L’AI Act impone alle aziende di sapere quali sistemi di intelligenza artificiale utilizzano e di dimostrare il controllo sul loro impiego, ma nella realtà l’AI entra spesso in azienda senza visibilità e fuori dalle policy. In questo articolo analizziamo perché monitorare l’uso reale dell’AI è così complesso e come colmare il divario tra regole scritte e ciò che accade davvero.
L’Intelligenza Artificiale è ormai parte del lavoro quotidiano: chatbot generativi come ChatGPT, Copilot o Claude vengono usati per scrivere testi o analizzare documenti, strumenti di supporto allo sviluppo affiancano i team tecnici nella scrittura di codice e funzionalità AI integrate nelle applicazioni SaaS automatizzano attività in ambiti come CRM, collaborazione o HR. Queste tecnologie vengono adottate rapidamente e spesso in modo spontaneo; il problema non è l’AI in sé, ma ciò che accade quando il loro utilizzo avviene senza visibilità e senza un reale governo.
È in questo contesto che si parla sempre più spesso di Shadow AI, ovvero strumenti di intelligenza artificiale utilizzati al di fuori delle policy aziendali, senza approvazione o consapevolezza da parte dell’IT. Molte organizzazioni hanno già definito regole sull’uso dell’AI, stabilendo ad esempio che possano essere utilizzate solo soluzioni approvate, preferibilmente in versioni enterprise con adeguate garanzie sul trattamento dei dati, che l’accesso avvenga tramite account aziendali e sistemi di Single Sign-On per garantire tracciabilità, che l’uso su dispositivi personali sia vietato o limitato a contesti non produttivi e che le funzionalità AI integrate nelle applicazioni SaaS vengano abilitate solo dopo una valutazione di sicurezza e compliance.
A queste si aggiunge spesso l’obbligo di segnalare all’IT l’introduzione di nuovi strumenti o capability di intelligenza artificiale. Tuttavia, nella pratica quotidiana, verificare il rispetto di queste policy è complesso: il lavoro remoto, l’uso di dispositivi personali e l’accesso via browser rendono estremamente semplice per gli utenti aggirare i controlli tradizionali, creando un disallineamento tra regole formali e utilizzo reale, ed è proprio in questo spazio che la Shadow AI trova terreno fertile, rendendo evidente come la visibilità sia il vero prerequisito per una governance efficace.
L’utilizzo non governato di strumenti di intelligenza artificiale espone le aziende a rischi di sicurezza concreti, molto più ampi di una semplice violazione di policy interna. Quando gli utenti impiegano chatbot generativi o strumenti AI esterni senza controllo, spesso trasferiscono dati aziendali potenzialmente sensibili — come informazioni sui clienti, dati finanziari o proprietà intellettuale — verso servizi esterni che non rientrano nei meccanismi di protezione e monitoraggio dell’organizzazione.
Questo crea più superfici di attacco per gli aggressori, che possono sfruttare vulnerabilità in servizi non gestiti, in integrazioni non monitorate o in credenziali deboli usate per accedere a questi strumenti. Allo stesso tempo, l’assenza di governance coerente rende difficile rilevare, contenere e rispondere a incidenti di sicurezza, estendendo il tempo in cui un attacco può propagarsi prima di essere individuato.
Senza adeguate misure di controllo degli accessi, autenticazione forte, segmentazione della rete e monitoraggio continuo, le organizzazioni si trovano vulnerabili sia a compromissioni accidentali dei dati, per esempio tramite l’inserimento non intenzionale di informazioni riservate in un prompt AI, sia a minacce sofisticate che sfruttano l’AI per automatizzare attacchi, generare phishing mirati o aggirare i controlli di sicurezza.
Questo gap tra innovazione e governance non è un’ipotesi: il Cost of a Data Breach Report 2025 di IBM mostra dati concreti su questo fenomeno, evidenziando come l’uso non controllato di AI aumenti il costo e l’impatto delle violazioni.
Secondo il report, per le organizzazioni con un elevato uso di “shadow AI” i costi delle violazioni sono in media di circa 670.000 dollari in più rispetto a quelle con un uso basso o nullo di questi strumenti, e una larga maggioranza (97 %) delle violazioni legate all’AI si verifica in aziende prive dei necessari controlli di accesso.
Questi dati evidenziano che la Shadow AI non è un rischio astratto, ma un elemento reale che contribuisce sia all’aumento dei costi di un data breach sia all’ampliamento delle superfici di rischio, rendendo cruciale la governance e la visibilità sull’utilizzo di tecnologie AI all’interno delle organizzazioni.
L’IT fatica a intercettare l’utilizzo dell’AI perché questi strumenti non seguono più i modelli tradizionali di adozione del software. Molte soluzioni di intelligenza artificiale non richiedono installazioni, non passano da cataloghi applicativi e non prevedono processi formali di onboarding: vivono nel browser, sono accessibili in pochi click e vengono spesso utilizzate in modalità “freemium” o tramite sottoscrizioni individuali. In altri casi, l’AI è già integrata nelle applicazioni SaaS esistenti e viene attivata come funzionalità aggiuntiva, senza che l’organizzazione ne abbia piena consapevolezza. In entrambi gli scenari, l’adozione avviene facilmente al di fuori dei processi IT tradizionali.
In questo contesto, affidarsi a un unico metodo di discovery — come l’analisi dei contratti o degli asset installati — non è più sufficiente. Ogni singolo punto di osservazione fornisce una visione parziale e lascia inevitabilmente delle zone d’ombra. Un approccio multi-fonte nasce proprio dall’esigenza di incrociare segnali diversi per ricostruire l’utilizzo reale.
L’analisi delle identità e degli accessi consente di capire a quali applicazioni gli utenti effettuano login e con quale frequenza, soprattutto quando vengono utilizzati account aziendali o sistemi di Single Sign-On. Il monitoraggio dell’utilizzo via browser e del traffico di rete permette invece di individuare strumenti AI usati senza installazioni o integrazioni formali, spesso tramite account personali. A questi elementi si affiancano i dati finanziari, utili per far emergere sottoscrizioni individuali, spesa frammentata e acquisti SaaS o AI che non transitano dai processi di procurement, mentre le integrazioni con le principali piattaforme SaaS consentono di verificare quali applicazioni sono effettivamente in uso e quali funzionalità — incluse quelle di intelligenza artificiale — risultano attive
Solo combinando tutte queste fonti è possibile ottenere una visione coerente e affidabile. L’approccio multi-fonte elimina i punti ciechi, permette di distinguere tra strumenti autorizzati e non autorizzati, individua utilizzi fuori policy e fa emergere rischi e spesa che altrimenti resterebbero invisibili. In altre parole, non si tratta di controllare di più, ma di osservare meglio, creando le basi per una governance del SaaS e dell’AI realmente efficace.
Governare l’Intelligenza Artificiale non significa controllare i contenuti generati o monitorare ciò che gli utenti inseriscono nei sistemi, ma comprendere il contesto in cui il rischio nasce ed essere in grado di dimostrare di avere il controllo sull’utilizzo delle tecnologie AI. Sapere quali strumenti sono in uso, se sono autorizzati, da chi vengono utilizzati e con quale frequenza consente alle organizzazioni di intervenire in modo proattivo, prima che un comportamento scorretto si trasformi in un problema di sicurezza o di compliance.
È esattamente questo il tipo di approccio richiesto dall’AI Act europeo, che impone alle aziende di conoscere i sistemi di intelligenza artificiale adottati, valutarne il rischio e dimostrare l’esistenza di meccanismi di governance, controllo e responsabilità.
I casi noti che hanno coinvolto realtà come Samsung, dove dipendenti hanno inserito codice e informazioni riservate in strumenti di AI generativa, o quello di un funzionario del Dipartimento della Difesa degli Stati Uniti che ha utilizzato servizi AI pubblici per attività lavorative, mostrano chiaramente come il problema sia spesso legato al fattore umano più che alla tecnologia. In situazioni di questo tipo, una governance efficace non avrebbe necessariamente impedito l’errore, ma avrebbe reso evidente dove intervenire — in termini di formazione, policy e livelli di accesso — e, soprattutto, avrebbe consentito all’organizzazione di dimostrare che l’utilizzo dell’AI era tracciato e governato.
In caso di audit, incidente o verifica regolatoria, questa capacità di dimostrare controllo e accountability è ciò che distingue un errore umano gestibile da una carenza strutturale di governance.
In WEGG supportiamo le aziende come consulenti di Software Asset Management e SaaS Management, consapevoli di quanto la rapida proliferazione di strumenti di intelligenza artificiale renda la gestione del software sempre più complessa e critica dal punto di vista della sicurezza, della compliance e della governance. Ne abbiamo parlato anche qui.
Per questo ci appoggiamo alle tecnologie di SaaS Management di Flexera, che adottano un approccio di discovery multi-fonte capace di incrociare dati su identità e accessi, traffico di rete, integrazioni con i principali vendor, informazioni finanziarie e utilizzo via browser, facendo emergere anche strumenti e funzionalità utilizzati senza approvazione IT. Tutti questi segnali vengono poi normalizzati e arricchiti tramite Technopedia, il database tecnologico di Flexera che consente di riconoscere correttamente tecnologie, vendor e livelli di rischio, eliminando duplicazioni e punti ciechi.
Su questa base aiutiamo le organizzazioni a costruire una visibilità continuativa sul SaaS e sull’AI, confrontando l’utilizzo reale con le policy aziendali per ridurre rischi e sprechi senza frenare l’innovazione.
In parallelo, supportiamo la verifica dei termini di utilizzo, degli aspetti di licensing, della gestione dei dati, della sicurezza e della conformità normativa — incluso l’AI Act — per garantire che ogni strumento SaaS e di intelligenza artificiale sia utilizzato in modo consapevole, conforme e governato.
Approfondimenti
I NOSTRI UFFICI
I NOSTRI UFFICI
PADOVA
Via Arnaldo Fusinato 42, 35137
MILANO
Viale Enrico Forlanini 23, 20134
ROMA
Viale Giorgio Ribotta 11, 00144
Copyright © 2025 WEGG S.r.l. • P.I 03447430285 • C.F. 02371140233 • REA 311023
Azienda Certificata ISO 9001:2015 – ITA / ISO 9001:2015 – EN
