Shadow AI: Cos'è e Perché il 70% dei Tuoi Dipendenti la Usa di Nascosto
Lettura 8 min · AstraLoop Studio
Mentre leggi questa frase, con ogni probabilità qualcuno nella tua azienda sta incollando un file cliente, un preventivo o una porzione di codice dentro ChatGPT. Non te l'ha chiesto, non l'ha scritto in nessuna procedura e, molto probabilmente, non ci vede nulla di male: sta solo cercando di lavorare più veloce. Questo fenomeno ha un nome preciso, Shadow AI, ed è oggi uno dei rischi meno presidiati e più diffusi nelle PMI italiane.
Le stime che circolano nel 2026 parlano di una forbice tra il 68% e il 76% dei dipendenti che usa strumenti di AI generativa senza che l'azienda ne sia a conoscenza o ne abbia autorizzato l'uso. Il dato colpisce perché non riguarda le grandi corporation, ma soprattutto le imprese medio-piccole, dove non esiste un reparto IT strutturato e dove nessuno ha ancora scritto una riga di regolamento sull'uso dell'AI. Se vuoi inquadrare il tema dentro un percorso più ampio, questo articolo si collega alla nostra guida completa alla consulenza AI per aziende, dove la governance è uno dei pilastri.
Qui vediamo cos'è davvero la Shadow AI, perché nasce, quali rischi concreti porta sul piano GDPR e AI Act e, soprattutto, come si costruisce una policy interna che non blocca il lavoro ma lo mette in sicurezza.

Shadow AI: cos'è, in parole semplici
La Shadow AI (letteralmente "AI ombra") è l'uso di strumenti di intelligenza artificiale da parte dei dipendenti al di fuori di qualsiasi controllo, approvazione o policy aziendale. È il cugino recente della "Shadow IT", il fenomeno per cui le persone in azienda usano software e servizi non autorizzati dall'IT: pensa a chi condivide file su un Drive personale invece che sui sistemi aziendali.
La differenza è che la Shadow AI è molto più facile da innescare e molto più rischiosa. Bastano un browser e un account gratuito. Nessuna installazione, nessun permesso da chiedere, nessuna traccia visibile. Ecco le forme più comuni in cui si presenta:
- Chatbot generalisti: ChatGPT, Gemini, Claude, Copilot usati con account personali per scrivere email, riassumere documenti, analizzare dati.
- Estensioni browser AI: plugin che riassumono pagine, traducono, generano testo, spesso con permessi di lettura su tutto ciò che appare a schermo.
- Funzioni AI dentro tool già in uso: la generazione automatica in Notion, Canva, Grammarly, i "copiloti" integrati in software terzi.
- Trascrittori di riunioni: bot che entrano in call Zoom o Meet, registrano e sintetizzano, portando fuori conversazioni riservate.
Il punto cruciale è questo: nella maggior parte dei casi non c'è cattiva fede. Il dipendente non sta "rubando dati", sta cercando di fare prima. Ma il risultato è lo stesso: informazioni aziendali che escono da un perimetro controllato ed entrano in sistemi di cui l'azienda non sa nulla.
Perché il 70% dei tuoi dipendenti la usa (e non te lo dice)
Capire il "perché" è fondamentale, perché la soluzione non è il divieto. Il divieto secco è la ricetta perfetta per spingere ancora più in profondità l'uso nell'ombra. Le ragioni per cui la Shadow AI dilaga sono tre, tutte molto umane.
1. Lo strumento funziona e fa risparmiare tempo
Un'email ben scritta in trenta secondi, un verbale sintetizzato in un minuto, una bozza di offerta pronta prima del caffè. Il valore percepito è immediato e tangibile. Nessuna procedura interna può competere con questo livello di gratificazione istantanea.
2. L'azienda non ha detto nulla
Nel vuoto normativo, ognuno decide da sé. Se non esiste una policy, non esiste un "vietato": il dipendente presume in buona fede che vada bene. Il silenzio dell'azienda viene letto come permesso implicito.
3. La paura di chiedere
Molti temono che chiedere "posso usare ChatGPT per questo?" venga interpretato come "non sono capace di farlo da solo". Così preferiscono usarlo di nascosto, magari incollando il testo, generando il risultato e riscrivendolo con parole proprie. Questo comportamento, oltre a essere il più diffuso, è anche il più difficile da intercettare.
La conseguenza è che la Shadow AI non è un problema di persone indisciplinate, ma di governance mancante. E come tutti i problemi di governance, si risolve con regole chiare e alfabetizzazione, non con la repressione. È lo stesso principio che guida un buon percorso di formazione sull'intelligenza artificiale per i dipendenti.
I rischi concreti della Shadow AI
Passiamo dal generico allo specifico. Quando un dipendente incolla dati in uno strumento AI non autorizzato, quali sono i danni reali che rischi? Li dividiamo in quattro aree.
Rischio GDPR e protezione dei dati
È il più immediato. Se un dipendente incolla in un chatbot un elenco clienti con nomi, email e numeri di telefono, oppure una cartella clinica, un CV o dati bancari, sta effettuando un trasferimento di dati personali verso un fornitore terzo (spesso extra-UE) senza alcuna base giuridica, senza informativa e senza contratto di trattamento (DPA). Sul piano del Regolamento UE 2016/679 (GDPR) questo può configurare:
- Trattamento illecito di dati personali (violazione degli articoli 6 e 9).
- Trasferimento non conforme di dati verso Paesi terzi (Capo V).
- Assenza, per il titolare, di ogni controllo su dove finiscono i dati e per quanto tempo restano.
Il Garante per la protezione dei dati personali si è già mosso su questo terreno, con il noto provvedimento che nel 2023 limitò temporaneamente ChatGPT in Italia. Le sanzioni GDPR arrivano fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, a seconda di quale sia più elevato.
Rischio segreti industriali e proprietà intellettuale
Preventivi, listini riservati, strategie commerciali, codice sorgente proprietario, formule, disegni tecnici. Tutto ciò che incolli in uno strumento consumer può, a seconda delle condizioni d'uso, essere utilizzato per addestrare i modelli o comunque uscire dal tuo controllo. Il caso più citato resta quello degli ingegneri Samsung che nel 2023 incollarono codice confidenziale in ChatGPT, portando l'azienda a vietarne l'uso.
Rischio AI Act
Il Regolamento UE 2024/1689 (AI Act) diventa progressivamente operativo, con obblighi rilevanti già dal 2 agosto 2026. La Shadow AI incrocia l'AI Act su due fronti. Primo: l'articolo 4 impone a ogni organizzazione che usa sistemi di AI di garantire un livello adeguato di alfabetizzazione (AI literacy) al proprio personale. Se metà dei tuoi dipendenti usa AI di nascosto, non solo non stai formando nessuno, ma non sai nemmeno chi usa cosa. Secondo: non puoi classificare per categoria di rischio sistemi di cui ignori l'esistenza. Approfondiamo scadenze e obblighi nell'articolo dedicato agli obblighi dell'AI Act per le PMI.
Rischio qualità e affidabilità
C'è poi il rischio operativo. Un output AI usato senza controllo può contenere errori (le cosiddette "allucinazioni"), dati inventati, calcoli sbagliati. Se finisce in un contratto, in un preventivo o in una comunicazione a un cliente senza revisione umana, il danno reputazionale ed economico è concreto.

Come governare la Shadow AI: dalla policy alla pratica
La buona notizia è che questo è uno dei "quick win" più accessibili nel percorso di adozione dell'AI. Non serve un investimento tecnologico enorme, serve chiarezza. Ecco un percorso in cinque passi che puoi avviare in poche settimane.
Passo 1: mappa cosa succede davvero (assessment)
Prima di scrivere regole, devi sapere cosa già accade. Un breve assessment interno sull'uso dell'AI nei processi, fatto con questionari anonimi e colloqui, ti dice quali strumenti girano, per quali attività e su quali dati. Quasi sempre la fotografia sorprende: si scopre più uso di quanto si immaginasse, e concentrato in aree inattese come l'amministrazione o il commerciale.
Passo 2: classifica i dati, non solo i tool
Non tutti i dati sono uguali. La regola d'oro è semplice da comunicare: dividi le informazioni in tre livelli.
| Livello | Esempi | Regola AI |
|---|---|---|
| Pubblici | Testi già online, materiale marketing, descrizioni prodotto | Uso libero anche su strumenti consumer |
| Interni | Bozze, appunti, procedure non riservate | Solo su strumenti aziendali approvati |
| Riservati/personali | Dati clienti, dati sanitari, listini, codice, contratti | Mai su strumenti non certificati e senza DPA |
Passo 3: scrivi una policy AI breve e leggibile
Dimentica i documenti legali di quaranta pagine che nessuno leggerà. Una policy efficace sta in due o tre pagine e risponde a domande concrete: quali strumenti sono approvati, cosa non si può mai incollare, chi contattare per proporre un nuovo tool, cosa fare in caso di errore. Deve essere scritta in italiano semplice, con esempi. L'obiettivo non è spaventare, è dare un binario chiaro.
Passo 4: offri un'alternativa autorizzata
Questo è il passaggio che quasi tutti dimenticano ed è il più importante. Vietare senza offrire un'alternativa non funziona: le persone continueranno di nascosto. Se dai al team una versione enterprise di uno strumento AI (con impostazioni che escludono i dati dall'addestramento e con contratto di trattamento), oppure un assistente interno costruito su una knowledge base aziendale con approccio RAG, togli l'incentivo a usare le versioni consumer. Fai in modo che la strada sicura sia anche la più comoda.
Passo 5: forma e monitora
La policy senza formazione resta carta. Un'ora di formazione pratica, con esempi di cosa fa e cosa non fa un dipendente medio, vale più di dieci circolari. È anche il modo per rispettare l'obbligo di AI literacy dell'articolo 4 dell'AI Act. Il monitoraggio, infine, non deve essere sorveglianza: bastano check periodici e un canale aperto in cui le persone possano segnalare nuovi strumenti senza timore di essere sgridate.
La Shadow AI è già dentro la tua azienda: la differenza la fa governarla prima che diventi un problema. Richiedi un'analisi rapida del tuo uso reale dell'AI e ti aiutiamo a costruire una policy su misura.
Governare non significa bloccare
Il messaggio da portare a casa è controintuitivo. La Shadow AI non si combatte spegnendo l'AI, si combatte accendendola bene. Le aziende che vietano tutto ottengono due risultati, entrambi negativi: perdono i vantaggi di produttività e spingono l'uso ancora più nell'ombra, dove è impossibile controllarlo.
Le aziende che invece la governano trasformano un rischio in un vantaggio competitivo. Portano alla luce l'uso reale, mettono in sicurezza i dati, formano le persone e spesso scoprono processi che vale la pena automatizzare per davvero. È il primo passo di una vera roadmap di adozione dell'AI in quattro fasi: senza governance, tutto il resto poggia su fondamenta fragili.
Se stai ancora capendo da dove partire con l'AI in azienda, questo tema è un ottimo punto d'ingresso: è economico da affrontare, ha un ritorno immediato in riduzione del rischio e apre naturalmente il discorso su cosa automatizzare. Trovi altri spunti nella guida su come muovere i primi passi con l'intelligenza artificiale in azienda e su cosa conviene automatizzare con l'AI.
Errori da evitare quando affronti la Shadow AI
- Il divieto totale via email. Manda solo l'uso più in profondità. Serve una policy con alternative, non un "no" secco.
- Copiare una policy trovata online. Ogni azienda ha dati, processi e livelli di rischio diversi. Una policy generica non regge un controllo del Garante.
- Fermarsi al documento. Senza formazione e senza uno strumento autorizzato, la policy resta lettera morta.
- Trattarlo come problema solo IT. La Shadow AI riguarda HR, legale, commerciale e direzione. Va affrontata in modo trasversale.
- Rimandare. Con l'AI Act operativo dal 2 agosto 2026, il tempo per mettersi in regola non è illimitato.
Governare la Shadow AI non è un progetto da mesi. È un intervento mirato, misurabile e con un ritorno immediato sulla riduzione del rischio. È, a tutti gli effetti, uno dei quick win più intelligenti da mettere in agenda per il 2026.
Domande frequenti
Cos'è la Shadow AI in parole semplici?
È l'uso di strumenti di intelligenza artificiale (come ChatGPT, Gemini o Copilot) da parte dei dipendenti senza autorizzazione, controllo o policy aziendale. Bastano un browser e un account gratuito, quindi è facilissima da innescare e invisibile all'azienda.
Perché la Shadow AI è pericolosa per la mia azienda?
Perché porta dati aziendali fuori dal perimetro controllato. I rischi principali sono: violazioni GDPR se si incollano dati personali, perdita di segreti industriali, non conformità all'AI Act e output non verificati che finiscono in documenti reali.
Incollare dati clienti in ChatGPT viola il GDPR?
Nella maggior parte dei casi sì. Trasferisci dati personali a un fornitore terzo, spesso extra-UE, senza base giuridica, informativa né contratto di trattamento (DPA). Può configurare un trattamento illecito ai sensi degli articoli 6 e 9 del GDPR.
Devo vietare l'AI ai dipendenti per risolvere il problema?
No, il divieto secco è controproducente e spinge l'uso ancora più nell'ombra. La soluzione è governare: mappare l'uso reale, classificare i dati, scrivere una policy chiara e offrire uno strumento AI aziendale sicuro come alternativa.
Cosa c'entra la Shadow AI con l'AI Act?
L'AI Act (Regolamento UE 2024/1689), operativo dal 2 agosto 2026, richiede con l'articolo 4 che il personale abbia un'adeguata alfabetizzazione sull'AI e che i sistemi siano classificati per rischio. Se metà del team usa AI di nascosto, non puoi rispettare nessuno dei due obblighi.
Quanto tempo serve per costruire una policy sulla Shadow AI?
È uno degli interventi più rapidi: con un assessment iniziale, una policy di due o tre pagine, uno strumento autorizzato e un'ora di formazione, un'azienda medio-piccola può mettersi in sicurezza in poche settimane.
Vuoi trasformare l'AI ombra in un vantaggio controllato invece che in un rischio? Parlane con noi: definiamo insieme policy, strumenti autorizzati e formazione per il tuo team.