contesto tecnologico cambia di continuo.

Servono competenze tecniche interne per gestire la Shadow AI?

Servono competenze, ma non necessariamente interne a tempo pieno. Nelle PMI raramente ha senso creare un ruolo dedicato. Più spesso conviene appoggiarsi a una figura esterna che presidia il tema in modo continuativo e lavora a stretto contatto con IT, HR e direzione.

La formazione del personale è davvero utile o è un costo aggiuntivo?

È la leva con il ritorno più alto, se fatta bene. Una Formazione AI generica serve a poco; una formazione costruita sui processi reali del team riduce in modo misurabile l’uso scorretto degli strumenti e aumenta la qualità degli output. Il costo si recupera in produttività nel giro di pochi mesi.

Parliamo del tuo contesto

Se ti riconosci in questa descrizione, probabilmente la Shadow AI è già presente nella tua azienda. La domanda non è se esiste, ma quanto è estesa e dove sta esponendo l’organizzazione.

Il modo più semplice per capirlo è una conversazione iniziale. Mi racconti come è strutturata l’azienda, quali strumenti hai introdotto ufficialmente e quali sospetti vengano usati senza controllo, e ragioniamo insieme su cosa ha senso fare.

Nessuna proposta preconfezionata: prima capisco il contesto, poi valutiamo se e come intervenire. [Scrivimi dalla pagina contatti](https://falzone.it/contatti/) e organizziamo un primo confronto.