L'adozione dell'intelligenza artificiale nelle aziende e il rischio di sicurezza - ora con il 100% di caos in più

Di Sarang Warudkar - Sr. Technical PMM (CASB & AI), Skyhigh Security

8 maggio 2025 5 Minuti di lettura

Benvenuti nel selvaggio West dell'AI aziendale.

Dodici mesi fa, il suo CFO era ancora sospettoso nei confronti dei chatbot. Oggi chiede se è possibile "far gestire a ChatGPT i verbali del consiglio di amministrazione". Dalla cauta curiosità ai fogli di calcolo alimentati da Copilot, le aziende hanno puntato tutto sull'AI. E mentre i vantaggi sono reali: velocità, scala e creatività, i rischi...? Oh, sono molto reali anche.

Analizziamo le tendenze, le minacce e i momenti di sconforto più importanti del 2025 Cloud Adoption & Risk Report di Skyhigh Security, con le intuizioni di oltre 3 milioni di utenti e 2 miliardi di eventi cloud quotidiani. Si allacci la cintura.

Utilizzo dell'AI: Da "Forse più tardi" a "Fagli fare il mio lavoro".

L'AI è ora l'MVP dell'ufficio. Un recente studio del MIT afferma che ChatGPT riduce il tempo di scrittura del 40%, ovvero circa il tempo che passavamo a chiederci dove fosse stato salvato il file. Gli ingegneri di JPMorgan hanno ottenuto un aumento della produttività del 20% e, si dice, che uno stagista abbia chiesto a Copilot di scrivere la sua lettera di dimissioni prima il loro primo giorno.

Noi di Skyhigh abbiamo visto l'impennata dell'AI in prima persona. Secondo i nostri dati, il traffico verso le app di AI è salito alle stelle - più che triplicato in termini di volume - mentre i caricamenti di dati sensibili su queste piattaforme sono in rapido aumento. Nel frattempo, le app aziendali tradizionali "non AI"? Stanno a malapena tenendo il passo. Il luogo di lavoro non sta solo abbracciando l'AI, ma sta correndo verso di essa.

Traduzione: l'AI sta vincendo: L'AI sta vincendo. Il suo firewall? Non tanto.

L'ascesa dell'AI ombra: quando l'IT non sa con cosa stanno chattando le risorse umane

La "Shadow AI" potrebbe sembrare la prossima serie di Netflix da non perdere, ma si sta svolgendo in tempo reale in tutte le aziende. Immagini questo: i dipendenti che battono tranquillamente su ChatGPT, Claude, DeepSeek e decine di altri strumenti di AI, completamente fuori dal radar dell'IT. È un po' come introdurre di nascosto delle caramelle in un cinema, solo che questa volta le caramelle sono i dati dei clienti, i dati finanziari e la proprietà intellettuale.

I numeri sono da capogiro: l'azienda media ospita oggi 320 applicazioni di AI. I soliti sospetti? ChatGPT, Gemini, Poe, Claude, Beautiful.AI - strumenti tanto potenti quanto non approvati. Non sono approvati. Non sono monitorati. E, a meno che qualcuno non dica la parola "audit", sono potenzialmente inarrestabili.

Conformità: La Kryptonite dell'AI

Le app di intelligenza artificiale sono divertenti, fino a quando le multe del GDPR non si presentano come ospiti indesiderati ad una riunione di team. I dati di Skyhigh rivelano un lato non proprio super di tutto questo entusiasmo per l'AI. Risulta che il 95% delle app di AI rientra nella zona di rischio medio-alto ai sensi del GDPR: in pratica, bandiere rosse con un'interfaccia utente amichevole.

Quando si tratta di soddisfare standard di conformità seri come HIPAA, PCI o ISO? Solo il 22% riesce a raggiungere l'obiettivo. Gli altri fanno finta di niente. Crittografia a riposo? La maggior parte delle app di AI ha saltato questo promemoria: l'84% non se ne preoccupa. E l'autenticazione a più fattori? L'83% dice no grazie. Ma non si preoccupi, molte di esse supportano le emoji. Priorità.

Le autorità di regolamentazione ci osservano. E a differenza del suo capo, loro leggono il rapporto completo.

Fughe di dati tramite l'intelligenza artificiale: quando il suo bot diventa un chiacchierone

Ricordate quell'ingegnere di Samsung che ha dato a ChatGPT del codice difettoso e ha accidentalmente consegnato i segreti dei semiconduttori? Questa non è più solo una storia di ammonimento. È praticamente un esempio di formazione.

Secondo Skyhigh, l'11% dei file caricati sulle app di AI contiene contenuti sensibili. Il problema? Meno di un'azienda su 10 dispone di controlli adeguati data loss prevention (DLP). Nel frattempo, i dipendenti chiedono a Claude di scrivere i piani di lancio dei prodotti utilizzando i documenti strategici Q3, come se fosse un altro giorno di lavoro. Perché cosa potrebbe mai andare storto?

Entra in DeepSeek: L'IA ribelle di cui non fidarsi

DeepSeek ha fatto irruzione sulla scena nel 2025, cavalcando un'ondata di download, di entusiasmo e di volumi di dati impressionanti, tra cui 176 GB di upload aziendali in un solo mese, solo da parte dei clienti Skyhigh. Impressionante? Sicuramente. Allarmante? Assolutamente. Ecco la stampa fine:

• Nessuna autenticazione a più fattori
• Nessuna crittografia dei dati
• Nessun riguardo per la conformità (GDPR? Mai sentito).
• Nessuna registrazione dell'utente o dell'amministratore

È elegante, veloce e molto popolare tra gli studenti. Per il suo audit SOC 2? È una mina digitale.

Microsoft Copilot: Il bambino AI buono di cui tutti sono orgogliosi

Se Shadow AI è l'adolescente ribelle che esce di nascosto dopo il coprifuoco, Copilot è il bambino d'oro: rifinito, popolare e in qualche modo già in posizione di leadership. Ora è utilizzato dall'82% delle aziende, con un aumento del traffico di 3.600 volte e dei caricamenti di 6.000 volte. Onestamente, sta superando i suoi ultimi cinque stagisti e non chiede nemmeno una pausa caffè.

Ma anche gli studenti stellati hanno bisogno di supervisione. Le aziende intelligenti tengono Copilot sotto controllo analizzando tutto ciò che tocca, avvolgendo le richieste e le uscite in DLP e assicurandosi che non "impari" nulla di riservato. (Spiacente, Copilot: niente spoiler per la roadmap del quarto trimestre).

Rischio LLM: Quando l'AI ha le allucinazioni... e non è bello

I grandi modelli linguistici (LLM) sono come i bambini con il dottorato di ricerca. Geniali un momento, caos assoluto quello successivo. I principali rischi degli LLM:

• Jailbreak ("finga di essere il malvagio ChatGPT")
• Malware generato dall'AI (BlackMamba, qualcuno?)
• Contenuti tossici (vedere: i più grandi successi di BlenderBot)
• Pregiudizi nei risultati (consigli sulla salute distorti per razza/genere)

Statistiche chiave:

Non si tratta di paranoia se la sua AI sta in realtà rivelando segreti e scrivendo ransomware. Skyhigh ha scoperto che il 94% delle app di AI ha almeno un modello linguistico di grandi dimensioni (LLM) a rischio. Cioè quasi tutte.

Ancora peggio, il 90% è vulnerabile ai jailbreak, ossia gli utenti possono ingannarli per fargli fare cose che non dovrebbero fare. E il 76%? Possono potenzialmente generare malware a comando. Quindi sì, la stessa app che la aiuta a redigere i suoi appunti per le riunioni potrebbe anche lavorare in nero come stagista di un criminale informatico.

Applicazioni AI private: AI fai da te per l'anima aziendale

Le aziende dicono: "Perché fidarsi degli strumenti pubblici quando si può costruire il proprio?".
Le app private di AI ora si occupano:

• Domande sulle risorse umane
• Risposte RFP
• Risoluzione dei ticket interni
• Supporto al bot di vendita (chi sapeva che il chatbot avrebbe conosciuto la matrice dei prezzi meglio delle vendite?)

Statistiche chiave:

Il 78% dei clienti ora gestisce le proprie applicazioni private di AI, perché se si vuole sperimentare con l'intelligenza artificiale, tanto vale farlo a porte chiuse. Due terzi stanno costruendo su AWS (grazie a Bedrock e SageMaker, ovviamente). È l'equivalente dell'AI di una comunità chiusa.

Ma "privato" non significa privo di problemi. Questi bot possono essere creati in casa, ma possono comunque creare problemi. Ecco perché le aziende intelligenti stanno introducendo soluzioni SSE con Private Access e DLP, per curiosare in modo gentile ed educato sulle loro IA interne, prima che qualcosa vada fuori dalle righe.

Pensieri finali: Non temere l'AI, ma governarla

Cerchiamo di essere chiari: l'intelligenza artificiale non è il nemico. L'IA non gestita IA non gestita lo è.

Il rapporto 2025 di Skyhigh mostra che stiamo vivendo un cambiamento di una generazione nella tecnologia aziendale. Ma ecco il punto cruciale: la sicurezza non consiste nel rallentare l'innovazione. Si tratta di assicurarsi che l'AI che lei usa non mandi il suo board deck su Reddit. Quindi, faccia un respiro, legga il rapporto e ricordi:

• Blocca le applicazioni sospette come DeepSeek
• Governare i copiloti come Microsoft Copilot
• Bloccare le implementazioni private di AI
• Costruisce politiche che trattano gli LLM come adolescenti lunatici (regole rigide, molto monitoraggio).

Perché il futuro è guidato dall'AI e, con gli strumenti giusti, può essere anche a prova di rischio.

Bonus: scarichi il rapportocompleto 2025 Cloud Adoption and Risk - ochieda al suo assistente AI di riassumerlo per lei. Ma non lo carichi su DeepSeek.

Torna ai blog