A cura di Mauro Zani, Country Manager Italia, Proofpoint
L’adozione dell’Intelligenza Artificiale Generativa (GenAI) in azienda non è più una prospettiva futuristica, ma una realtà che sta ridisegnando interi settori a una velocità senza precedenti. Tra il 2023 e il 2024, l’adozione aziendale della GenAI è raddoppiata, raggiungendo il 65% delle organizzazioni a livello globale, mentre il traffico verso strumenti di AI generativa è cresciuto di oltre l’890% nel solo anno scorso. Dalla creazione di contenuti alla programmazione, fino all’analisi di dati complessi, gli strumenti basati su Large Language Model (LLM) promettono un salto in avanti in termini di produttività ed efficienza paragonabile alle grandi rivoluzioni industriali del passato.
Tuttavia, questa corsa all’innovazione porta con sé un’ombra: una nuova classe di rischi per la sicurezza che le aziende non possono permettersi di ignorare. E il paradosso è che la minaccia più concreta, oggi, non proviene necessariamente da un attore esterno malevolo, ma dall’impiegato più zelante.
Il perimetro si è dissolto: benvenuti nell’era della Shadow AI
Un tempo, le difese aziendali si concentravano su firewall e antivirus per proteggere reti e dispositivi. Oggi, il campo di battaglia è l’interazione quotidiana tra ogni singolo dipendente e le piattaforme di GenAI pubbliche, spesso utilizzate al di fuori di qualsiasi controllo IT.
I numeri parlano chiaro: il 68% dei dipendenti aziendali che usano la GenAI lo fa attraverso account personali, non aziendali, e quasi il 90% dell’utilizzo enterprise di strumenti AI risulta invisibile ai team IT. Il 77% dei dipendenti incolla i dati negli strumenti GenAI e l’82% di questa attività proviene da account non gestiti. Il vero canale di fuga è il copia/incolla. Con questa semplice operazione, anche l’utente con le migliori intenzioni può involontariamente esporre dati riservati, strategie commerciali, codice sorgente proprietario o informazioni personali dei clienti a un modello linguistico pubblico. Non è un atto intenzionalmente dannoso, ma un riflesso “negativo” di produttività. Il 60% dei dipendenti dichiara che l’utilizzo di strumenti AI non approvati “vale il rischio” pur di rispettare le scadenze lavorative.
Questo gesto, compiuto nella ricerca di efficienza, equivale a depositare i segreti industriali dell’azienda in una cassaforte di cui non si possiede la chiave.
La portata reale del problema
I dati disponibili restituiscono una fotografia preoccupante. Oltre il 20% dei documenti e il 4% dei prompt inviati a strumenti di GenAI contengono informazioni sensibili. L’azienda media condivide oggi oltre 7,7 GB di dati al mese con strumenti di AI – erano 250 MB appena un anno prima. Gli incidenti di Data Loss Prevention legati alla GenAI sono più che raddoppiati nello stesso periodo.
Come emerso dalla nostra ricerca “Voice of the CISO 2025”, il 68% dei CISO italiani cita l’errore umano come il rischio maggiore per la propria azienda, con il 77% che ha subìto una perdita di dati significativa nell’ultimo anno e il 94% che ritiene che un ruolo in queste fughe di informazioni sia stato giocato dagli ex dipendenti.
Tra i dati più frequentemente esposti: codice sorgente, informazioni finanziarie, dati su clienti e progetti in corso, informazioni personali identificabili. Il 77% dei dipendenti che utilizzano strumenti di AI ammette di condividere dati aziendali sensibili attraverso questi canali. La GenAI è diventata il principale vettore di esfiltrazione di dati da ambienti corporate verso contesti non controllati, rappresentando il 32% di tutti i movimenti non autorizzati di dati.
I rischi, però, non si fermano alla fuga di informazioni. La conformità a normative come il GDPR diventa un percorso a ostacoli: addestrare LLM personalizzati con dati dei clienti, senza una governance adeguata, può portare a violazioni e sanzioni significative. L’utilizzo incontrollato di strumenti non autorizzati crea zone d’ombra in cui il rischio prolifera, invisibile ai team di sicurezza..
Un cambio di paradigma: dalla tecnologia alla persona
La protezione efficace nell’era della GenAI richiede un approccio radicalmente diverso. La difesa non può più essere solo una questione di blocchi e filtri: deve basarsi su un trittico strategico centrato sulla persona – visibilità, controllo e formazione.
Visibilità. Non si può proteggere ciò che non si vede. Il primo passo è ottenere una mappatura chiara di chi, in azienda, stia utilizzando quali strumenti di GenAI e, soprattutto, quali dati vengano scambiati. Senza questa consapevolezza, ogni strategia di sicurezza opera al buio. Le imprese più avanzate stanno già adottando soluzioni di monitoraggio in tempo reale capaci di rilevare non solo i tool non autorizzati, ma anche i pattern comportamentali anomali — identificando, ad esempio, l’utente che in un breve arco di tempo accede a un volume insolito di file riservati tramite strumenti AI aziendali come Microsoft 365 Copilot.
Controllo intelligente. La prevenzione della perdita di dati deve evolversi. Non si tratta di erigere barriere che ostacolano la produttività — un approccio che genera inevitabilmente resistenza e tentativi di aggiramento — ma di implementare protezioni proporzionate e dinamiche. Policy capaci di bloccare l’invio di dati critici, oscurare informazioni sensibili all’interno dei prompt o semplicemente avvisare l’utente del rischio, rendendolo partecipe del processo di sicurezza. Questo principio vale tanto per i tool pubblici quanto per quelli aziendali, garantendo che l’accesso ai dati sia sempre regolato dal principio del minimo privilegio.
Formazione e cultura. L’anello più forte della catena di sicurezza deve essere quello umano. Non basta sapere cosa non fare: i dipendenti devono capire il perché. La formazione non può essere un evento sporadico, ma un processo continuo, personalizzato e basato sul profilo di rischio reale dell’utente – con attenzione prioritaria alle figure più esposte, come i team di sviluppo software. Creare una cultura della responsabilità trasforma ogni individuo da potenziale punto debole a prima linea di difesa attiva.
Bilanciare innovazione e sicurezza: la sfida del decennio
Bloccare la GenAI sarebbe un autogol competitivo. Il 73% delle organizzazioni ha già integrato l’intelligenza artificiale all’interno delle proprie strategie di cybersecurity, con un trend che non accenna a rallentare. La direzione è la governance, non il freno. Gartner stima che le aziende investiranno 644 miliardi di dollari in capacità GenAI nel solo 2025: ignorare la dimensione della sicurezza in questo scenario significa costruire su fondamenta instabili.
Le organizzazioni che riusciranno a bilanciare la spinta alla produttività con una strategia di sicurezza matura – incentrata sulle persone, non solo sulla tecnologia – non solo eviteranno i rischi, ma sbloccheranno appieno il potenziale della GenAI, garantendosi un vantaggio competitivo decisivo. La domanda non è se adottare questa tecnologia, ma come farlo in modo che ogni utente diventi un acceleratore, non un rischio.
