Quali sono i rischi dell’uso non autorizzato di AI in azienda? Una domanda che molti addetti, affascinati dalla praticità di alcuni servizi disponibili online, non si pongono, esponendo la loro azienda a danni potenziali anche gravi.
La minaccia agli asset informativi delle aziende: una realtà ormai consolidata
La maggior parte delle aziende, nel 2025, investe ingenti risorse per garantire la sicurezza informatica dei propri sistemi.
Le perdite incontrollate di dati, infatti, costituiscono ormai un rischio concreto e tangibile e, chi più o chi meno, tutti hanno sperimentato i disagi di doverle fronteggiare. Che si tratti di attacchi malevoli esterni (es. ransomware) o di errori umani, le violazioni di sicurezza costano tanto. Non solo sanzioni, ma anche danni d’immagine o perdite di know how, interruzioni dei processi produttivi e costi di riparazione fanno paura a chi gestisce le aziende e deve assicurarne la produttività.
Quello che, però, non è ancora chiaro a molti, è che il risultato di una solida protezione dei propri asset digitali non si raggiunge quando di destinano troppe risorse all’acquisto di soluzioni di security tecniche (sistemi all’avanguardia) e non ci si preoccupa del fattore di rischio n.1: quello umano.
Non solo è necessario organizzare i processi in modo che ci siano sempre dei responsabili per ogni asset o linea di produzione, siano assicurati piani di monitoraggio e di alert tempestivo in caso di sospette violazioni, ma occorre anche prevenire abitudini dannose che gli addetti possono acquisire, vuoi perché presi dall’inerzia della quotidianità, vuoi perché pressati dagli imput a massimizzare la produttività o perché affascinati dal sentito dire.
Utilizzo non autorizzato e diffuso di IA generativa in ufficio: i rischi
Una di queste abitudini, particolarmente insidiosa perché molto difficile da intercettare se non si “entra” nella quotidiana operatività con occhi e orecchie attenti, è quella dell’utilizzo di soluzioni online non autorizzate. In particolare, poi, dal 2023 in poi con l’esplosione degli strumenti di IA generativa, si osserva un’impennata dell’utilizzo non autorizzato di servizi gratuiti di IA, con tutti i rischi che questo comporta.
Che questa prassi sia reale, lo dimostra quanto riportato dal rapporto “Enterprise GenAI Security Report 2025”, che, ad esempio, ricorda come il 71% dei casi di utilizzo di strumenti di AI generativa da parte di addetti in azienda avvenga utilizzando i propri account personali, aggirando così qualunque misura di sicurezza o di alert che i datori di lavoro possano aver posto a protezione dei loro asset.
AI non autorizzata in ufficio: quali rischi?
Il primo rischio è quello che, nella convinzione di comportarsi in maniera del tutto innocua, gli addetti (spesso anche profili alti, fino al C – Level) condividano, senza rendersene conto, asset informativi aziendali di enorme valore, diffondendo il know-how aziendale e rischiando di esporre la propria organizzazione ad azioni concorrenziali aggressive e molto efficaci.
Il secondo è quello di diffondere dati personali, con il rischio di esporre la propria organizzazione a sanzioni anche pesanti, fino al 4% del fatturato globale annuo della società o del gruppo.
Spesso le persone non sono coscienti del grande valore delle informazioni e dei rischi connessi ad una circolazione non autorizzata delle stesse. Allo stesso modo, le persone spesso non riescono a immaginare come una condotta che può sembrare del tutto innocua possa aprire “porte” utilizzabili da malintenzionati per bypassare i presidi di sicurezza tecnici pagati cari dalla propria azienda e portare avanti azioni dannose.
La soluzione principale? Sensibilizzare le persone
Il problema può essere risolto solo attraverso programmi di sensibilizzazione, prima ancora che di formazione, efficaci. Un programma di sensibilizzazione efficace deve avere le seguenti caratteristiche:
- Contenuti realistici e concreti (casi pratici pertinenti all’operatività di chi ascolta)
- Problemi reali e soluzioni accettabili (il terrorismo stimola l’inerzia perché “tanto non ci si può far nulla”)
- Focus su poche informazioni essenziali (chi ascolta fa altro nella vita, meglio non abusare dell’attenzione)
- Preparazione del docente (non solo nel merito, ma anche nella capacità di coinvolgere e spiegare)
Un sistema di sicurezza, fatto di paper-compliance e misure tecniche “deluxe” che non si cura della formazione è come un’auto sportiva di cui si abbia solo la carrozzeria. Magari è bella a vedersi, ma non farà un metro.
Senza la formazione del personale e un adeguato framework che indichi quali servizi utilizzare, indicando come contattare gli IT qualora si voglia proporre l’utilizzo di una soluzione nuova, in particolare se si tratta di IA, si può esser certi di finire, prima o poi, in un pasticcio che costerà carissimo e, in alcuni casi, non avrà via d’uscita.
Studio DFG al tuo fianco
Evitare i rischi dell’uso non autorizzato di servizi AI in azienda? Essere competitivi nell’ecosistema digitale significa anche questo. Studio DFG è al fianco dei propri clienti nella navigazione in acque così burrascose, con la certezza che la nave può essere governata con sicurezza, basta conoscere le giuste rotte. Studio DFG ha sviluppato un percorso di quattro ore per formare gli addetti sui rischi e sull’utilizzo corretto dei servizi di AI in azienda. Questo percorso consente anche di adempiere all’obbligo formativo previsto dal Reg. (UE) 1689/2024 (AI Act).
Per chi desidera un corso più rapido, finalizzato unicamente a trasferire alcuni contenuti essenziali circa l’importanza dell’utilizzo dell’AI in azienda e i principali rischi, il corso è erogato anche in forma ridotta di un’ora.
Per info e costi di questo o di altri servizi, chiedici un preventivo utilizzando il form a tua disposizione, saremo felici di darti tutte le informazioni utili a valutare come e quando procedere. Inoltre, non dimenticare di compilare il nostro questionario di autovalutazione sulla GDPR compliance, è gratuito e ti fornirà in real time un responso sullo stato della tua compliance in materia di Protezione dei dati (GDPR). Non male, no?
