Milano, 15 gennaio 2026 – Migliaia di piccole e medie imprese italiane stanno mettendo a rischio, spesso senza accorgersene, dati riservati e informazioni sensibili. Questi dati finiscono su server esterni, fuori dal controllo delle aziende. È il fenomeno chiamato Shadow AI, che sta crescendo a ritmo sostenuto. L’ultimo sondaggio dice che il 68% dei lavoratori usa strumenti di intelligenza artificiale come chatbot e piattaforme generative senza dirlo ai vertici aziendali. Un’abitudine che, secondo gli esperti, potrebbe diventare una vera minaccia per la sicurezza e la competitività delle imprese.
Shadow AI: il pericolo nascosto dentro le aziende italiane
Alessandro Ciciarelli, fondatore di IntelligenzaArtificialeItalia.net, avverte che la situazione è più seria di quanto sembri. “Mentre i CEO investono nell’intelligenza artificiale per battere la concorrenza, i loro dipendenti stanno regalando segreti industriali a server esterni fuori controllo”, spiega. Il paradosso è nei numeri: il 70% dei dirigenti punta sull’IA generativa per crescere più in fretta, ma allo stesso tempo la vede come il rischio più grande per lo sviluppo delle aziende.
Solo il 7% delle piccole e il 15% delle medie imprese ha avviato progetti strutturati di intelligenza artificiale. La maggior parte si affida all’iniziativa dei singoli: venditori che caricano offerte riservate su ChatGPT per migliorare il testo, tecnici che condividono codici e chiavi di accesso con chatbot pubblici, responsabili HR che creano descrizioni di lavoro partendo dai curriculum interni. Sono azioni quotidiane, spesso considerate innocue, ma che trasformano ogni giornata in una sorta di roulette russa digitale.
Danni economici e rischi sempre più grandi
Le conseguenze economiche della Shadow AI sono pesanti. Una singola fuga di dati causata da un uso scorretto di strumenti di IA può costare a una PMI italiana da uno a tre milioni di euro, tra multe per il GDPR, spese legali, danni all’immagine e interruzione delle attività. “Il problema non è la tecnologia, ma la mancanza di regole chiare”, sottolinea Ciciarelli. Il 73% delle aziende teme le conseguenze sulla sicurezza legate all’IA, mentre il 15% ha già subito almeno una violazione collegata a queste tecnologie nell’ultimo anno.
Il rischio non nasce da cattive intenzioni, ma dalla pressione sul lavoro e dalla mancanza di strumenti adatti. Il 55% delle imprese indica la scarsa preparazione interna come il principale ostacolo all’uso corretto dell’IA. Così i dipendenti cercano soluzioni fai-da-te per rispettare scadenze e obiettivi, affidandosi spesso a piattaforme gratuite online.
Dati sensibili fuori controllo: esempi concreti e pericoli legali
I casi raccolti da Ciciarelli sono chiari: CEO che scoprono documenti riservati finiti in forum pubblici; direttori commerciali che vedono le proprie strategie di prezzo copiate dai concorrenti; responsabili IT che intercettano migliaia di richieste verso server esterni con informazioni confidenziali. Ogni dato caricato su piattaforme non controllate lascia l’ambiente protetto dell’azienda per finire su server impossibili da monitorare.
Le imprese si trovano così esposte a tre rischi principali: perdita del controllo sui dati, violazione di leggi europee come il GDPR e l’AI Act, cessione involontaria della proprietà intellettuale. “Il problema non sarà più solo lo shadow IT, ma la shadow IA”, avverte Ciciarelli, “che porta con sé rischi maggiori per la privacy e la sicurezza”.
Governance e formazione: come uscire dall’ombra
La soluzione non è abbandonare l’intelligenza artificiale, ma gestirla con regole chiare. Ciciarelli indica tre passi fondamentali: mettere in chiaro le regole sull’uso dell’IA; fornire strumenti sicuri e affidabili; formare il personale sui rischi reali della Shadow AI. Oggi più di quattro aziende su dieci hanno già linee guida sull’uso dell’intelligenza artificiale, mentre il 17% ha vietato l’uso di tool non approvati.
“Il 2026 sarà l’anno in cui la Shadow AI uscirà dall’ombra”, conclude Ciciarelli. “O perché le imprese decideranno di affrontare il problema con strategie precise, o perché una serie di incidenti le costringerà a farlo”. La scelta è nelle mani degli imprenditori: governare ora il fenomeno con investimenti mirati, oppure pagare domani il prezzo di violazioni evitabili. Chi pensa di essere al sicuro perché piccolo o poco importante rischia di ignorare un nemico invisibile che sta costruendo vulnerabilità pronte a esplodere nel momento meno aspettato.
