Tre dipendenti su quattro usano strumenti di intelligenza artificiale senza che l’azienda lo sappia. Il dato arriva da ricerche recenti su PMI italiane ed europee, e fotografa una realtà che incontro ogni settimana nelle aziende con cui lavoro.
Il fenomeno si chiama Shadow AI: uso non autorizzato, non tracciato e non governato di ChatGPT, Copilot, Gemini e decine di altri strumenti che i collaboratori adottano per conto proprio. Spesso con account personali, dati aziendali incollati nei prompt, e zero visibilità da parte del management.
Il problema non è l’AI. È non sapere come viene usata, da chi, su quali dati, e con quali rischi. Una governance assente espone l’azienda su più fronti contemporaneamente.
Perché lo Shadow AI cresce così velocemente
I dipendenti usano l’AI perché funziona. Riduce il tempo su attività ripetitive, migliora le bozze, sintetizza documenti lunghi, sblocca compiti che prima richiedevano ore. Quando lo strumento è gratuito e accessibile dal browser, l’adozione individuale precede di mesi qualsiasi decisione aziendale.
Il management, nel frattempo, oscilla tra due posizioni: ignorare il tema o vietarlo con circolari interne. Nessuna delle due funziona. Vietare spinge l’uso ancora più in clandestinità, ignorare moltiplica i rischi. Nel mezzo, manca quasi sempre una policy operativa che dica chiaramente cosa è permesso, cosa no, e con quali strumenti.
I rischi concreti che vedo nelle aziende
Quando entro in azienda come AI Manager Esterno, la prima cosa che faccio è una mappatura dell’uso reale. Quasi sempre emergono pratiche che il management non sospettava. Documenti riservati copiati in chatbot pubblici, contratti analizzati con account personali, dati clienti usati per generare report.
Le aree di esposizione più frequenti:
- Riservatezza dei dati: informazioni sensibili inserite in modelli che le usano per addestramento, senza che il dipendente lo sappia.
- Conformità GDPR: trattamenti di dati personali fuori dal perimetro aziendale, senza base giuridica né registro.
- Proprietà intellettuale: codice, testi e materiali strategici condivisi con piattaforme esterne.
- Qualità dell’output: contenuti generati senza verifica, usati in comunicazioni ufficiali con errori o allucinazioni.
- Disomogeneità interna: ogni reparto adotta strumenti diversi, senza standard né condivisione di buone pratiche.
Il risultato è un’azienda che usa l’AI senza saperlo, paga rischi senza misurarli, e perde l’occasione di trasformare l’uso individuale in vantaggio organizzativo.
Da Shadow AI a uso governato: il percorso
Il primo passo è capire cosa succede davvero. Un AI Assessment serve esattamente a questo: intervisto i team, analizzo gli strumenti in uso, identifico i flussi di dati, mappo i rischi reali. Non parto mai da una soluzione preconfezionata, perché ogni azienda ha una sua geografia di adozione spontanea.
Da qui costruisco una policy che sia leggibile da chi deve applicarla. Non un documento di trenta pagine che nessuno leggerà. Indicazioni operative su strumenti approvati, dati ammessi, casi d’uso consentiti, e procedure di verifica. Insieme alla policy, definisco un piano di Formazione AI mirato sui ruoli effettivi.
Cosa cambia quando l’AI diventa un asset aziendale
Quando l’uso esce dall’ombra, succedono cose concrete. I tempi di alcune attività si riducono in modo misurabile, perché le buone pratiche si diffondono invece di restare nei singoli. La qualità migliora, perché esiste un controllo sugli output. I rischi calano, perché esiste un perimetro chiaro.
Il punto operativo è semplice: l’AI sta già lavorando nella tua azienda. La domanda è se sta lavorando per l’azienda o contro di essa. Governare lo Shadow AI non significa frenare l’innovazione. Significa portarla dentro un quadro dove diventa replicabile, sicura e capitalizzabile come qualsiasi altro processo.
Domande frequenti
Come faccio a sapere se nella mia azienda c’è Shadow AI?
C’è. La domanda corretta è quanto è diffusa e su quali dati. Una verifica iniziale parte da interviste anonime ai team operativi, analisi del traffico verso piattaforme AI note, e mappatura degli account in uso. Nelle PMI italiane, l’adozione spontanea supera quasi sempre il 60% del personale che lavora su contenuti, codice, analisi o comunicazione.
Vietare l’uso di ChatGPT in azienda è una soluzione?
No, e l’ho visto fallire più volte. Il divieto sposta l’uso su dispositivi personali, account privati e reti domestiche, peggiorando la visibilità. Una policy efficace distingue strumenti approvati da strumenti vietati, definisce quali dati possono essere trattati e quali no, e introduce alternative aziendali con account business e log di utilizzo.
Quanto tempo serve per costruire una governance AI minima?
Per una PMI di 30-150 persone, un percorso strutturato richiede tra 6 e 12 settimane. Le prime 2-3 servono all’assessment, le successive alla definizione della policy, alla scelta degli strumenti e alla formazione. Non è un progetto infinito: è un intervento con perimetro chiaro, che lascia in azienda procedure replicabili.
Serve un responsabile AI interno o basta un consulente esterno?
Dipende dalla dimensione. Sotto le 200 persone, un AI Manager Esterno in modalità frazionale copre la funzione senza il costo di una figura full-time. Lavoro come riferimento operativo per direzione, IT e HR, con presenza pianificata. Sopra una certa soglia, ha senso costruire una funzione interna, che spesso accompagno nella fase di avvio.
Cosa distingue una consulenza AI seria da una generica?
La capacità di entrare nei processi reali. Non porto slide su cosa potrebbe fare l’AI in astratto. Lavoro su come la stanno già usando i tuoi collaboratori, dove crea valore, dove crea rischio, e cosa serve per mettere ordine. La differenza si vede nei deliverable: policy applicabili, non manifesti di principio.
Parliamone se il tema è aperto nella tua azienda
Se stai notando segnali di uso non governato dell’AI tra i tuoi collaboratori, o se semplicemente vuoi capire a che punto sei, possiamo organizzare un confronto.
Mi interessa capire il contesto specifico: dimensione, settore, tipo di attività dove l’AI sta già entrando, e cosa ti preoccupa di più. Da lì valutiamo insieme se ha senso fare un assessment strutturato o se bastano interventi più mirati.
Il primo confronto serve esattamente a questo: capire se posso esserti utile. Scrivimi dalla pagina contatti e fissiamo una call.