L’Intelligenza Artificiale Delle Imprese Nel 2026: Lo Strumento È Avanti Alla Politica
Nel momento in cui il team legale di una compagnia termina la bozza della propria politica sull’utilizzo accettabile dell’intelligenza artificiale generativa, una percentuale significativa dei propri ingegneri, analisti e manager produttivi ha già avanzato ben al di là di essa. Non in modo deliberato. Non in modo malizioso. Solo praticamente.
Questa è la dinamica fondamentale che l’industria chiama ormai AI sombra (AI shadow): l’uso non autorizzato e non governato di strumenti AI all’interno di organizzazioni aziendali, che avviene in parallelo – e spesso molto oltre – il framework di governance che i team IT e la compliance hanno realizzato. Non è un problema limitato a pochi early adopter. È la realtà operativa dominante di AI nel 2026, e i programmi di governance aziendale sono strutturati per risolvere un problema che ha già cambiato forma fondamentalmente.
La Dimensione Non È Una Falsa Misura
I dati sono chiari. Tra il 40 e il 65 percento dei dipendenti aziendali dichiara di utilizzare strumenti AI non approvati dal dipartimento IT, come mostrano le indagini di IBM 2025 Report Costo di una Fuga di Dati e Netskope Cloud and Threat Report 2026. I dati di Netskope evidenziano con precisione che il 47 per cento di tutti gli utenti aziendali di AI generativa accede ai tool attraverso account personali non gestiti – bypassando interamente i controlli sui dati. Più della metà di questi dipendenti ammette di inserire informazioni riservate aziendali, incluso dati dei clienti, proiezioni finanziarie e processi di proprietà. E criticamente, meno del 20 per cento di questi dipendenti ritiene di fare qualcosa di sbagliato.
I dipendenti che inviano il proprio codice per semiconduttori a ChatGPT per risolvere errori, incollano proiezioni finanziarie dei clienti in Claude per generare sintesi per i consigli di amministrazione, o alimentano trascrizioni di incontri interni a un tool AI di consumo per produrre punti d’azione, non agiscono contro gli interessi dell’azienda. Fanno esattamente ciò che è richiesto: completare le richieste più velocemente, consegnare il lavoro prima della scadenza e ottenere di più con le ore che hanno. La pressione per la produttività che spinge l’adottazione di AI non governata non è un difetto del sistema. È il sistema.
Il divario nella governance non è un divario di conoscenza. Molti di questi dipendenti sanno che le politiche esistono. Il 38 per cento degli utenti dichiara di non comprendere correttamente le politiche aziendali sull’AI, causando violazioni involontarie. Il 56 per cento afferma di non avere guide chiare. Perfino tra quelli che capiscono le regole, il divario persiste. Una policy che gli utenti comprendono ma continuano a ignorare non è un framework governance. È una scusa legale.
L’Incidente Samsung Non Fu Strano – Era Lo Scenario
La fuga di dati di Samsung nel 2023 è l’incidente aziendale sull’AI più citato e per buone ragioni: ha cristallizzato ogni dimensione del rischio AI nell’ombra in tre eventi distinti, nell’arco di 20 giorni rispetto al periodo in cui la compagnia aveva abolito il blocco interno su ChatGPT.
Il primo incidente vide un ingegnere incollare il codice sorgente del database in ChatGPT per controllare gli errori. Il codice conteneva informazioni critiche sui processi di produzione semiconduttori di Samsung. Il secondo coinvolse un dipendente che caricava codice mirato a identificare difetti in attrezzature di produzione, richiedendo suggerimenti di ottimizzazione. Il terzo avvenne quando un dipendente convertì i trascritti di una registrazione di meeting interno a testo, e poi alimentò quei trascritti a ChatGPT.
Nel caso di tutti e tre, i dipendenti non stavano agendo in modo rischioso. Stavano cercando di lavorare più efficientemente usando uno strumento al quale l’azienda aveva recentemente indicato informalmente di potersi servire. Come evidenziato nell’analisi post-incidente, Samsung aveva sollevato il bando su ChatGPT con un avviso su memo — un limite di 1024 caratteri — e nessun tipo di controllo tecnico. Il limite di caratteri non era in vigore a livello di rete. Non era presente alcun sistema di classificazione del contenuto né a livello di browser né a livello di endpoint. Una policy senza enforcement è una dichiarazione di intenti e non una sicurezza.
La lezione strutturale era però più profonda: quando i dipendenti percepiscono uno strumento AI come un “strumento di produttività” e non come un “servizio processante esterno i dati”, applicano il modello mentale sbagliato su ciò che è sicuro condividere. L’incidente Samsung ha catalizzato una serie di risposte di governance a livello dell’industria – entro la metà del 2023, più del 75 percento delle aziende della Fortune 500 aveva adottato una qualche forma di policy sull’utilizzo di AI generativa – ma il ritmo con cui tali politiche hanno tenuto il passo con la proliferazione degli strumenti è un problema più preoccupante.
Samsung ha vietato ChatGPT dopo gli incidenti. E, come diversi avvisi di governance hanno rilevato in seguito: vietare uno specifico strumento spinge i dipendenti ad utilizzarne altri, meno visibili. Si perde la visibilità. Il rischio aumenta.
Cosa Sta Fuoriuscendo Dall’Organizzazione In Questo Momento
La divulgazione di dati sensibili non è limitata alle produzioni di semiconduttori. Nei 2024 e 2025, diversi studi legali hanno scoperto che gli associati stavano utilizzando ChatGPT per elaborare comunicazioni al cliente e memorie legali – esponendo informazioni protette da segreto professionale a sistemi esterni, facendo scattare allerte dei bar association che tali usi potrebbero costituire una forma di negligenza. Diversi sistemi ospedalieri hanno scoperto che i dipendenti stavano utilizzando tool AI con dati pazienti sotto la convinzione errata che la de-identificazione garantiscesse la conformità al HIPAA (Health Insurance Portability and Accountability Act). Non lo fa. Il Dipartimento federale statunitense della Salute e del Benessere Sociale (U.S. Department of Health and Human Services) ha chiarito che le informazioni protette sui pazienti non possono essere condivise con sistemi AI esterni senza accordi idonei di gestione dei dati, indipendentemente dagli sforzi di de-identificazione.
Secondo IBM Report Costo di una Fuga di Dati 2025 – lo standard di riferimento più autorevole sull’economia delle fughe di dati, ormai al suo ventesimo anno – le organizzazioni afflitte da AI nell’ombra hanno registrato un costo medio aggiuntivo di 670.000 dollari per ogni fuga rispetto a quelle con poca o nessuna AI nell’ombra. Le fughe di dati coinvolgenti