Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

Questione di un attimo. Non c’è dolo e spesso neppure superficialità, ma possono essere ugualmente incommensurabili i danni per la propria attività e per l’impresa per la quale si lavora. Come ha rilevato uno studio di Boston Consulting Group, il 54 per cento dei dipendenti a livello globale utilizza le proprie soluzioni di intelligenza artificiale generativa al posto di quelle aziendali. E senza l’autorizzazione dei propri superiori.
In Italia siamo al 68 per cento. C’è il caso dell’avvocato che usa il suo profilo ChatGpt, Claude o DeepSeek per trovare i riferimenti normativi di un contratto che, però, è ancora in fase di definizione. L’ingegnere in smart working, che a casa non può accedere agli strumenti aziendali e si affida a una piattaforma open per eseguire più velocemente i suoi calcoli destinati a un progetto in fase di sviluppo. O il manager, che impegnato in una lunga maratona di riunioni, vuole ottimizzare i tempi e carica sul prompt del proprio account un documento interno per farselo sintetizzare.
Figure diverse che, per le ragioni più disparate, finiscono per inserire su piattaforme aperte dati sensibili, vincolati dal segreto industriale e dalla proprietà intellettuale al di fuori del controllo e delle autorizzazioni della propria organizzazione. Con il risultato di mettere in rete informazioni, codici e chiavi di accesso che non dovrebbero uscire dal perimetro aziendale. E che, in ultima istanza, potrebbero anche essere utilizzati dalla concorrenza, che sta lavorando su progetti simili e si affida agli stessi strumenti di IA.
Questo fenomeno l’uso incontrollato di tool e chatbot personali viene catalogato come Shadow IA: è una delle zone grigie nella rivoluzione che ha già sconvolto la produzione mondiale di beni e servizi come la nostra vita quotidiana. Negli Stati Uniti se ne parla già come di un’emergenza per le imprese, se l’ultimo Report Cost of a Data Breach, curato da Ibm Security e Ponemon Institute, ha stimato che gestire queste violazioni ha comportato costi aggiuntivi per 5,27 milioni di dollari e generato cause legali per licenziamenti o per difendere i propri brevetti, che terminano non prima di 2 o 3 anni.
Al di là delle percentuali, in Italia il fenomeno non ha ancora raggiunto questa diffusione. Come detto, e come ha riportato l’Adnkronos, il 68 per cento degli addetti ha ammesso di utilizzare soluzioni di IA generativa senza informare i vertici aziendali. È in questo scenario tanto frammentato che le nostre imprese affronta il tema dello Shadow IA. Una questione che va letta sotto vari aspetti l’impatto tecnologico, la sicurezza dei dati, la governance aziendale fino alle questioni di natura più etica come è stato fatto a dicembre dall’Experts Talk Corporate Leaders. Nei prossimi mesi presenterà una proposta per creare un piano europeo dell’IA proprio quest’osservatorio che sotto la guida del direttore scientifico Michele Carpagnano (giurista, partner Dentons e docente dell’Università di Trento) ha messo assieme manager delle principali aziende del Paese e che vede tra i partner Prysmian, Deloitte, Comin & Partners, Trentino Sviluppo e Trentino Marketing.
Spiega Alessandro Nespoli, Chief Risk & Compliance officer di Prysmian e componente del board di Experts Talk Corporate: «Intanto va sempre ricordato che l’intelligenza artificiale è quello strumento che ci sta permettendo di semplificare e velocizzare le operazioni di tutti i giorni. Ma come tutte le tecnologie va gestita in maniera conforme alla legge. La Shadow AI pone il tema della protezione dei dati, verso il quale le aziende devono introdurre e seguire delle regole di governance molto chiare e meno onerose di quanto si possa pensare».
Regole che il manager sintetizza in quattro direttrici: «In primo luogo va fatto un assessment tecnologico, una verifica dei sistemi di IA in uso per garantire che in azienda i sistemi di IA siano sicuri, trasparenti e tracciabili come previsto dal Regolamento europeo sull’intelligenza artificiale (Eu Ai Act). Vanno poi stabilite regole comuni per un utilizzo sicuro dei sistemi di IA, nonché le modalità di condivisione delle informazioni a livello aziendale. Quindi vanno scelti gli strumenti e i sistemi di IA, che rispetto a quelli di uso privato, devono garantire a livello aziendale un alto livello di protezione dei dati, sicurezza e tracciabilità. Infine, c’è la formazione: perché dobbiamo insegnare a tutte le nostre persone, innanzitutto ai manager, come approcciarsi e come usare l’intelligenza artificiale».
Fin qui la parte propedeutica per evitare casi di Shadow IA. Ma se poi si verificano, che cosa succede? Tommaso Buganza, professore di Leadership and Innovation della School of Management del Politecnico di Milano, ricorda che «le soluzioni di IA per le aziende proteggono i dati e li mantengono in ambito aziendale. Ma se io inserisco un’informazione sensibile o riservata su una app “privata”, questa in ogni caso sarà utilizzata dalla piattaforma per addestrare i propri algoritmi e, soprattutto, potrà essere offerta ad altri utenti».
Tutte le più recenti normative europee (AI Act, Gdpr, Direttiva Nis 2, Dora) per gestire al meglio le nuove tecnologie hanno un approccio risk based. Ma a livello giuridico, nota Nespoli, «le imprese possono difendersi soltanto se, grazie al modello di regole di governance adottato, sono in grado di prevenire il rischio di un uso non conforme di dati personali, la diffusione di informazioni riservate e strategiche dell’azienda, come la diffusione a terzi di know-how e segreti industriali, diffusi inconsapevolmente dai loro dipendenti mediante l’utilizzo di strumenti di IA non autorizzati». Conclude Daniel Trabucchi, professore di Platform Thinking della school of Management del Politecnico di Milano: «Non tutti e questo non avviene soltanto nelle aziende hanno consapevolezza di che cosa significhi “vita digitale": ogni cosa che scriviamo o facciamo su un chatbox, sui social o su Netflix lascia una traccia. Tracce che alcune aziende hanno imparato a monetizzare».

FRANCESCO PACIFICO