Vai al contenuto
L’intelligenza artificiale si sta diffondendo negli ambienti di lavoro più velocemente di qualsiasi altra tecnologia a memoria d’uomo. Ogni giorno i dipendenti collegano le tecnologie AI ai sistemi aziendali, spesso senza il permesso o la supervisione dei team di sicurezza IT. Il risultato è quello che gli esperti chiamano “ AI ombra”: una rete crescente di strumenti e integrazioni che accedono ai dati aziendali senza alcun controllo.
Tal Shapira, co-fondatore e CTO di Reco, fornitore di soluzioni SaaS per la sicurezza e la governance dell’IA, sostiene che questa rete invisibile potrebbe diventare una delle maggiori minacce che le organizzazioni si trovano ad affrontare oggi, soprattutto perché l’attuale velocità di adozione dell’IA ha superato le protezioni aziendali.
“Siamo passati da ‘l’AI sta arrivando’ a ‘l’AI è ovunque’ in circa 18 mesi. Il problema è che le strutture di governance non sono state al passo”, ha dichiarato Shapira.
Il rischio invisibile nei sistemi aziendali
Shapira ha affermato che la maggior parte dei sistemi di sicurezza aziendali è stata progettata per un mondo vecchio, in cui tutto rimaneva dietro i firewall e i confini della rete. La Shadow AI rompe questo modello perché lavora dall’interno, nascosta negli strumenti dell’azienda.
Molti strumenti moderni di AI si collegano direttamente alle piattaforme SaaS di tutti i giorni, come Salesforce, Slack o Google Workspace. Anche se questo non è un rischio in sé, l’IA spesso lo fa attraverso permessi e plug-in che rimangono attivi dopo l’installazione. Questi collegamenti “silenziosi” possono continuare a dare ai sistemi di AI l’accesso ai dati aziendali, anche dopo che la persona che li ha impostati smette di usarli o lascia l’organizzazione. Questo è un grosso problema di AI ombra.
Shapira ha affermato che: “Il problema più profondo è che questi strumenti si inseriscono nell’infrastruttura aziendale, a volte per mesi o anni senza essere rilevati”
Questa nuova categoria di rischi è particolarmente difficile da monitorare perché molti sistemi di IA sono probabilistici. Invece di eseguire comandi chiari, l’IA fa previsioni basate su modelli, quindi le sue azioni possono cambiare da una situazione all’altra, rendendole più difficili da esaminare e controllare.
Quando l’Intelligenza Artificiale diventa disonesta
I danni dell’IA ombra sono già evidenti negli incidenti del mondo reale. Reco ha recentemente lavorato con un’azienda finanziaria Fortune 100 che credeva che i suoi sistemi fossero sicuri e conformi. Dopo pochi giorni dall’implementazione del monitoraggio di Reco, l’azienda ha scoperto più di 1.000 integrazioni di terze parti non autorizzate nei suoi ambienti Salesforce e Microsoft 365, oltre la metà delle quali alimentate dall’AI.
Un’integrazione, uno strumento di trascrizione collegato a Zoom, registrava tutte le chiamate dei clienti, comprese le discussioni sui prezzi e i feedback riservati. “Stavano inconsapevolmente addestrando un modello di terze parti sui loro dati più sensibili”, ha osservato Shapira. “Non c’era alcun contratto, né alcuna comprensione di come quei dati venissero archiviati o utilizzati”
In un altro caso, un dipendente ha collegato ChatGPT direttamente a Salesforce, permettendo all’intelligenza artificiale di generare centinaia di report interni in poche ore. Potrebbe sembrare efficiente, ma ha anche esposto le informazioni sui clienti e le previsioni di vendita a un sistema di intelligenza artificiale esterno.
Come Reco individua le cose non rilevate
La piattaforma di Reco è costruita per dare alle aziende una visibilità completa su quali strumenti di IA sono collegati ai loro sistemi e a quali dati possono accedere. Esegue una scansione continua degli ambienti SaaS per le concessioni OAuth, le app di terze parti e le estensioni del browser. Una volta identificate, Reco mostra quali utenti le hanno installate, quali autorizzazioni detengono e se il comportamento sembra sospetto.
Se una connessione appare rischiosa, il sistema può avvisare gli amministratori o revocare l’accesso automaticamente. “La velocità è importante perché gli strumenti di intelligenza artificiale possono estrarre enormi quantità di dati in ore, non in giorni”, ha affermato Shapira.
A differenza dei prodotti di sicurezza tradizionali che si basano sui confini della rete, Reco si concentra sul livello di identità e accesso. Questo lo rende adatto alle odierne organizzazioni cloud-first e SaaS-heavy, dove la maggior parte dei dati vive al di fuori del firewall tradizionale.
Un campanello d’allarme più ampio per la sicurezza
Secondo gli analisti del settore, il lavoro di Reco riflette una tendenza più ampia nella sicurezza aziendale: Il passaggio dal blocco dell’intelligenza artificiale alla sua gestione. Secondo un recente rapporto di Cisco sulla preparazione all’IA, nel 2025 il 62% delle organizzazioni ha ammesso di avere poca visibilità su come i dipendenti utilizzano gli strumenti di IA al lavoro e quasi la metà ha già subito almeno un incidente sui dati legato all’IA.
Man mano che le funzionalità di IA vengono integrate nei software più diffusi, da Einstein di Salesforce a Copilot di Microsoft, la sfida aumenta. “Potresti pensare di utilizzare una piattaforma affidabile”, ha detto Shapira, “ma potresti non renderti conto che quella piattaforma ora include funzioni di IA che accedono automaticamente ai tuoi dati”
Il sistema di Reco aiuta a colmare il divario monitorando le attività di IA autorizzate e non autorizzate, aiutando le aziende a costruire un quadro più chiaro di dove fluiscono i loro dati e perché.
Sfruttare l’intelligenza artificiale in modo sicuro
Shapira ritiene che le aziende stiano entrando in quella che chiama la fase dell’infrastruttura AI: un periodo in cui ogni strumento aziendale includerà una qualche forma di AI, visibile o meno. Per questo motivo, il monitoraggio continuo, l’accesso con il minor numero di privilegi e le autorizzazioni di breve durata sono essenziali.
“Le aziende che avranno successo non saranno quelle che bloccano l’intelligenza artificiale”, ha osservato. “Saranno quelle che la adotteranno in modo sicuro, con barriere di sicurezza che proteggono sia l’innovazione che la fiducia”
L’IA ombra, ha detto, non è un segno di imprudenza dei dipendenti, ma della rapidità con cui la tecnologia si è mossa. “Le persone stanno cercando di essere produttive”, ha detto. “Il nostro compito è assicurarci che possano farlo senza mettere a rischio l’organizzazione”
Per le aziende che cercano di sfruttare l’intelligenza artificiale senza perdere il controllo dei propri dati, il messaggio di Reco è semplice: Non si può proteggere ciò che non si vede.
Fonte dell’immagine: Unsplash
Leggi di più su www.artificialintelligence-news.com
Consulente di comunicazione, social media, SEO ed e-commerce. Grafico, web designer, impaginatore, copertinista e addentrato quanto basta in tutto ciò che riguarda l’Internet. Appassionato di narrativa, arti visive e cinema di menare. Nerd. Gamer.
Vivo e lavoro come freelancer in provincia di Taranto.
