<?xml version="1.0" encoding="utf-8"?><rss xmlns:atom="http://www.w3.org/2005/Atom" version="2.0"><channel><title>Ivanti Blog: Post di </title><description /><language>it</language><atom:link rel="self" href="https://www.ivanti.com/it/blog/authors/daniel-spicer/rss" /><link>https://www.ivanti.com/it/blog/authors/daniel-spicer</link><item><guid isPermaLink="false">10a368a8-8962-47c2-b997-e5c480f87618</guid><link>https://www.ivanti.com/it/blog/shadow-ai</link><atom:author><atom:name>Daniel Spicer</atom:name><atom:uri>https://www.ivanti.com/it/blog/authors/daniel-spicer</atom:uri></atom:author><category>Sicurezza</category><title>La shadow AI sta ridefinendo in silenzio la postura di sicurezza del tuo ambiente di lavoro?</title><description>&lt;p&gt;Gli strumenti di IA hanno registrato una crescita rapidissima sul luogo di lavoro. Quello che un tempo era appannaggio di ruoli tecnologici altamente specializzati oggi è diventato comune: il &lt;a href="https://www.ivanti.com/resources/research-reports/tech-at-work" rel="noopener" target="_blank"&gt;Technology at Work Report 2025&lt;/a&gt; di Ivanti ha rilevato che il 42% degli impiegati dichiara di utilizzare strumenti di IA generativa, come ChatGPT, al lavoro: 16 punti in più rispetto all’anno precedente.&lt;/p&gt;

&lt;p&gt;Il problema? Questi incrementi di produttività avvengono sottotraccia. Tra coloro che hanno dichiarato di utilizzare strumenti di IA generativa, il 46% afferma che alcuni, o tutti, gli strumenti che utilizza &lt;em&gt;non&lt;/em&gt; sono forniti dal datore di lavoro. Inoltre, un lavoratore su tre tiene nascosti al proprio datore di lavoro gli strumenti di IA per la produttività.&lt;/p&gt;

&lt;div class="flourish-embed flourish-chart" data-src="visualisation/22346584"&gt;&lt;/div&gt;

&lt;p&gt;Gli strumenti di IA generativa possono moltiplicare la produttività. Ma rappresentano anche un rischio per la sicurezza dei dati, soprattutto quando vengono utilizzati senza la supervisione del datore di lavoro.&lt;/p&gt;

&lt;h2&gt;Che cos’è la shadow AI?&lt;/h2&gt;

&lt;p&gt;L’uso non autorizzato dell’IA è semplicemente un’altra forma di shadow IT, ossia l’utilizzo di tecnologie senza l’approvazione dell’IT.&lt;/p&gt;

&lt;p&gt;I rischi introdotti dalla shadow AI sono simili ad altri rischi della shadow IT, ma con un ulteriore livello di preoccupazione: l’enorme quantità di dati proprietari di cui l’IA generativa ha bisogno per essere efficace. Gli strumenti gratuiti di IA generativa, e anche alcuni strumenti a pagamento, possono utilizzare i dati di un’organizzazione o le ricerche dei dipendenti per addestrare il proprio modello, amplificando il rischio di fughe di dati e di non conformità.&lt;/p&gt;

&lt;p&gt;La recente rivelazione secondo cui le conversazioni ChatGPT condivise erano &lt;a href="https://arstechnica.com/tech-policy/2025/08/chatgpt-users-shocked-to-learn-their-chats-were-in-google-search-results/" rel="noopener" target="_blank"&gt;indicizzabili dai motori di ricerca&lt;/a&gt; (sebbene OpenAI abbia rapidamente cambiato rotta) dovrebbe essere un campanello d’allarme: senza controlli adeguati, terze parti possono utilizzare i tuoi dati in modi che non approvi. Alcuni strumenti gratuiti, incluso ChatGPT, possono essere configurati per soddisfare le policy di sicurezza, ma questo non è semplicemente possibile quando i dipendenti li utilizzano di nascosto.&lt;/p&gt;

&lt;p&gt;Gli strumenti gratuiti come ChatGPT non sono l’unico rischio di shadow AI. Una fonte inaspettata è in realtà il software esistente. Con la corsa all’aggiunta di funzionalità di IA, strumenti che in precedenza potevano essere stati approvati dall’IT potrebbero ora comportare nuovi rischi e, se i team infosec non conoscono e non valutano queste nuove funzionalità, di fatto aggirano i processi di gestione del rischio di terze parti.&lt;/p&gt;

&lt;h2&gt;Perché un approccio risk-first all’IA è fondamentale&lt;/h2&gt;

&lt;p&gt;Che si tratti di IA generativa o di altri strumenti, la shadow IT è il risultato dell’assenza di un modo definito e ragionevole per testare gli strumenti o portare a termine il lavoro. Dato che l’IA non è destinata a scomparire, le aziende devono affrontarne l’adozione in modo proattivo, perché vietare gli strumenti non significa che i dipendenti non cercheranno di utilizzarli per aumentare la produttività e semplificare il proprio lavoro.&lt;/p&gt;

&lt;p&gt;Dedico gran parte del mio tempo alla valutazione del rischio, inclusi i rischi posti dagli strumenti di IA. Spesso dobbiamo valutare il rischio in relazione a un’opportunità di migliorare il business: in questo caso, gli incrementi di produttività dei dipendenti e gli impatti di secondo livello, come la soddisfazione dei dipendenti o il tempo disponibile per lavorare su progetti più strategici.&lt;/p&gt;

&lt;p&gt;In breve, dobbiamo chiederci: esiste un modo per introdurre gli strumenti richiesti dai dipendenti e coglierne i vantaggi mantenendo il rischio a un livello accettabile?&lt;/p&gt;

&lt;p&gt;È qui che entra in gioco un &lt;a href="https://www.ivanti.com/resources/research-reports/proactive-security" rel="noopener" target="_blank"&gt;approccio risk-first&lt;/a&gt;. Un approccio risk-first all’adozione dell’IA si concentra sui dati che devono essere immessi nell’IA e su come la terza parte gestisce tali dati. Questo approccio è simile alla gestione del rischio dei fornitori, consentendo alle organizzazioni di utilizzare pratiche e processi consolidati, ma adattati a domande specifiche sull’IA.&lt;/p&gt;

&lt;p&gt;&lt;img alt="Horizontal color gradient arrow illustrates a spectrum from &amp;quot;Reactive response&amp;quot; to &amp;quot;Proactive response.&amp;quot; On the left, &amp;quot;Reflexive bans of AI tools&amp;quot; result in &amp;quot;Circumvention&amp;quot; and &amp;quot;Unknown risk.&amp;quot; On the right, &amp;quot;Risk-first approach&amp;quot; results in &amp;quot;Employee engagement,&amp;quot; &amp;quot;Safe, sanctioned adoption,&amp;quot; and &amp;quot;Known, managed risk.&amp;quot;" src="https://static.ivanti.com/sites/marketing/media/images/blog/2025/12/183216-shadow_ai_and_the_risk_first_approach_b.jpg"&gt;&lt;/p&gt;

&lt;p&gt;Le domande chiave da porsi includono:&lt;/p&gt;

&lt;ol&gt;
	&lt;li&gt;I nostri dati verranno utilizzati per addestrare il modello di IA?&lt;/li&gt;
	&lt;li&gt;Per quanto tempo vengono conservati i nostri dati?&lt;/li&gt;
	&lt;li&gt;Quali protezioni esistono per ridurre il rischio di esposizione dei nostri dati?&lt;/li&gt;
	&lt;li&gt;Chi detiene i diritti sulla proprietà intellettuale generata utilizzando l’IA?&lt;/li&gt;
&lt;/ol&gt;

&lt;p&gt;Ridurre al minimo la proliferazione dell’IA è una parte essenziale di questo lavoro. Man mano che un numero crescente di fornitori introduce strumenti di IA specializzati, e che si aggiungono nuovi fornitori concedendo ai loro strumenti di IA l’accesso ai dati, il rischio aumenta. Lo stesso vale per gli strumenti esistenti che introducono improvvisamente l’IA senza modifiche ai costi o ai contratti, rendendo difficile mantenere un inventario accurato degli strumenti di IA.&lt;/p&gt;

&lt;h2&gt;Adottare un framework di governance dell’IA in Ivanti&lt;/h2&gt;

&lt;p&gt;In Ivanti contrastiamo la shadow AI con un approccio risk-first che inizia e finisce con il &lt;a href="https://www.ivanti.com/resources/research-reports/dex-security" rel="noopener" target="_blank"&gt;coinvolgimento dei dipendenti&lt;/a&gt;.&lt;/p&gt;

&lt;p&gt;&lt;img alt="Four connected colored boxes form a process flowchart: &amp;quot;Employee engagement&amp;quot; leads to &amp;quot;Pathways to request AI tool approval,&amp;quot; then &amp;quot;Risk assessment,&amp;quot; and finally &amp;quot;Adoption and periodic review,&amp;quot; with an arrow looping back from the last step to the first." src="https://static.ivanti.com/sites/marketing/media/images/blog/2025/12/183216-shadow_ai_and_the_risk_first_approach_c.jpg"&gt;&lt;/p&gt;

&lt;h3&gt;Portare l’uso dell’IA fuori dall’ombra&lt;/h3&gt;

&lt;p&gt;Sebbene non incoraggeremmo mai la shadow AI, i dipendenti che la utilizzano hanno conoscenze preziose da condividere su come integrare l’IA nei workflow. Quindi, invece di vietare qualsiasi utilizzo dell’IA, dobbiamo assicurarci che i dipendenti dispongano di un percorso chiaro per richiedere strumenti di IA da usare al lavoro e che vi siano occasioni regolari di dialogo aperto.&lt;/p&gt;

&lt;p&gt;Favorire un dialogo aperto mette i dipendenti a proprio agio nel discutere quali strumenti li aiutano ad avere successo e, in ultima analisi, significa che li useranno, o useranno strumenti equivalenti, in modo sicuro. Questo offre ai dipendenti l’opportunità di essere partner attivi nello sviluppo di una governance adeguata, anziché cercare di aggirare le restrizioni.&lt;/p&gt;

&lt;h3&gt;Un approccio misurato all’implementazione e all’adozione dell’IA&lt;/h3&gt;

&lt;p&gt;Una volta approvato uno strumento, è importante garantirne la corretta implementazione e comprendere a quali dati gli è stato concesso accesso. Questo è particolarmente importante se si considerano la governance dei dati e il rischio per la sicurezza che gli strumenti di IA generativa comportano per le organizzazioni. Osservare l’IA attraverso la lente della governance dei dati può aiutare ad affrontare molte componenti del rischio legato all’IA.&lt;/p&gt;

&lt;p&gt;In Ivanti adottiamo un approccio misurato: dedichiamo un team all’esecuzione di test controllati degli strumenti di IA generativa con altri team. Quindi definiamo cicli di feedback e l’adozione procede gradualmente per evitare interruzioni.&lt;/p&gt;

&lt;h3&gt;Creare un ciclo di feedback per gli strumenti di IA&lt;/h3&gt;

&lt;p&gt;Dobbiamo chiederci costantemente:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;In che modo i dipendenti di Ivanti utilizzano l’IA?&lt;/li&gt;
	&lt;li&gt;La trovano utile?&lt;/li&gt;
	&lt;li&gt;Quali feedback hanno?&lt;/li&gt;
	&lt;li&gt;Come possiamo migliorare lo strumento?&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Questa conversazione continua garantisce che utilizziamo l’IA in modo responsabile, soddisfacendo al contempo le esigenze di produttività dei dipendenti.&lt;/p&gt;

&lt;p&gt;Non si tratta di salire sul carro dell’IA. Si tratta di capire se ne vale la pena, per l’azienda e per le persone che la utilizzano. La shadow AI aumenta la produttività di una singola persona. Ma se si estende quella produttività, si ottiene un miglioramento significativo per l’azienda nel suo complesso.&lt;/p&gt;

&lt;h2&gt;Contrastare proattivamente la shadow AI&lt;/h2&gt;

&lt;p&gt;Il filo conduttore è che, anche se l’IA, e in particolare la shadow AI, comporta rischi nuovi e preoccupanti, è destinata a rimanere. I dipendenti che usano l’IA sottotraccia non hanno cattive intenzioni; semmai, stanno cercando di portare beneficio all’azienda, anche se lo fanno nel modo sbagliato.&lt;/p&gt;

&lt;p&gt;Un &lt;a href="https://www.ivanti.com/blog/ai-cybersecurity-best-practices-meeting-a-double-edged-challenge" rel="noopener" target="_blank"&gt;approccio proattivo e risk-first all’adozione dell’IA&lt;/a&gt; riconosce questa realtà. Invece di divieti reattivi che non fanno che incoraggiare l’aggiramento delle regole, dobbiamo coinvolgere i dipendenti per comprendere i problemi che cercano di risolvere con l’IA, così da poter offrire loro opzioni sicure che soddisfino i nostri requisiti di sicurezza e privacy dei dati.&lt;/p&gt;
</description><pubDate>Mon, 15 Dec 2025 14:00:01 Z</pubDate></item></channel></rss>