Milano, 15 gennaio 2026 – Sono migliaia le piccole e medie imprese italiane che, spesso senza rendersene conto, stanno mettendo a rischio i propri dati riservati. Il motivo? L’uso non autorizzato di strumenti di intelligenza artificiale da parte dei dipendenti, che caricando informazioni sensibili su server esterni sfuggono a qualsiasi controllo interno. Questo fenomeno, chiamato Shadow AI, coinvolge ormai il 68% dei lavoratori che usano chatbot e piattaforme IA senza avvisare i loro dirigenti. Un pericolo silenzioso, ma reale, che può costare caro in termini di sanzioni e danni alla competitività.
Shadow AI: il rischio nascosto nelle PMI italiane
I dati raccolti da IntelligenzaArtificialeItalia.net, coordinata da Alessandro Ciciarelli, raccontano una situazione paradossale. “Mentre i CEO investono in intelligenza artificiale per correre più veloci della concorrenza, sono proprio i loro dipendenti a mettere in piazza segreti industriali, caricandoli su server esterni che nessuno controlla”, spiega Ciciarelli. Il 70% dei manager italiani punta sull’IA Generativa per far crescere l’azienda. Ma allo stesso tempo la teme come il maggior rischio per il futuro del business.
Solo il 7% delle piccole e il 15% delle medie imprese ha avviato progetti strutturati sull’intelligenza artificiale. È qui che si inserisce la “fuga in avanti” dei dipendenti, che usano in autonomia strumenti gratuiti disponibili online. Succede che un commerciale inserisca offerte riservate in ChatGPT per migliorarne la forma, un tecnico condivida codici e password con chatbot pubblici, un responsabile HR crei descrizioni di lavoro partendo da curriculum interni. Azioni di tutti i giorni che trasformano l’ufficio in una specie di roulette russa digitale.
Quanto può costare la Shadow AI: numeri e storie vere
Il conto è salato. Una singola violazione legata all’uso improprio dell’IA può costare a una PMI italiana da uno a tre milioni di euro tra multe, spese legali, danni all’immagine e interruzioni di attività. “Il vero problema non è la tecnologia, ma l’assenza di regole chiare e controllo”, aggiunge Ciciarelli. Il 73% delle aziende teme le conseguenze sulla sicurezza, mentre il 15% ha già subito una violazione attribuibile all’uso incontrollato di queste tecnologie nell’ultimo anno.
Le storie raccolte sono emblematiche: CEO che scoprono documenti riservati citati su forum pubblici, direttori commerciali che vedono le strategie di prezzo copiate dai concorrenti, responsabili IT che intercettano migliaia di richieste verso server esterni piene di dati segreti. Ogni informazione caricata su piattaforme non controllate abbandona la sicurezza aziendale per finire in luoghi dove nessuno può più vederla o proteggerla.
Perché succede: tra pressione e mancanza di competenze
Non si tratta di cattiva volontà. Piuttosto, dietro a questo fenomeno ci sono la pressione del lavoro e la mancanza di strumenti adeguati in azienda. Il 55% delle imprese lamenta proprio la carenza di competenze interne come ostacolo principale all’uso corretto dell’IA. Così i dipendenti si arrangiano da soli, cercando soluzioni veloci per rispettare scadenze e obiettivi.
“La vera sfida non sarà più il shadow IT, ma la shadow IA”, avverte Ciciarelli. “Questa porta con sé rischi ancora più grandi per la privacy e la sicurezza, e corre molto più veloce delle regole aziendali”. I pericoli principali sono tre: perdita del controllo sui dati, violazioni delle norme europee come GDPR e IA Act, e cessione involontaria di proprietà intellettuale.
Come uscirne: regole chiare e formazione
La strada non è dire “basta intelligenza artificiale”, ma imparare a gestirla bene. “Le aziende devono muoversi per fermare o almeno tenere sotto controllo questo fenomeno”, spiega Ciciarelli. Le mosse da fare subito sono tre: mettere in chiaro le regole sull’uso dell’IA, fornire strumenti sicuri e affidabili, e formare il personale sui veri rischi della Shadow AI.
Oggi più di quattro imprese su dieci hanno già adottato delle linee guida sull’intelligenza artificiale, e il 17% ha vietato l’uso di tool non autorizzati. Ma il cammino è ancora lungo.
2026, l’anno della verità: “O si agisce ora, o si pagherà caro”
“Il 2026 sarà l’anno in cui la Shadow AI smetterà di essere un problema nascosto”, avverte l’esperto. “O perché le aziende decideranno di affrontarlo con piani concreti, o perché una serie di incidenti gravi le costringerà a farlo”. La scelta è semplice: governare oggi il fenomeno con investimenti in regole e formazione, oppure pagare domani il prezzo di violazioni che potevano essere evitate.
Chi pensa di essere al sicuro perché “piccolo” o perché i propri dati “non interessano a nessuno” fa l’errore più grave. Sta sottovalutando un nemico invisibile che lavora silenzioso, costruendo falle pronte a esplodere nel momento meno atteso.