La crescente diffusione di strumenti di intelligenza artificiale non autorizzati all’interno delle aziende sta aprendo un fronte di rischio sempre più delicato per la cybersicurezza globale. A lanciare l’allarme è Jeff Moss, fondatore della DEF CON hacking conference, che durante la prima edizione dell’evento a Singapore ha messo in evidenza il fenomeno della shadow AI, definendolo una minaccia emergente per imprese e dipendenti.
Secondo Moss, la questione non riguarda solo i sistemi informatici tradizionali, ma anche il comportamento quotidiano dei lavoratori che, spesso senza piena consapevolezza, possono esporre dati sensibili aziendali utilizzando piattaforme AI esterne.
Shadow AI e sicurezza dei dati aziendali
Il concetto di shadow AI si inserisce nel più ampio contesto della sicurezza informatica e riguarda l’utilizzo di strumenti di intelligenza artificiale non autorizzati o non monitorati dai reparti IT aziendali. In molti casi, dipendenti e collaboratori adottano queste soluzioni per velocizzare il lavoro o aumentare la produttività.
Il problema principale, sottolineano gli esperti, è che i dati inseriti in questi sistemi possono essere inviati ai server dei fornitori e potenzialmente utilizzati per addestrare modelli di AI. Questo meccanismo può tradursi in una esposizione involontaria di informazioni riservate, con rischi significativi per la sicurezza aziendale.
Le aziende che non dispongono di una governance chiara su questi strumenti si trovano quindi esposte a possibili violazioni, perdita di dati e danni reputazionali difficili da recuperare.
Le parole di Jeff Moss a DEF CON Singapore
Durante la seconda giornata della prima edizione di DEF CON a Singapore, Jeff Moss ha paragonato la shadow AI al fenomeno dello “shadow IT”, quando i dipendenti installavano software non autorizzati per aggirare limiti operativi.
“Adesso le persone installano agenti di intelligenza artificiale perché sotto pressione per produrre di più”, ha spiegato Moss in un’intervista a CNA, sottolineando però un aspetto critico: “Molte volte non si rendono conto che i dati inseriti nel sistema possono tornare al produttore e essere utilizzati per l’addestramento dei modelli”.
Il fondatore della storica conferenza sulla sicurezza informatica ha evidenziato come questa dinamica stia creando un nuovo livello di rischio, spesso sottovalutato anche dalle aziende più strutturate, dove il problema non è solo tecnologico ma anche di consapevolezza interna.
Un rischio che cresce con la digitalizzazione
La shadow AI si sta diffondendo rapidamente grazie alla facilità con cui oggi è possibile accedere a strumenti di intelligenza artificiale anche senza autorizzazione interna. Questo fenomeno riguarda sia grandi organizzazioni sia piccole imprese, con impatti che si estendono all’intero ecosistema digitale.
Il problema principale è la mancanza di controllo sui cosiddetti strumenti invisibili, che operano al di fuori delle policy aziendali. In questo contesto, i team di sicurezza informatica faticano a tracciare tutte le applicazioni utilizzate quotidianamente dai dipendenti.
Secondo gli esperti presenti alla conferenza, la velocità di diffusione dell’AI sta superando la capacità delle aziende di adattare i propri sistemi di protezione informatica.
Cybersecurity e nuove consapevolezze nel settore
Il dibattito emerso a DEF CON Singapore ha confermato come la shadow AI sia ormai considerata una delle principali sfide della cybersicurezza contemporanea. Non si tratta solo di una questione tecnica, ma anche culturale, legata alla consapevolezza degli utenti.
Le informazioni condivise su piattaforme non ufficiali possono infatti diventare parte di processi esterni all’azienda, con potenziali conseguenze su tutta la supply chain. Per questo motivo, la formazione dei dipendenti e la sensibilizzazione sui rischi digitali stanno diventando elementi centrali nelle strategie di sicurezza.
Gli specialisti del settore sottolineano inoltre la necessità di una collaborazione più stretta tra aziende e comunità cybersecurity per anticipare le nuove minacce emergenti.
Strategie aziendali contro la shadow AI
Per affrontare il fenomeno, le organizzazioni stanno iniziando a sviluppare policy più rigide e strumenti di monitoraggio avanzati. Tra le priorità emergono la mappatura delle applicazioni utilizzate internamente e l’identificazione dei tool AI non autorizzati.
Fondamentale anche l’attività di audit periodico e il coinvolgimento diretto degli utenti, affinché l’adozione di nuove tecnologie avvenga in modo trasparente e controllato.
L’obiettivo è trovare un equilibrio tra innovazione e sicurezza, evitando che la crescita dell’intelligenza artificiale si traduca in una vulnerabilità strutturale per le imprese.
Fonte: Channel News Asia
