Shadow IT e Shadow AI: i rischi invisibili che minacciano la tua PMI
- 05 febbraio 2026
- Aggiornato il:
- Temps de lecture: 10 min
Introduzione: quando i tuoi strumenti quotidiani diventano un rischio invisibile
I tuoi collaboratori utilizzano ChatGPT per redigere email, DeepL per tradurre documenti, o il loro Dropbox personale per condividere file. Queste pratiche sembrano innocue, ma rappresentano uno dei rischi di cybersecurity più sottovalutati per le PMI: lo Shadow IT e la sua nuova variante, lo Shadow AI.
Definizione chiave: Lo Shadow IT si riferisce all'insieme di software, applicazioni e servizi cloud utilizzati dai collaboratori senza autorizzazione né supervisione della direzione informatica. Lo Shadow AI ne è l'estensione: l'uso non regolamentato di strumenti di intelligenza artificiale generativa (ChatGPT, Gemini, DeepL…) in un contesto professionale.
La realtà è semplice: i dati della tua azienda circolano su strumenti che non controlli, di cui a volte ignori l'esistenza, e che sfuggono a ogni politica di sicurezza. Per una PMI svizzera soggetta alla nLPD e attenta alla sua reputazione, questa situazione rappresenta una vulnerabilità maggiore.
In questo articolo, scoprirai cosa sono realmente lo Shadow IT e lo Shadow AI, quali rischi concreti comportano per la tua attività, e soprattutto come riprendere il controllo senza frenare la produttività dei tuoi team.
Cos'è lo Shadow IT e come si è evoluto?
Lo Shadow IT si è notevolmente ampliato con la democratizzazione del cloud e l'esplosione delle applicazioni SaaS. WhatsApp per scambiare messaggi con i clienti, Google Drive personale per archiviare documenti, applicazioni di gestione trovate su Internet: tanti esempi comuni nelle PMI svizzere.
I tuoi collaboratori non cercano di aggirare le regole per cattiveria. Vogliono semplicemente essere più efficienti. Se lo strumento ufficiale è lento o inadatto, cercheranno naturalmente una soluzione più pratica altrove.
Nel 2025, questo fenomeno ha assunto una nuova dimensione con l'arrivo massiccio dell'intelligenza artificiale generativa. Si parla ormai di Shadow AI. ChatGPT, Claude, Gemini, DeepL e decine di altri strumenti di IA sono utilizzati quotidianamente per redigere report, riassumere riunioni, tradurre documenti o analizzare dati. Questi assistenti aumentano la produttività, ma il loro uso non regolamentato crea una fuga di dati a una scala mai vista.
I rischi nascosti dell'IA generativa per la tua PMI
I tuoi dati alimentano i modelli di IA di terzi
La maggior parte dei servizi di IA gratuiti funzionano secondo un modello semplice: utilizzi lo strumento gratuitamente, ma i tuoi dati sono utilizzati per addestrare e migliorare i modelli di intelligenza artificiale.
Quando il tuo direttore finanziario copia-incolla il tuo bilancio previsionale in ChatGPT per ottenerne una sintesi, questi dati confidenziali lasciano l'ambiente sicuro della tua azienda. Sono trasmessi verso server spesso situati negli Stati Uniti, poi integrati nella base di conoscenze dell'IA. Esiste il rischio che queste informazioni sensibili possano essere restituite dall'IA in risposta alla domanda di un altro utente, incluso un concorrente.
nLPD e Cloud Act: un doppio rischio giuridico reale
Al di là della perdita di proprietà intellettuale, questa pratica pone dei problemi giuridici concreti per le PMI svizzere:
- La nLPD (nuova Legge federale sulla Protezione dei Dati, in vigore da settembre 2023) impone regole severe sul trasferimento di dati personali all'estero. Utilizzando strumenti di IA pubblici senza garanzie contrattuali, la tua azienda viola potenzialmente la legge.
- Il Cloud Act americano (2018) permette alle autorità giudiziarie americane, su presentazione di un mandato, di esigere l'accesso ai dati detenuti da aziende americane come OpenAI (ChatGPT), Google o Microsoft, anche quando questi dati sono archiviati fisicamente in Europa. Questa legge si applica in maniera extraterritoriale e le persone interessate non sono necessariamente informate di questo accesso.
Anche se lo Swiss-U.S. Data Privacy Framework (entrato in vigore a settembre 2024) inquadra meglio questi trasferimenti per le aziende americane certificate, il Cloud Act rimane applicabile e rappresenta un rischio reale per i dati sensibili.
| Rischio | Fonte | Impatto potenziale per la tua PMI |
|---|---|---|
| Fuga di dati confidenziali | IA generativa pubblica (ChatGPT, Gemini…) | Perdita di proprietà intellettuale, violazione di contratti clienti |
| Non conformità nLPD | Trasferimento di dati personali fuori dalla Svizzera | Sanzioni del Preposto federale, multe, danno alla reputazione |
| Accesso da parte di autorità straniere | Cloud Act americano | Esposizione di dati strategici a terzi non autorizzati |
| Perdita di controllo dei file | Dropbox/Google Drive personali | Dati inaccessibili alla partenza di un collaboratore |
Scenario concreto: una PMI RH svizzera esposta
Una PMI svizzera attiva nella consulenza RH. Un consulente utilizza ChatGPT per riassumere colloqui di valutazione. Copia note contenenti nomi, commenti sulle performance e dati salariali. Queste informazioni finiscono nelle mani di un terzo non autorizzato, con tutti i rischi: danno alla reputazione, azioni legali, perdita del cliente, sanzioni del Preposto federale alla protezione dei dati. Applicare il principio del minimo privilegio avrebbe potuto limitare considerevolmente l'esposizione.
Perché vietare non è la soluzione
Di fronte a questi rischi, voler vietare puramente e semplicemente questi strumenti è comprensibile, ma raramente efficace. Un divieto totale spinge le pratiche nella clandestinità. I tuoi collaboratori continueranno a utilizzare questi strumenti nascondendolo, impedendoti di misurare e gestire i rischi.
Se i tuoi team utilizzano ChatGPT, è perché ne traggono un beneficio reale: guadagnare tempo, produrre contenuti di migliore qualità, concentrarsi su compiti a più alto valore. L'approccio raccomandato è quello dell'accompagnamento e della governance.
I gesti semplici che i tuoi collaboratori possono adottare fin da oggi
Se i tuoi team utilizzano strumenti di IA pubblici e non puoi fornire loro immediatamente alternative sicure, ecco le pratiche che riducono considerevolmente i rischi:
- Anonimizzazione sistematica — Prima di copiare un testo in ChatGPT, eliminare o sostituire tutte le informazioni sensibili: nomi di persone, telefoni, email, indirizzi, nomi di aziende clienti, nomi di progetti, importi finanziari precisi.
- Utilizzare alias generici — Invece di « Azienda Dupont SA », scrivere « Cliente A ». Invece di un nome di progetto confidenziale, « Progetto X ». Questa abitudine richiede uno sforzo minimo ma protegge considerevolmente i tuoi dati.
- Non sottomettere mai segreti aziendali, codici sorgente critici, password, chiavi di API o qualsiasi informazione che dia accesso ai tuoi sistemi. Questi dati non devono mai lasciare il tuo ambiente sicuro.
Come riprendere il controllo in quanto dirigente
Il tuo ruolo non è solo quello di sensibilizzare, ma anche di fornire gli strumenti che permettano di lavorare efficacemente rispettando le regole di sicurezza.
Soluzioni di IA sicure per sostituire ChatGPT grand public
La prima tappa consiste nel proporre alternative svizzere o europee agli strumenti di IA grand public:
- Euria di Infomaniak — Assistente IA sovrano interamente ospitato in Svizzera. I tuoi dati non lasciano mai i datacenter svizzeri di Infomaniak e non sono mai utilizzati per addestrare modelli di IA. Propone una modalità effimera per i dati ultra-sensibili (nessuna traccia conservata, nemmeno da Infomaniak). Gratuito nella sua versione di base, conforme alla nLPD, con funzionalità simili a ChatGPT (redazione, traduzione, analisi di documenti, trascrizione audio).
- ChatGPT Enterprise / Microsoft Copilot for Microsoft 365 — Per le aziende già nell'ecosistema Microsoft o che preferiscono soluzioni americane con garanzie contrattuali: i tuoi dati non sono utilizzati per addestrare i modelli, rimangono confidenziali e sono trattati conformemente alle regolamentazioni. Gestione centralizzata degli accessi inclusa.
- Mistral AI — Azienda francese presente in Svizzera da dicembre 2024. Propone « Le Chat Enterprise », implementabile su cloud pubblico o privato, con un approccio sovrano conforme al RGPD.
Queste soluzioni hanno un costo, ma deve essere messo in bilancio con i rischi di una fuga di dati. Perdere la fiducia di un cliente importante può avere conseguenze ben più gravi dell'investimento in strumenti sicuri.
Riprendere il controllo sullo stoccaggio e la condivisione di file
Lo Shadow IT riguarda anche WeTransfer, Dropbox personale, Google Drive personale. Queste soluzioni sfuggono al tuo controllo: nessuna visibilità sugli accessi, nessun backup centralizzato, spesso nessuna autenticazione multi-fattore. Se un collaboratore lascia l'azienda, i file se ne vanno con lui.
Regola chiara: i dati dell'azienda devono risiedere esclusivamente sugli strumenti dell'azienda.
| Bisogno | Soluzione grand public (da evitare) | Alternativa sovrana raccomandata | Vantaggio chiave |
|---|---|---|---|
| Stoccaggio e collaborazione | Dropbox / Google Drive personale | kDrive (Infomaniak) | Hosting Svizzero, fino a 106 To, conforme nLPD |
| Dati ultra-confidenziali | — | Proton Drive | Crittografia zero-access, giurisdizione svizzera, fuori dal Cloud Act |
| Trasferimento di file voluminosi | WeTransfer | SwissTransfer | Gratuito, fino a 50 GB, crittografia AES-256, hosting Svizzero |
| Backup professionale | — | Swiss Backup (Infomaniak) | Anti-ransomware, replicazione su 2 datacenter svizzeri, AES-256 |
| IA generativa | ChatGPT gratuito / Gemini | Euria (Infomaniak) | Dati mai utilizzati per l'addestramento, modalità effimera disponibile |
Mettere in atto una politica chiara e accompagnare il cambiamento
Formalizza la tua politica di utilizzo in un documento accessibile a tutti. Questa carta deve spiegare quali strumenti sono autorizzati, quali sono vietati, e perché. Precisa le buone pratiche e le conseguenze in caso di mancato rispetto.
Ma una politica scritta non è sufficiente. Organizza sessioni di formazione che spieghino i rischi con esempi reali adattati al tuo settore. Se i tuoi collaboratori comprendono perché queste regole esistono, saranno più inclini a rispettarle. Un audit di sicurezza adattato alla tua PMI può aiutarti a identificare le zone di rischio e a dare priorità alle tue azioni.
Instaura un dialogo continuo. Incoraggia i tuoi team a segnalarti gli strumenti che vorrebbero utilizzare. Valuta queste richieste e trova alternative sicure. Questo approccio collaborativo trasforma la sicurezza da un vincolo in un approccio condiviso.
Domande frequenti sullo Shadow IT e lo Shadow AI
Cos'è esattamente lo Shadow IT?
Lo Shadow IT si riferisce all'insieme di software, applicazioni e servizi cloud utilizzati dai collaboratori in un contesto professionale senza che la direzione informatica ne sia a conoscenza o abbia dato la sua autorizzazione. Esempi comuni: WhatsApp per comunicare con i clienti, Dropbox personale per archiviare file aziendali, o ChatGPT per redigere documenti professionali.
Cos'è lo Shadow AI?
Lo Shadow AI è un'estensione dello Shadow IT specifica per gli strumenti di intelligenza artificiale generativa. Si riferisce all'uso non regolamentato di assistenti IA pubblici (ChatGPT, Gemini, Claude, DeepL…) in un contesto professionale, senza politica di sicurezza né garanzie contrattuali sul trattamento dei dati sottomessi.
Perché lo Shadow AI è particolarmente rischioso per una PMI svizzera?
Perché i dati inseriti in strumenti di IA gratuiti possono essere utilizzati per addestrare i modelli, sono archiviati su server spesso americani (esponendo la tua azienda al Cloud Act), e il loro trasferimento può costituire una violazione della nLPD se contengono dati personali. Una fuga di dati clienti può comportare sanzioni legali, la perdita di contratti e un danno duraturo alla tua reputazione.
Qual è la migliore alternativa svizzera a ChatGPT per una PMI?
Euria di Infomaniak è l'alternativa sovrana più completa per le PMI svizzere: hosting esclusivo in Svizzera, dati mai utilizzati per l'addestramento dei modelli, modalità effimera per i dati ultra-sensibili, e funzionalità equivalenti a ChatGPT (redazione, traduzione, analisi di documenti). La versione di base è gratuita.
Bisogna vietare ChatGPT ai propri collaboratori?
Il divieto totale è raramente efficace: spinge le pratiche nella clandestinità senza ridurre i rischi. L'approccio raccomandato è la governance: sensibilizzare i team ai rischi, fornire alternative sicure adattate alle loro esigenze, e formalizzare una politica di utilizzo chiara con regole di anonimizzazione per i casi in cui non esiste un'alternativa immediata.
Conclusione: sicurezza e produttività non sono incompatibili
Lo Shadow IT e lo Shadow AI non scompariranno. Riflettono una realtà: i tuoi collaboratori cercano di essere efficienti. Il tuo ruolo non è quello di frenare questa dinamica, ma di canalizzarla in maniera sicura.
Comprendendo i rischi, sensibilizzando i tuoi team, fornendo strumenti professionali adatti e instaurando una governance chiara, trasformi una minaccia invisibile in un vantaggio competitivo.
Due azioni concrete fin da subito:
- Valuta quali strumenti di IA e di stoccaggio sono realmente utilizzati nella tua azienda, poi identifica le versioni professionali o le alternative svizzere che possono sostituirli.
- Comunica chiaramente con i tuoi team e accompagnali in questa transizione. Per approfondire la sensibilizzazione, PhishTrainer può aiutarti a formare i tuoi collaboratori ai rischi cyber in maniera interattiva.
La cybersecurity della tua PMI svizzera passa anche da lì. Bexxo può accompagnarti in questo approccio di governance e di messa in sicurezza.
