Shadow AI: rischi, governance e Linee guida
Sappiamo davvero come vengono usati gli strumenti di intelligenza artificiale all’interno delle nostre organizzazioni? E tu quante volte hai usato ChatGPT, o strumenti simili, per fare qualcosa al lavoro senza dirlo a nessuno?
Perché mentre si discute di AI Act, governance e trasformazione digitale, nella pratica quotidiana migliaia di persone stanno già usando ChatGPT e altri strumenti IA per scrivere e-mail, analizzare documenti, preparare report, tradurre testi o gestire attività operative. Spesso usando account personali, strumenti non approvati e senza regole condivise.
È questo il fenomeno della Shadow AI: l’uso dell’intelligenza artificiale fuori dai processi aziendali ufficiali. Non è fantascienza, è già dentro studi professionali, PMI, uffici HR, marketing, amministrazione e sanità. Un fenomeno in rapida crescita, di cui si parla ancora poco, ma con implicazioni concrete in termini di privacy, sicurezza dei dati, compliance e responsabilità.
01. Tante persone la usano, quasi nessuna lo dice
Nel 2025 il mercato italiano dell'intelligenza artificiale ha raggiunto 1,8 miliardi di euro, con una crescita del +50% rispetto all'anno precedente. Lo dice l'Osservatorio Artificial Intelligence del Politecnico di Milano nel suo report pubblicato a febbraio 2026.
Sempre secondo la ricerca del Politecnico, 8 lavoratori su 10 usano strumenti IA non aziendali. Strumenti personali, non approvati e non monitorati e spesso senza che l'azienda lo sappia.
Si chiama Shadow AI: l'uso non autorizzato di strumenti di intelligenza artificiale da parte di dipendenti e collaboratori, al di fuori di qualsiasi controllo o politica aziendale.
Non è necessariamente malafede. Spesso è voglia di lavorare meglio, più in fretta, con meno frizioni ma questo non elimina i rischi.
Un sondaggio commissionato da Wolters Kluwer Health, condotto nel dicembre 2025 su oltre 500 operatori sanitari negli Stati Uniti e pubblicato a gennaio 2026, ha evidenziato che quasi un operatore sanitario ospedaliero su 5 ricorre a strumenti di intelligenza artificiale non approvati nel suo lavoro quotidiano. Il 17% ha infatti dichiarato di usare strumenti IA non autorizzati sul lavoro. Nel 45% dei casi dichiara di farlo per lavorare più in fretta, il 24% perché gli strumenti autorizzati non soddisfano le esigenze operative, il 26% per curiosità o sperimentazione.
E non si tratta solo dei più giovani quindi la Shadow AI non è un problema generazionale: è un problema di governance.
E non è solo un problema delle grandi aziende. La Guida Operativa sull'AI del Consiglio Nazionale dei Commercialisti (ver.2.0 - ottobre 2025) descrive lo stesso fenomeno anche negli studi professionali: «proliferano sperimentazioni “ombra” (prompt su dati non presidiati, export manuali)», con rischi concreti di errore e di non conformità.
Un segnale chiaro che la Shadow AI riguarda anche le realtà più piccole, comprese quelle che ogni giorno gestiscono dati sensibili di clienti e imprese.
02. Perchè lo nascondono
Secondo una ricerca diffusa da Adnkronos nel gennaio 2026, il 68% della forza lavoro italiana usa chatbot e piattaforme AI senza informare i vertici aziendali. Un numero che, da solo, dice già molto.
Le ragioni sono diverse. C'è chi considera l'IA un vantaggio competitivo personale, un segreto da custodire, non una pratica da condividere. E c'è chi semplicemente tace per paura: teme che l'azienda scopra che una parte del suo lavoro può essere automatizzata.
Due motivazioni diverse, stesso risultato: l'IA usata nell'ombra, senza governance, senza regole, senza consapevolezza dei rischi.
03. Quali sono i rischi concreti
Partiamo dal dato più diretto. IBM, nel suo Cost of a Data Breach Report 2025, rileva che oltre un terzo dei dipendenti condivide informazioni riservate del lavoro con strumenti IA senza l'autorizzazione del proprio datore. Dati dei clienti, contratti, strategie commerciali, informazioni finanziarie.
Cosa succede a quei dati? Dipende dallo strumento. In alcuni casi finiscono su server esterni, possono essere usati per addestrare il modello o restare accessibili per un tempo indefinito.
Sul fronte cyber, il Rapporto Clusit 2026, presentato a marzo 2026, fotografa una situazione preoccupante: in Italia gli attacchi informatici gravi sono aumentati del 42% nel 2025, con 507 incidenti documentati. Il tessuto delle PMI italiane è identificato come particolarmente esposto, non solo per sotto-investimento nella sicurezza, ma anche per la scarsa governance degli strumenti digitali, tra cui anche gli strumenti IA non autorizzati.
Dal punto di vista del GDPR, il quadro è chiaro: se un dipendente inserisce dati personali di clienti, colleghi, fornitori in uno strumento non approvato e non valutato dall'azienda, si configura con ogni probabilità una violazione del Regolamento UE. L'azienda è responsabile del trattamento, anche se non sapeva nulla.
04. Cosa si può fare concretamente
La risposta non è vietare l'IA. Sarebbe inefficace e inutile.
La risposta è governarla: capire cosa già succede, stabilire regole chiare, formare le persone.
Il report di Wolters Kluwer che ti abbiamo citato sopra ci suggerisce un approccio molto pragmatico: non trattare l’uso di strumenti IA non autorizzati solo come una violazione da reprimere, ma anche come un segnale organizzativo da ascoltare. Spesso, infatti, la Shadow AI nasce perché le persone cercano strumenti più veloci, più semplici o più efficaci rispetto a quelli ufficialmente disponibili.
Serve capire quali strumenti vengono realmente usati, coinvolgere le persone nei processi decisionali, introdurre policy IA chiare e fare formazione concreta sui rischi e sulle modalità corrette di utilizzo. Il report suggerisce anche di creare momenti periodici di confronto interno, sperimentare strumenti IA in ambienti controllati e costruire una governance dedicata, capace di bilanciare innovazione, sicurezza e compliance.
L’obiettivo non è bloccare l’uso dell’intelligenza artificiale, ma evitare che venga utilizzata fuori da regole, controlli e processi aziendali.
In concreto quindi:
- fare un inventario completo degli strumenti IA usati nei vari dipartimenti: non si può governare ciò che non si conosce. Il primo passo è capire quali strumenti vengono realmente utilizzati, da chi e per quali attività
- policy sull'uso degli strumenti IA. Una policy chiara, comprensibile, che dica quali strumenti si possono usare, quali dati non si possono inserire, cosa fare in caso di dubbio. Le Linee Guida del Ministero del Lavoro del dicembre 2025 indicano esplicitamente questo strumento come essenziale per un uso consapevole e sicuro dell'IA in azienda
- aumentare AI literacy e consapevolezza sugli strumenti autorizzati. Non basta avere la policy: le persone devono capirla. Il rischio della Shadow AI nasce quasi sempre da un uso inconsapevole, non da intenzioni malevole. L’”alfabetizzazione” mirata per tutto il personale che si occupa del funzionamento e dell’utilizzo dei sistemi IA all’interno delle organizzazioni è obbligatoria sin dal mese di febbraio 2025 (art.3 AI Act) e fa la differenza (puoi approfondire le AI literacy practices pubblicate dalla Commissione europea)
- usare survey e incontri periodici per capire i bisogni reali degli utenti: spesso le persone ricorrono a strumenti non approvati perché quelli disponibili non rispondono alle esigenze operative quotidiane. Ascoltare chi lavora aiuta a individuare problemi reali e soluzioni più efficaci
- creare un governance committee nelle organizzazioni più strutturate e nelle realtà più piccole individuare un referente dedicato all’IA: individuare figure interne che possano coordinare le decisioni sull’uso dell’intelligenza artificiale, valutare i rischi e definire criteri condivisi per l’adozione degli strumenti
- sperimentare strumenti IA in ambienti sicuri prima dell’adozione: testare gli strumenti in contesti controllati permette di verificare sicurezza, affidabilità, impatto sui dati e utilità concreta prima di introdurli stabilmente nei processi aziendali
- coinvolgere il board nella definizione di aspettative, rischi e supervisione: l’uso dell’IA non è solo una questione tecnica o IT. Ha impatti organizzativi, legali e reputazionali che richiedono attenzione anche a livello direzionale
- offrire alternative approvate che siano davvero utili per chi lavora: se gli strumenti autorizzati sono troppo limitati, complessi o inefficienti, le persone cercheranno comunque soluzioni alternative. La governance passa anche dalla qualità degli strumenti messi a disposizione
05. Le Linee Guida del CNDCEC e del Ministero del Lavoro. L'Enciclica Magnifica Humanitas
Nell’ottobre 2025, il Consiglio Nazionale dei Commercialisti ha pubblicato una Guida Operativa sull'uso dell'AI negli studi professionali che contiene strumenti pratici e utilizzabili: un template di policy, checklist operative di compliance, un registro dei sistemi IA e scenari pratici sull'anonimizzazione dei dati prima dell'uso degli strumenti IA. Anche se pensata per i commercialisti, la struttura e il metodo possono dare spunti utili per qualsiasi studio professionale o PMI.
Nel dicembre 2025 il Ministero del Lavoro ha adottato le Linee guida per l’implementazione dell’Intelligenza Artificiale nel mondo del lavoro con il Decreto Ministeriale n. 180 del 17 dicembre 2025. Le Linee Guida parlano chiaramente di adozione consapevole, sicura e responsabile dell’IA nei contesti lavorativi e insistono su alcuni temi chiave: supervisione umana, gestione dei rischi, formazione, monitoraggio e tutela dei diritti dei lavoratori.
Il documento ha un approccio molto pratico e operativo. Non tratta l’intelligenza artificiale solo come una questione tecnologica, ma come un tema organizzativo e di governance aziendale. Le Linee Guida suggeriscono infatti un percorso strutturato che passa da valutazione, pianificazione, sperimentazione, implementazione e monitoraggio continuo degli strumenti IA utilizzati in azienda.
Ed è proprio qui che il tema della Shadow AI diventa centrale. Perché quando gli strumenti vengono usati fuori dai processi aziendali, senza regole condivise e senza controllo, diventa molto più difficile garantire sicurezza, compliance, trasparenza e responsabilità.
Infine, si è tanto parlato in questi ultimi giorni dell’Enciclica Magnifica Humanitas che Papa Leone XIV ha pubblicato a maggio 2026 sulla "custodia della persona umana nel tempo dell’intelligenza artificiale”. L’enciclica ricorda che la tecnologia non è neutrale e che l’innovazione non può essere governata solo dalla velocità o dall’efficienza, ma deve restare centrata sulla persona, sul lavoro umano e sulla responsabilità collettiva. Infatti “quando cambiano i linguaggi e gli strumenti, cambiano anche i gesti quotidiani e le relazioni sociali”.
È quello che sta accadendo: strumenti usati ogni giorno, spesso in modo invisibile, che stanno già modificando il modo in cui lavoriamo, prendiamo decisioni e gestiamo informazioni e dati nella nostra vita professionale e personale.
Le aziende, gli studi professionali e le organizzazioni hanno bisogno non solo di tecnologia, ma anche di regole chiare, formazione, cultura digitale e strumenti comprensibili. La governance dell’IA non serve a bloccare l’innovazione, ma a renderla sostenibile, responsabile e utile per le persone.
Iscriviti alla nostra newsletter
Per ricevere novità e approfondimenti sul tema della conformità delle organizzazioni (aziende, studi professionali, associazioni, enti): contratti, privacy, regole del digitale, sostenibilità, modello 231.
