vincenzo calabro'
  • computer engineer
  • cyber security analyst
  • digital forensics analyst
  • lecturer | speaker | trainer

Article. What i write

Shadow AI: la minaccia ombra che incombe nelle organizzazioni

Pubblicato il 27 febbraio 2025 su CyberSecurity360.it
Nella sua fase iniziale, la GenAI ha promesso infinite possibilità, ma ha anche introdotto vulnerabilità paragonabili a quelle di un moderno cavallo di Troia digitale. Incidenti si sono già verificati. Ecco i rischi cyber più insidiosi.
Vincenzo Calabro' | Shadow AI: la minaccia ombra che incombe nelle organizzazioni
Da quando l’AI generativa (GenAI) è diventata di dominio pubblico, sono emersi una serie di rischi rilevanti nei processi aziendali.
Inizialmente, lo strumento appariva come una tecnologia rivoluzionaria in grado di aumentare la produttività e la creatività, ma ha mostrato immediatamente il suo lato oscuro: la Shadow AI.
A questo proposito, l’uso non regolamentato e non autorizzato degli strumenti di AI rappresenta una minaccia importante per ogni organizzazione.

Shadow AI: il rischio di uso improprio dei dati

Nella sua fase iniziale, la GenAI ha promesso infinite possibilità, ma ha anche introdotto vulnerabilità paragonabili a quelle di un moderno cavallo di Troia digitale.
Inoltre, si sono già verificati incidenti: secondo un report, un’azienda su cinque è stata vittima di fughe di dati potenzialmente sensibili a causa dell’uso incontrollato degli strumenti di AI.
I dipendenti, attratti dall’opportunità offerta, hanno inavvertitamente diffuso segreti aziendali che, una volta inseriti in piattaforme come ChatGPT, potrebbero riemergere e finire nelle mani sbagliate.
Questi incidenti evidenziano i rischi legati alla Shadow AI che, in cui azioni apparentemente innocue, possono causare violazioni della sicurezza di proporzioni enormi.

Incidenti legati alla Shadow AI

In alcuni casi noti, il codice sorgente proprietario o gli appunti relativi a riunioni critiche sono stati inseriti inconsapevolmente su ChatGPT.
Queste azioni, all’apparenza innocue, hanno però rivelato una criticità: ogni input o query inviato a uno strumento di intelligenza artificiale può potenzialmente condurre a un uso improprio dei dati.
Una volta caricate, le informazioni inserite in questi sistemi non sono più sotto il controllo dell’azienda. Questa constatazione mette in evidenza i rischi legati alle minacce della Shadow AI, dove la mancanza di supervisione può rendere le organizzazioni vulnerabili a fughe di notizie da parte di insider e a possibili attività di sfruttamento esterno.
Questi incidenti hanno segnato l’inizio di una nuova era della sicurezza informatica.
Le minacce interne possono essere amplificate dall’uso improprio dell’intelligenza artificiale.
Le organizzazioni si trovano ad affrontare una difficile criticità per recuperare il controllo sull’uso non autorizzato dell’AI all’interno dei loro ecosistemi.
La Shadow AI, non regolamentata, non autorizzata e spesso invisibile, si sta insinuando silenziosamente nel tessuto delle organizzazioni di tutto il mondo.
I pericoli sono tanti e imminenti: si va dall’uso improprio delle tecnologie dell’AI da parte dei dipendenti, alle fughe accidentali di notizie, fino allo sfruttamento deliberato da parte di avversari informatici.

I problemi della Shadow AI

Il proliferare della Shadow AI, definita come l’uso non regolamentato e non autorizzato degli strumenti di AI all’interno di un’organizzazione, sta assumendo un’incidenza sempre più rilevante.
Sebbene l’intelligenza artificiale generativa (GenAI) e i modelli di machine learning (ML) offrano un importante potenziale di miglioramento, il loro uso non controllato potrebbe causare una serie di problemi, tra cui violazioni alla sicurezza dei dati, disinformazione, mancato rispetto delle normative e vulnerabilità della sicurezza.
Ecco un elenco dettagliato dei principali problemi causati dalle minacce Shadow AI:
  • istanze cloud non controllate o non monitorate;
  • AI integrata nei dispositivi end-user;
  • AI non autorizzata nelle interazioni con i clienti;
  • Shadow AI nell’analisi dei dati;
  • automazione del marketing;
  • rischi nella Data Visualization.

Istanze cloud non controllate o non monitorate

A volte, la Shadow AI emerge quando i dipendenti aggirano la governance IT per creare istanze cloud e testare l’AI. Queste istanze possono includere il download di modelli ML pre-addestrati per l’analisi dei dati o l’automazione dei flussi di lavoro.
Il pericolo risiede nella possibilità che questi modelli operino al di fuori del controllo del team IT o del team di sicurezza. Un’istanza non autorizzata in esecuzione sul cloud potrebbe elaborare dati aziendali sensibili, esponendoli inavvertitamente a entità esterne.
Ancora peggio, se i dipendenti non proteggessero adeguatamente l’istanza, gli aggressori potrebbero sfruttare le vulnerabilità per accedere a informazioni riservate.

AI integrata nei dispositivi end-user

La maggior parte degli smartphone moderni è dotata di funzionalità AI integrate e questa tendenza è in forte crescita.
Apple, per esempio, ha appena lanciato la propria AI integrata in iOS, promettendo un livello di semplificazioni senza precedenti, ma, al contempo, sollevando notevoli problemi di sicurezza.
Se non venissero gestiti con attenzione, questi strumenti di AI sempre attivi potrebbero trasformarsi in varchi per il furto dei dati. I dipendenti che utilizzano funzioni di AI per svolgere le proprie attività lavorative potrebbero, senza rendersene conto, caricare informazioni sensibili su server di terzi parti.
Inoltre, le funzionalità di AI generativa integrate nei sistemi operativi potrebbero diffondere informazioni errate, sia intenzionalmente che accidentalmente, aggravando i problemi di comunicazione interna e creando rischi di responsabilità.

AI non autorizzata nelle interazioni con i clienti

Le chatbot dotate di intelligenza artificiale si stanno diffondendo sempre di più nel servizio di Customer Relationship Management (CRM). Tuttavia, quando questi strumenti vengono utilizzati senza autorizzazione, possono arrecare danni alla reputazione e alla sicurezza di un’organizzazione.
Per esempio, un addetto al servizio clienti potrebbe rivolgersi a un chatbot esterno per elaborare le risposte alle richieste dei clienti, condividendo inavvertitamente dati sensibili dei clienti o dell’azienda con un modello di intelligenza artificiale non protetto.
Tali azioni potrebbero causare danni alla reputazione, violazioni della conformità e un’ulteriore escalation delle minacce di Shadow AI.
Altri esempi negativi includono:
  • messaggi incoerenti o falsi che danneggiano la fiducia dei clienti;
  • violazioni della sicurezza riguardano i dati sensibili immessi nelle chatbot, che diventano accessibili ad altri utenti o a malintenzionati;
  • non conformità alla normativa, soprattutto nei settori con standard di protezione dei dati molto rigidi.

Shadow AI nell’analisi dei dati

I modelli di machine learning basati sull’intelligenza artificiale rappresentano una manna per gli analisti dei dati, in quanto offrono intuizioni potenti sul comportamento dei clienti, sui modelli finanziari e sulle tendenze del mercato.
Tuttavia, quando gli addetti utilizzano strumenti esterni per analizzare set di dati proprietari senza la supervisione dell’IT, espongono inconsapevolmente la propria organizzazione a rischi sostanziali. Per esempio:
  • un modello di comportamento predittivo potrebbe far trapelare inavvertitamente i dati dei clienti su server esterni;
  • i modelli non protetti potrebbero essere presi di mira dagli hacker, con conseguenze significative in termini di violazione dei dati.
La mancanza di governance si traduce anche in un’accuratezza dei dati non affidabile, in quanto i modelli non approvati potrebbero non aderire agli standard di qualità dei dati o di conformità dell’organizzazione.

Automazione del marketing

Gli esperti di marketing si affidano spesso all’intelligenza artificiale per ottimizzare le campagne di e-mail marketing, monitorare l’engagement sui social media e automatizzare le attività di outreach.
Tuttavia l’uso non autorizzato di questi strumenti può avere conseguenze indesiderate:
  • manipolazione dei dati: l’inserimento di dati dei clienti in piattaforme di intelligenza artificiale esterne potrebbe violare le leggi sulla protezione dei dati;
  • messaggistica sconclusionata: senza una supervisione centralizzata, i contenuti di marketing generati dall’intelligenza artificiale potrebbero discostarsi dalle linee guida del marchio, con conseguenti rischi per la reputazione;
  • rischi normativi: l’uso di strumenti di intelligenza artificiale non approvati potrebbe comportare una non conformità involontaria alle normative specifiche del settore sull’utilizzo dei dati.

Rischi nella Data visualization

Gli strumenti di visualizzazione basati sull’intelligenza artificiale, come quelli utilizzati per creare mappe di calore, grafici a barre o dashboard, sono preziosi per trasformare in modo efficace insiemi di dati complessi.
Tuttavia, il loro uso non autorizzato presenta rischi:
  • imprecisioni dei dati: gli input provenienti da strumenti non protetti possono portare a una reportistica errata, con conseguenze negative sulle decisioni aziendali critiche;
  • esposizione di dati sensibili: l’inserimento di informazioni proprietarie in piattaforme esterne può comportare la condivisione involontaria di informazioni aziendali riservate;
  • violazioni della sicurezza: la memorizzazione dei dati su server esterni aumenta il rischio di esposizione in caso di violazione della sicurezza da parte del fornitore.

L’impatto della Shadow AI

In sintesi, la natura decentralizzata della Shadow AI la rende una minaccia particolarmente insidiosa e variegata:
  • perdite di dati: i dati aziendali sensibili possono essere esposti inavvertitamente o in modo doloso tramite strumenti di intelligenza artificiale non controllati;
  • disinformazione: i risultati errati degli strumenti non autorizzati possono minare la credibilità dell’organizzazione e generare confusione tra gli stakeholder;
  • sanzioni normative: la mancata conformità alle normative sulla protezione dei dati può comportare multe salate, responsabilità legali e danni alla reputazione.
  • aumento della superficie di attacco: le istanze Shadow AI creano punti di ingresso non monitorati per i criminali informatici, rendendo le organizzazioni più vulnerabili agli attacchi mirati.

L’AI Act europeo : il GDPR dell’AI

Il 2 agosto 2026 entrerà in vigore l’AI Act dell’Unione Europea e inaugurerà uno dei quadri normativi più completi al mondo in materia di intelligenza artificiale.
Facendo un parallelo con il Regolamento generale sulla protezione dei dati (GDPR), che ha ridisegnato gli standard globali sulla privacy dei dati al momento della sua attuazione nel 2018, l’AI Act è pronto a diventare una direttiva storica che influenzerà lo sviluppo, la diffusione e l’uso dell’AI non solo all’interno dell’UE, ma a livello globale.
L’entrata in vigore del GDPR ha ridefinito il modo in cui le organizzazioni di tutto il mondo gestiscono i dati personali. Il suo impatto si è esteso ben oltre i confini europei, stabilendo uno standard globale per la protezione dei dati.
Le aziende si sono affrettate a conformarsi, rivalutando le proprie pratiche di raccolta, elaborazione e conservazione dei dati.
La legislazione ha conferito alle persone un maggiore controllo sui propri dati personali e ha imposto sanzioni severe in caso di non conformità, fino al 4% del fatturato annuo globale o 20 milioni di euro, a seconda dell’importo più alto.
Allo stesso modo, la norma europea sull’AI mira a regolamentare il settore, affrontandone i rischi e garantendo la responsabilità, la trasparenza e gli standard etici nell’impiego dell’AI. Potrebbe ridefinire il modo in cui le organizzazioni si approcciano all’AI, in particolare quelle che operano nell’UE o che interagiscono con i suoi cittadini.

Le principali caratteristiche

La norma europea sull’AI adotta un approccio basato sul rischio per la regolamentazione dell’AI, classificando i sistemi di AI in quattro livelli di rischio:
  • rischio inaccettabile: si tratta dei sistemi di AI che rappresentano una minaccia per i diritti fondamentali e che saranno assolutamente vietati. Tali sistemi includono l’AI utilizzata per il social scoring, la manipolazione subliminale o i sistemi che sfruttano le vulnerabilità digruppi specifici, come i bambini o le persone con disabilità;
  • alto: le applicazioni critiche, come l’assistenza sanitaria, le forze dell’ordine, il controllo delle frontiere o il reclutamento, che utilizzano sistemi di intelligenza artificiale, dovranno soddisfare requisiti rigorosi. Questi sistemi devono rispettare standard rigorosi in termini di trasparenza, spiegabilità, accuratezza e supervisione umana;
  • rischio limitato: le applicazioni come le chatbot o i motori di raccomandazione alimentati dall’AI richiederanno misure di trasparenza, come l’informativa agli utenti che interagiscono con l’AI;
  • rischio minimo o nullo: la maggior parte delle applicazioni di AI, come i videogiochi o i filtri antispam, rientra in questa categoria e necessita di un intervento normativo minimo.

Trasparenza e responsabilità

L’Atto sottolinea:
  • audit dell’IA: le organizzazioni devono garantire che i modelli di IA soddisfino gli standard di equità, accuratezza e sicurezza;
  • supervisione umana: i sistemi ad alto rischio devono prevedere meccanismi di intervento umano;
  • gestione dei dati: i sistemi di IA devono utilizzare set di dati privi di pregiudizi per garantire risultati equi;
  • tracciabilità: gli sviluppatori devono documentare la progettazione, lo scopo e i test dell’IA per poter creare una traccia di controllo.

Le implicazioni dell’AI Act

Così come il GDPR ha catalizzato gli studi sulla privacy dei dati, l’AI Act dovrebbe influenzare gli sforzi normativi a livello globale.
Il regolamento stabilisce un precedente per governare in modo responsabile i sistemi di AI, soprattutto perché questa tecnologia sta diventando sempre più parte integrante della vita quotidiana.
L’inosservanza di tali disposizioni comporterà multe salate, fino a 30 milioni di euro o al 6% del fatturato annuo, a seconda di quale sia il valore più alto, come previsto dalle pesanti sanzioni del GDPR.
Il 4 febbraio sono state pubblicate le Linee guida sulle pratiche vietate in materia di intelligenza artificiale (AI), come definite dall’articolo 5 dell’AI Act.
Queste linee guida forniscono una panoramica delle pratiche di intelligenza artificiale considerate inaccettabili a causa dei potenziali rischi per i valori e i diritti fondamentali europei. Come è noto, l’AI Act mira a promuovere l’innovazione nel rispetto della salute, della sicurezza e della protezione dei diritti fondamentali e classifica i sistemi di AI in diverse categorie di rischio, tra cui quelli vietati, ad alto rischio e soggetti a obblighi di trasparenza.
Le linee guida affrontano specificamente pratiche come la manipolazione dannosa, il punteggio sociale e l’identificazione biometrica remota in tempo reale, e molte altre.
Sono progettate per garantire l’applicazione coerente, efficace e uniforme dell’AI Act in tutti i Paesi dell’Unione europea. Sebbene offrano preziose informazioni sull’interpretazione dei divieti da parte della Commissione, non sono vincolanti, ma sono soggette a interpretazioni autorevoli da parte della Corte di giustizia dell’Unione europea (CGUE).
Inoltre, forniscono spiegazioni legali ed esempi pratici per aiutare le parti interessate a comprendere e rispettare i requisiti dell’AI Act. Questo documento sottolinea l’impegno dell’UE a promuovere un panorama AI sicuro ed etico.

Il ruolo dell’AI Act nel contrasto alla Shadow AI

L’AI Act sarà determinante per affrontare il problema della Shadow AI perché impone:
  • obbligo di governance: le organizzazioni dovranno documentare l’uso dell’AI e garantire che non vengano utilizzati strumenti di AI non autorizzati;
  • garantire la responsabilità: le aziende saranno ritenute responsabili delle decisioni relative all’AI, anche quando vengono utilizzati strumenti non autorizzati;
  • riduzione dei rischi: grazie a requisiti rigorosi per l’AI ad alto rischio, il regolamento ridurrà la probabilità che strumenti non regolamentati causino danni.
    • Il GDPR ha dimostrato che una regolamentazione rigorosa può determinare un cambiamento positivo. Ha obbligato le organizzazioni a implementare solide misure di protezione dei dati e ha posto i diritti individuali al centro della governance dei dati.
    Tuttavia la normativa ha presentato anche delle sfide: le aziende hanno dovuto affrontare costi significativi per la conformità e l’applicazione della normativa si è rivelata disomogenea tra gli Stati membri dell’UE.
    L’AI Act si basa su questi principi. Concentrandosi su un approccio basato sul rischio e promuovendo l’innovazione entro limiti etici, mira a bilanciare il progresso tecnologico con il benessere della società.

    Affrontare le sfide della Shadow AI e della AI Act

    Nel 2025 la convergenza della Shadow AI e l’imminente attuazione della direttiva europea sull’AI rappresentano una sfida senza precedenti e un’opportunità di trasformazione per le aziende.
    L’ascesa incontrollata della Shadow AI ha messo in evidenza i rischi dell’innovazione non regolamentata. Dalle AI non controllate che girano su istanze cloud non controllate, agli strumenti non autorizzati incorporati nel marketing, nel servizio clienti e nell’analisi dei dati, i rischi sono evidenti: fughe di dati, violazioni delle normative e erosione della fiducia.
    Se non verrà affrontato, lo Shadow AI avrà il potenziale per minare le fondamenta stesse della sicurezza, della governance e della credibilità delle aziende.
    Il regolamento dell’Ue sull’AI è pronto ad affrontare queste sfide. La norma fornisce un quadro solido per regolamentare le tecnologie dell’AI e garantire che siano allineate ai valori etici e sociali.
    La classificazione delle applicazioni di AI in base al loro livello di rischio e l’introduzione di principi quali trasparenza, responsabilità ed equità rappresentano le fondamenta per creare un ecosistema dell’intelligenza artificiale più sicuro e responsabile.
    Tuttavia, il suo successo dipenderà dalla risposta delle organizzazioni.

    La responsabilità delle organizzazioni

    La responsabilità ricade sulle organizzazioni (pubbliche o private) che devono agire in modo risoluto e proattivo per garantire la sicurezza dei dati.
    L’AI Act, con i suoi requisiti rigorosi e le sue sanzioni severe, on è solo una mera formalità burocratica, ma rappresenta un invito all’azione per le imprese affinché ripensino il loro rapporto con la tecnologia.
    Le organizzazioni devono considerare il regolamento come un quadro di riferimento per l’innovazione responsabile, invece di ritenerlo come un ostacolo al progresso tecnologico.
    Per avere successo, le organizzazioni devono:
    • dare la priorità alla governance: stabilire schemi solidi di governance dell’AI è fondamentale per identificare e mitigare i rischi della Shadow AI. Ciò include il monitoraggio di tutti gli strumenti di AI in uso, la garanzia di conformità agli standard normativi e la definizione di strutture di responsabilità chiare;
    • investire nella formazione di tutti i dipendenti per istruirli sui rischi e sulle responsabilità associati all’AI. Questo task è importante non solo per gli sviluppatori e i team IT, ma anche per il marketing, il servizio clienti e le risorse umane, in modo che ogni dipendente comprenda le potenziali conseguenze di un uso non autorizzato dell’AI;
    • la trasparenza non solo in termini di conformità, ma anche come principio fondamentale dell’AI etica: le organizzazioni devono documentare l’utilizzo dell’AI, garantire la comprensibilità del processo decisionale e fornire alle autorità di regolamentazione e alle parti interessate informazioni chiare sul loro operato;
    • trasformare la regolamentazione in un vantaggio competitivo: le organizzazioni che si muovono rapidamente per allinearsi al regolamento sull’AI non solo eviteranno sanzioni, ma si posizioneranno anche come leader del settore. In un mondo in cui la fiducia è fondamentale, mostrare un impegno verso un’IA etica sarà un elemento di differenziazione significativo.

    La creazione di fiducia nell’AI

    L’ascesa dell’AI ha aperto notevoli possibilità, ma ha anche messo in luce il suo potenziale di arrecare danni agli individui e alle società quando non viene adeguatamente regolamentata. Il regolamento europeo sull’AI, affrontando rischi quali pregiudizi, uso improprio e mancanza di supervisione, rappresenta un passo fondamentale per garantire che l’AI serva l’umanità in modo responsabile.
    Tuttavia la normativa da sola non può risolvere tutti i problemi. Questo cambiamento deve avvenire all’interno delle organizzazioni che utilizzano l’AI, e deve portare a incorporare i principi etici nell’innovazione dell’AI.
    Il cammino verso un’AI responsabile non è facile, ma è necessario. Le sfide della Shadow AI e le complessità della conformità al regolamento europeo sull’AI ci ricordano che l’innovazione irresponsabile non è sostenibile.
    Accettando queste sfide, le aziende hanno l’opportunità di plasmare il futuro dell’AI, non come fonte di rischio, ma come strumento per promuovere il progresso e il benessere della società.

    Prospettive future

    Il futuro dell’intelligenza artificiale non sarà scritto dalla tecnologia stessa, ma dalle decisioni che prenderemo oggi. Se permetteremo alla Shadow AI di ostacolare il progresso, non saremo all’altezza della situazione. Viceversa, l’utilizzo dell’EU AI Act come quadro di riferimento per costruire un futuro in cui l’AI migliori la vita, rispetti i diritti e guidi l’innovazione etica, rappresenta l’avvio di un percorso virtuoso e fecondo di risultati positivi.