Nelle PMI italiane sta succedendo qualcosa che pochi imprenditori hanno realmente sotto controllo. I collaboratori usano ChatGPT, Copilot, Gemini e decine di altri strumenti per lavorare più in fretta, ma lo fanno senza che l’azienda lo sappia.
Si chiama Shadow AI: l’uso non autorizzato, non tracciato e non governato di strumenti di intelligenza artificiale dentro i processi aziendali. Le stime più recenti parlano di un 74% di utilizzo invisibile rispetto al totale dell’IA che entra in azienda.
Significa che per ogni strumento approvato dalla direzione, ce ne sono tre che girano sotto il radar. Documenti riservati incollati in chat pubbliche, codice generato con prompt aziendali, dati clienti elaborati su account personali. Il problema non è l’IA: è non sapere dove sta entrando.
Cosa intendo quando parlo di Shadow AI
La Shadow AI è la versione 2025 della Shadow IT: collaboratori che adottano tecnologie utili al loro lavoro prima che l’azienda decida come gestirle. La differenza è che l’IA generativa elabora informazioni, non le sposta soltanto. Ogni prompt è un trasferimento di contesto verso un modello esterno.
Nelle PMI questo fenomeno è più diffuso che nelle grandi aziende, e per una ragione semplice. Mancano le policy, mancano i tool aziendali, manca la formazione. Chi vuole lavorare meglio si arrangia con gli strumenti consumer, spesso pagati di tasca propria, e nessuno glielo vieta perché nessuno se n’è ancora accorto.
Perché il 74% è un numero che pesa
Quando tre quarti dell’IA usata in azienda è invisibile, il rischio non è teorico. È operativo, legale, competitivo. Le informazioni che escono dai confini aziendali tramite prompt non tornano indietro, e in molti casi vengono usate per addestrare i modelli stessi.
I rischi concreti che vedo nelle aziende che analizzo:
- Fuga di dati riservati: contratti, listini, dati personali di clienti e dipendenti finiscono in chat pubbliche senza alcun tracciamento.
- Violazioni GDPR e AI Act: l’uso di IA su dati personali senza base giuridica e senza valutazione d’impatto è già sanzionabile oggi.
- Output non verificati nei processi decisionali: report, analisi, email importanti generati dall’IA e usati senza controllo umano.
- Dipendenza da account personali: quando il collaboratore se ne va, porta con sé prompt, configurazioni e know-how operativo.
- Disallineamento tra reparti: ogni area usa strumenti diversi, con qualità e standard incoerenti.
Il punto non è bloccare. Bloccare non funziona, l’ho visto fare e produce solo più Shadow AI. Il punto è far emergere ciò che già esiste, capirlo, e portarlo dentro un perimetro governato.
Come faccio emergere la Shadow AI in azienda
Il primo passo del mio lavoro su questi temi è un AI Assessment strutturato: parlo con le persone, non solo con la direzione. Chiedo cosa usano davvero, come lo usano, su quali dati, con quali risultati. Nella maggior parte dei casi i collaboratori sono sollevati di poterlo dire apertamente.
Da lì costruisco una mappa dell’IA reale in azienda: strumenti, casi d’uso, dati coinvolti, livelli di rischio. È una fotografia che spesso sorprende i titolari, perché mostra un’adozione molto più ampia di quella percepita, e quasi sempre con sacche di valore già attive.
Cosa serve dopo la mappatura
Una volta che la Shadow AI è emersa, serve trasformarla in AI governata. Significa scegliere strumenti aziendali con garanzie contrattuali sui dati, definire policy d’uso comprensibili, formare le persone sui prompt e sui limiti dei modelli. Senza questi passaggi, la mappatura resta un esercizio sterile.
In molte PMI con cui lavoro come AI Manager Esterno il percorso porta a centralizzare due o tre piattaforme di riferimento, dismettere gli account personali, e definire chi può fare cosa. Il risultato è che l’IA continua a essere usata, ma in modo coerente, tracciabile e legalmente difendibile.
Domande frequenti
La Shadow AI è davvero un problema se i miei collaboratori la usano bene?
Il problema non è la competenza individuale, è la mancanza di controllo sistemico. Anche un collaboratore esperto che incolla un contratto in ChatGPT versione free sta trasferendo dati riservati a un fornitore esterno senza contratto aziendale. Il rischio non dipende dall’intenzione, dipende dal flusso dei dati. Senza una governance, ogni buona intenzione resta un’eccezione, non un sistema.
Come capisco quanta Shadow AI c’è nella mia azienda?
Servono colloqui mirati con le persone operative, non questionari anonimi generici. Nelle aziende dove conduco l’AI Assessment uso interviste strutturate per area funzionale, analisi degli strumenti già presenti nei browser aziendali e verifica dei flussi documentali. In due o tre settimane si ottiene una mappa accurata, che diventa la base per qualsiasi decisione successiva.
Bloccare l’accesso a ChatGPT e simili risolve il problema?
No, lo peggiora. I collaboratori passano agli smartphone personali o ad altri strumenti meno noti, e l’azienda perde anche la poca visibilità che aveva. Il blocco funziona solo se accompagnato da un’alternativa aziendale concreta: una piattaforma autorizzata, una policy chiara, una formazione minima. Vietare senza fornire alternative produce solo più Shadow AI, meno tracciabile.
Quanto tempo serve per portare sotto controllo la Shadow AI?
Per una PMI tra 20 e 200 persone, da uno a tre mesi per la fase di assessment e definizione della governance. Altri due o tre mesi per l’implementazione operativa: scelta degli strumenti, policy, formazione iniziale. Non è un progetto che si chiude, è un presidio che va mantenuto, perché i modelli evolvono e gli usi cambiano ogni trimestre.
Serve una figura interna dedicata o basta un consulente esterno?
Dipende dalla dimensione. Sotto le 100 persone, un AI Manager Esterno che presidia il tema 2-4 giorni al mese è quasi sempre sufficiente, e costa molto meno di una figura interna che difficilmente troverebbe carico di lavoro pieno. Sopra le 200-300 persone ha senso strutturare un ruolo interno, affiancato da consulenza specialistica nelle fasi di scelta tecnologica e compliance.
Parliamone prima che diventi un problema
Se hai il sospetto che nella tua azienda l’IA stia già circolando senza controllo, probabilmente è così. Il 74% non è un numero astratto: è la media di quello che trovo quando entro nelle PMI per la prima volta.
Far emergere la Shadow AI non è un’operazione punitiva verso i collaboratori, è un modo per riconoscere che stanno già lavorando con strumenti che l’azienda deve imparare a governare. Prima si fa, meno costa.
Se vuoi capire se ha senso fare un assessment nella tua realtà, scrivimi dalla pagina contatti e organizziamo un primo confronto.