Shadow AI: il rischio che nessuno porta al tavolo

Partiamo da un dato che quasi ogni CTO o Chief Digital Officer ci conferma quando iniziamo a lavorare con loro.

Su 1000 dipendenti, forse 30 usano gli strumenti AI aziendali approvati. Ma almeno la metà di quei 1000 ha già aperto ChatGPT e ci ha già incollato un documento interno, magari condividendo dati riservati.

Lo sanno tutti ed eppure quando conta non lo dice nessuno.

Questo è il fenomeno che in letteratura si chiama shadow AI: tutta l'attività AI non tracciata, non governata, non allineata con le policy aziendali che avviene ogni giorno, sotto i radar, all'interno di ogni organizzazione che non ha ancora deciso come affrontare il tema.

E qui sta il punto che vogliamo mettere sul tavolo senza troppi giri di parole: non governare l'adozione dell'AI non è una scelta neutrale.

È una scelta attiva, con conseguenze specifiche e misurabili.

Il silenzio dei CEO è già un rischio

C'è un frame molto diffuso nelle organizzazioni che suona più o meno così:

aspettiamo che la tecnologia maturi, facciamo qualche pilota su una popolazione limitata, vediamo come va.

Il problema di questo approccio non è la cautela - la cautela ha senso. Il problema è l'illusione che il tempo di attesa sia neutro. Che mentre l'organizzazione "aspetta", i dipendenti stiano aspettando con lei.

Non è così.

Mentre il board rimanda la decisione strategica, i dipendenti più proattivi - quelli con più iniziativa, spesso i più preziosi - stanno già sperimentando.

Solo che lo fanno in autonomia, su strumenti non approvati, senza linee guida, senza formazione su cosa si può e non si può fare, e soprattutto senza che nessuno stia tracciando cosa entra e cosa esce.

Secondo il Microsoft Work Trend Index, il 75% dei workforce qualificata usa già l'AI nel proprio lavoro, e spesso lo fa in autonomia, prima che l'azienda abbia messo in piedi una policy.

Morale?

I dipendenti si stanno muovendo più velocemente dei CIO.

E questo genera tre rischi concreti, spesso sottostimati.

Il rischio compliance

In settori regolamentati - farmaceutico, finance, healthcare, energia - le implicazioni sono immediate.

Se un ispettore FDA, o un'autorità di vigilanza europea, ti chiede di spiegare come hai usato l'AI nella produzione di un lotto, nella stesura di un documento, nella gestione di un processo critico, e tu non hai una policy applicata, non hai formazione tracciata, non hai un ambiente sicuro documentato: sei esposto.

Non è un'ipotesi astratta.

A gennaio 2025 la FDA ha pubblicato la sua prima draft guidance sull'uso dell'AI nei processi farmaceutici, introducendo un framework di credibility assessment a sette step che le organizzazioni devono essere in grado di documentare durante le ispezioni.

Il rischio dati

I dati aziendali che entrano in tool non approvati non tornano indietro puliti.

Secondo l'IBM 2025 Cost of a Data Breach Report, i breach che coinvolgono la shadow AI costano in media 670.000 dollari in più rispetto agli incidenti standard e la shadow AI è già presente nel 20% dei breach aziendali.

Le policy dei modelli gratuiti - o peggio, di prodotti emergenti con governance opaca - non garantiscono che quei dati non vengano usati per il training o non siano accessibili a terzi.

Il rischio di produttività locale

Questo è il rischio meno ovvio, ma forse il più costoso nel lungo periodo.

Quando la produttività generata dall'AI rimane nelle mani di pochi non scala.

Né impatta le operations come vorrebbe la leadership quando acquista le licenze di Microsoft Copilot o Google Workspace aspettandosi un immediato boost sul profit trimestrale.

Quel boost non arriva perché il fenomeno è frammentato, individuale, non governato.

Secondo WalkMe's State of Digital Adoption 2025, solo il 28% dei dipendenti sa effettivamente come usare gli strumenti AI aziendali, e questo vale anche nelle organizzazioni che li hanno acquistati e distribuiti.

Il caso GSK: cosa succede quando si decide di governare davvero

Nel corso del 2025 abbiamo lavorato con Niccolò Rosini, manager della formazione e documentazione di GSK Rosia - stabilimento produttivo farmaceutico con oltre 1400 dipendenti, tra operatori in campo e personale d'ufficio, con un livello di compliance e tracciabilità tra i più stringenti al mondo.

La premessa era tutt'altro che semplice.

In una fabbrica di vaccini, ogni processo è documentato per rispondere a un'eventuale ispezione FDA anche 20 anni dopo. L'introduzione dell'AI generativa in questo contesto non è una questione di sperimentazione libera: è una questione di governance, policy applicata e linguaggio condiviso.

Eppure GSK Corporate aveva già prodotto una policy sull'uso della GenAI. Il documento c'era. Era stato inviato a tutti.

Il problema era che non era mai diventato una lezione in aula. Non era mia stato interpretato a fondo. Nessuno, in pratica, aveva detto "ecco dove sono i limiti, ecco come muoverci per non infrangerli, ecco cosa succederebbe se arrivasse un ispettore e ci chiedesse conto."

Questa è la differenza tra avere una policy e avere un'adozione governata.

Quello che abbiamo costruito insieme è stato un percorso su tre livelli: leadership, middle management e tutta la popolazione.

Tutti con un taglio diverso, nel minor tempo possibile e con l’obbiettivo di creare un linguaggio comune che attraversasse verticalmente l'organizzazione.

Non abbiamo fatto un pilota su una fascia digitalizzata, perché avrebbe generato esattamente quel bias di selezione che rende i risultati inutilizzabili.

Perché il linguaggio comune non è un dettaglio. È la condizione abilitante.

Se formi i dipendenti ma il loro manager non ha mai usato uno strumento AI e non sa cosa sia un'allucinazione, alla prima cosa strana blocca tutto.

Se formi i manager ma la leadership non ha “skin in the game”, non c'è nessuna direzione strategica che faccia da volano.

Se invece un dipendente usa Copilot, fa un errore, va dal suo manager, e quel manager sa già di cosa si parla, sa come rispondere, sa che si tratta di un fenomeno da gestire e non da soffocare, ecco, quella organizzazione ha una capacità di risposta completamente diversa.

La scelta di chi deve stare al tavolo

C'è una domanda che poniamo sempre alle organizzazioni con cui lavoriamo: di chi è la responsabilità dell'adozione dell'AI in azienda?

Le risposte più comuni: il CTO, il Chief Digital Officer, l'HR. Qualcuno dice IT.

Secondo noi la risposta corretta è un’altra: dei CEO.

Non perché gli altri ruoli non siano rilevanti, anzi, sono fondamentali.

Ma perché l'adozione dell'AI è una trasformazione culturale che ridisegna come un'organizzazione lavora, chi fa cosa, quale valore produce il singolo individuo rispetto alla macchina.

Tutta roba non può stare sotto la soglia di visibilità del vertice.

Quando non sta al vertice, si vede dall'esterno con chiarezza: ci sono piloti locali che muoiono lì, team che custodiscono i loro workflow AI come Gollum con l'anello - “il mio progetto, il mio segreto” - e poi vanno a mettere una slide sul tavolo dei CEO per dimostrare di "usare l'AI".

Non per cambiare davvero i processi. Non per portare a casa un impatto misurabile.

Il vero shock culturale, quello che funziona, è invece massivo, verticale, e parte dalla consapevolezza che l'onda arriva comunque.

È un dato di realtà: secondo il World Economic Forum Future of Jobs Report 2025, l'86% dei datori di lavoro si aspetta che l'AI trasformi significativamente il proprio business entro il 2030.

Chi non è pronto quando l'onda arriva non viene risparmiato dall'onda. Viene sommerso.

Non governare è già una scelta

Se sei in un board e stai aspettando, stai già scegliendo.

Stai scegliendo che la shadow AI economy cresca senza governance.

Stai scegliendo che il rischio compliance rimanga non mappato.

Stai scegliendo che la produttività AI resti localizzata nei singoli più proattivi e non diventi patrimonio dell'organizzazione.

Le domande concrete da mettere sul tavolo ora sono tre:

1. Hai mappato lo stato attuale dell'AI nella tua organizzazione? Non quello che le persone dichiarano nelle survey, ma quello che fanno davvero (quali tool, quali dati, quali processi)?
2. Hai una policy che sia stata spiegata in aula, non solo inviata per email?
3. Hai un percorso di adozione che copra tutti i livelli gerarchici, con taglio differenziato ma messaggio comune?

Se la risposta a una di queste domande è no, il rischio non è futuro. È già qui.

E noi possiamo aiutarti a trasformarlo in una grande opportunità!