Trend & News

Shadow AI in azienda: cosa dicono i dati dell'Osservatorio del Politecnico di Milano

8 lavoratori italiani su 10 usano strumenti AI non aziendali. Solo il 9% delle grandi imprese ha una governance AI strutturata. Cosa dicono i dati 2026 dell'Osservatorio AI del Politecnico di Milano e cosa fare in concreto.

Matteo Scutifero

Matteo Scutifero

Founder & CEO, DeepElse

10 min di lettura

Lunedì, area commerciale: il listino prezzi incollato in ChatGPT per generare un'offerta più veloce.

Martedì, amministrazione: un estratto del bilancio caricato per "fare due analisi".

Mercoledì, HR: un CV copiato per scrivere la valutazione di un candidato.

Giovedì, IT: un pezzo di codice proprietario in un chatbot per fare debug.

Venerdì, direzione: la registrazione del CdA caricata per generare il verbale del consiglio.

Una settimana qualsiasi, in una PMI italiana qualsiasi. Nessuno di questi gesti è mosso da malafede. Sono persone competenti che vogliono fare prima e meglio, e l'alternativa gratuita è a un click di distanza. Il problema è che ogni dato che esce dal perimetro aziendale, anche solo per "fare due analisi", è un rischio di compliance e di business.

Questo articolo nasce dall'intervento che ho tenuto a Sondrio, a Palazzo Sertoli, per Le Village by CA delle Alpi - l'acceleratore di cui DeepElse fa parte - sul tema della protezione dei dati aziendali nell'era dell'AI. Sul tavolo c'erano i dati appena pubblicati dall'Osservatorio Artificial Intelligence del Politecnico di Milano (febbraio 2026). Vale la pena guardarli con attenzione, perché raccontano una storia molto diversa da quella che si racconta nei comunicati stampa.

Matteo Scutifero, CEO di DeepElse, durante l'intervento sulla protezione dei dati aziendali a Le Village by CA delle Alpi, Palazzo Sertoli, Sondrio, 13 maggio 2026
L'intervento di DeepElse a Le Village by CA delle Alpi, Palazzo Sertoli - Sondrio, 13 maggio 2026.

Cosa dicono i dati 2026 dell'Osservatorio AI

L'Osservatorio AI del Politecnico di Milano è la fonte di riferimento per fotografare il mercato AI italiano. La rilevazione di febbraio 2026 racconta un paese in mezzo a un guado.

Da una parte, l'adozione individuale è ormai capillare. Dall'altra, la trasformazione organizzativa è ferma. La distanza tra questi due dati è il vero rischio.

I numeri principali della rilevazione, focalizzati sulle grandi imprese italiane:

  • 84% delle grandi imprese ha licenze di Generative AI
  • 20% la usa in modo pervasivo nelle funzioni aziendali
  • 9% ha una governance AI strutturata
  • 15% ha avviato un adeguamento all'AI Act

E il dato che pesa di più, quello che tocca direttamente la sicurezza:

8 lavoratori italiani su 10 utilizzano strumenti AI non aziendali. Osservatorio Artificial Intelligence, Politecnico di Milano, febbraio 2026.

Nelle PMI le percentuali di governance e adeguamento normativo sono ancora più basse. Tradotto: le aziende italiane hanno comprato l'AI. Non l'hanno ancora adottata. E nel frattempo, le persone se la sono adottata da sole, ognuna a modo suo.

Come ha sintetizzato Alessandro Piva, direttore dell'Osservatorio: "Serve passare dalla semplice adozione individuale, ormai elevata, alla trasformazione strutturale delle organizzazioni, che è ancora limitata: servono dati ben organizzati, competenze diffuse, cultura aziendale aperta alla sperimentazione."

Il caso Samsung: cosa succede quando manca la governance

Non è uno scenario teorico. È già successo, e ha già fatto giurisprudenza interna in mezzo settore tech.

Tra marzo e aprile 2023, Samsung Semiconductor ha avuto tre data leak distinti dovuti all'uso di ChatGPT da parte di propri dipendenti. Un ingegnere ha incollato codice sorgente per fare debug. Un altro ha caricato algoritmi di yield della fabbrica per ottimizzarli. Un terzo ha caricato la trascrizione di una riunione interna per generarne il verbale.

Venti giorni tra l'autorizzazione informale all'uso di ChatGPT e il primo incidente documentato (fonte: Bloomberg, TechCrunch, 2023). Nessuna policy interna. Reazione: ban totale dello strumento. E in parallelo, sviluppo di una soluzione AI proprietaria interna.

La lezione non riguarda Samsung. Riguarda il fatto che persone competentissime, in una delle aziende tech più strutturate del mondo, hanno commesso lo stesso errore che oggi compie ogni giorno qualcuno nella vostra azienda. Senza policy, senza alternative interne e senza formazione, l'errore è statistico, non individuale.

Quanto costa, in euro, non fare nulla

Il calcolo è meno astratto di quanto sembri.

Breach premium. Secondo l'IBM Cost of a Data Breach Report 2025, un data breach legato a "shadow AI" - cioè uso non governato di strumenti AI - costa in media 670mila dollari in più rispetto a un breach standard. Si paga in remediation, perdita di dati, danno reputazionale.

Sanzione GDPR. L'articolo 83 del Regolamento UE prevede sanzioni fino al 4% del fatturato globale annuo per violazioni gravi in materia di trattamento dati. Caricare dati di un cliente o di un dipendente su un chatbot pubblico, senza base giuridica adeguata, è una violazione.

Sanzione AI Act. Il regolamento europeo sull'intelligenza artificiale, applicabile in modo progressivo dal 2025 al 2027, prevede sanzioni fino al 7% del fatturato globale annuo per chi mette in commercio o utilizza sistemi AI vietati.

Una sola violazione - sola - vale più di un anno intero di formazione strutturata. Eppure la maggior parte delle aziende italiane investe esattamente l'inverso. Se vuoi approfondire l'impianto sanzionatorio, abbiamo dedicato una guida specifica alla compliance all'AI Act per le aziende.

Il gap che dal vostro ufficio non si vede

Qui entra in gioco il dato che, nella mia esperienza, fa cambiare faccia ai CEO che lo vedono per la prima volta. Viene dall'EY Italy AI Barometer 2025, su un campione di 539 professionisti italiani.

Circa il 50% del top management ritiene che la formazione AI in azienda sia adeguata.

Solo il 20% dei dipendenti è d'accordo.

Trenta punti percentuali di scollamento tra come la dirigenza vede la propria azienda e come la vedono le persone che ci lavorano dentro. Non è una sfumatura. È una crepa strutturale, e racconta perché la shadow AI prolifera anche dove i leader giurano di aver "fatto formazione".

La shadow AI non è un fallimento dei dipendenti. È un fallimento del management. Se le persone vanno fuori dal perimetro aziendale, non è perché siano negligenti. È perché dentro il perimetro non hanno trovato niente che funzioni meglio.

Il riframing che cambia tutto

Per anni si è raccontato che l'AI fosse "una sfida tecnologica con risvolti culturali". Cioè: prima si compra la tecnologia, poi - se rimane tempo - ci si occupa anche delle persone.

I dati dell'Osservatorio dicono il contrario. L'AI è una sfida culturale con risvolti tecnologici.

Puoi comprare il miglior software di security del mercato. Se le persone non sono formate e non hanno alternative interne valide, hai costruito una cassaforte con la porta sul retro aperta. La tecnologia da sola non risolve un problema che è di processo, di leadership e di cultura organizzativa.

Da qui in poi parlo del framework che usiamo in DeepElse quando affianchiamo le aziende su questo. Non è l'unica strada possibile, ma il principio - lavorare sulle persone prima che sui tool - è universale.

Le quattro leve per lavorare sulla cultura

La cultura, da sola, è un termine vago. In pratica si traduce in quattro leve concrete: tre sulle persone, una sugli strumenti.

Leva 1: leadership program

L'AI in azienda corre alla velocità del suo leader. Se in una PMI il C-suite non parla per primo di AI - se delega tutto al referente IT o al consulente esterno - nessuno ci crederà sul serio. Le persone seguono ciò che vedono nei leader, non ciò che leggono nelle policy.

Tre passaggi pratici per chi guida l'azienda:

  1. Parlare per primi di AI ai propri collaboratori, anche con linguaggio imperfetto.
  2. Non delegare: l'AI è una scelta di posizionamento, non un acquisto software.
  3. Diventare i primi power-user, anche solo per 30 minuti la settimana, sul proprio lavoro.

Leva 2: ambassador program

Le persone si fidano dei colleghi più di qualsiasi consulente esterno. Per questo serve un programma di ambassador AI interni - uno ogni 10-20 persone in azienda, selezionati per curiosità e non per ruolo.

Il miglior ambassador AI quasi mai sta in IT. Spesso è un product manager con la testa giusta, una persona dell'amministrazione che ha già "smanettato" da sola la sera, una della comunicazione che ha visto subito il potenziale.

L'ambassador ha tre compiti: essere primo punto di contatto per i dubbi dei colleghi, raccogliere i casi d'uso che emergono sul campo, segnalare i rischi prima che diventino incidenti.

Leva 3: workshop sui processi reali

Sapere "cos'è un LLM" non ha mai migliorato un processo aziendale. La formazione AI che funziona non è teorica. Si lavora sul lavoro di lunedì mattina, non sui case study di Netflix.

In pratica: workshop di una giornata, sul processo reale del team, con un risultato concreto da portarsi a casa la sera stessa. Un caso d'uso testato. Una bozza di policy. Una lista di "cosa non fare". Anche imperfetta, ma vera.

Su come strutturare l'offerta formativa, abbiamo approfondito in un articolo dedicato al change management nell'adozione AI e nella nostra pagina dedicata alla formazione AI aziendale.

Leva 4: alternative interne sicure

Le prime tre leve agiscono sulle persone. Questa agisce sugli strumenti, ed è quella che spegne davvero la shadow AI. Perché finché l'alternativa gratuita esterna funziona meglio dell'alternativa aziendale, le persone continueranno - giustamente - a usare la prima.

Ci sono tre vie, da scegliere dato per dato in base a quanto è sensibile:

  • Licenze enterprise dei tool che le persone già usano (ChatGPT Enterprise, Claude for Work, Copilot, Gemini). Tutela contrattuale: i dati non vengono usati per il training, c'è un DPA in regola con il GDPR.
  • Modelli proprietari o europei, integrati nei vostri sistemi, con AI europea o hosting in UE. Tutela giurisdizionale e sovranità del dato.
  • Modelli locali o on-premise quando il dato non può uscire fisicamente dall'azienda - settori regolati, IP critica. Tutela tecnica massima.

Quando l'azienda fornisce un'alternativa approvata e funzionante, gli studi indicano fino a -89% nell'utilizzo non autorizzato di strumenti consumer. Il dato non è magico: è solo che le persone, se hanno un "sì" interno che funziona, smettono di cercare il "sì" all'esterno.

Una roadmap di 90 giorni

Nella nostra esperienza con le PMI, dall'inizio del lavoro alla governance pronta per l'AI Act servono circa tre mesi. Non è una stima da brochure, sono i tempi reali per fare le cose con cura senza bruciare consenso interno.

Mese 1: assessment e leadership. Censimento dei tool AI già in uso (incluso quello che le persone non dichiarano). Mappatura dei dati a rischio. Allineamento del C-suite. Prima policy chiara, anche in due pagine.

Mese 2: ambassador e workshop. Selezione e formazione degli ambassador. Workshop sui processi reali dei team. Identificazione dei casi d'uso prioritari. Bozza del framework di governance.

Mese 3: strumenti e roll-out. Scelta delle alternative interne sicure. Roll-out per step, non a Big Bang. Misurazione di KPI di adozione. Governance pronta per l'AI Act.

Se vuoi capire dove sei oggi - e quanto sei distante dai tre mesi - il nostro AI Assessment Tool offre una fotografia rapida del livello di maturità AI dell'azienda, governance inclusa.

Tre domande di autodiagnosi

Tre domande, tre risposte oneste. Da farsi prima di chiudere il browser.

  1. Quante persone in azienda hanno ricevuto una formazione strutturata sull'AI nell'ultimo anno?
  2. Avete una policy AI che le persone hanno davvero letto e capito, non solo firmato?
  3. Avete un'alternativa interna che le persone usano spontaneamente, perché funziona meglio di ChatGPT consumer?

Se anche una sola di queste risposte è "no", la shadow AI in azienda c'è già. Non è un'ipotesi.

Cosa fare da lunedì mattina

Tre azioni che non richiedono budget, solo decisione.

Censite. Mandate un'email ai vostri responsabili: "Fatemi sapere entro venerdì quali tool AI sta usando il vostro team - anche personali, anche gratuiti, senza giudizio." Spesso si scoprono cose che non si immaginavano.

Bloccate 30 minuti in agenda, ogni settimana, per voi. Provate un caso d'uso AI sul vostro lavoro reale. Non delegabile, non rinviabile. È il modo più rapido per costruire intuizione e autorevolezza sul tema, prima di chiederla agli altri.

Scrivete una regola sola, chiara, comunicata. "Questi tre tipi di dati non vanno mai in un chatbot pubblico." Anche una regola sola, anche imperfetta. Una regola scritta vale più di mille intenzioni.

L'AI non si compra. Si adotta. E si adotta solo se le persone scelgono di farlo - perché trovano un leader credibile che ne parla, un collega di cui si fidano che gliela mostra, uno strumento interno che funziona meglio del consumer. Tutto il resto - software, dashboard, vendor - viene dopo.

Per partire da subito, scopri come lavoriamo sui percorsi di adozione AI con le PMI italiane, oppure parliamone direttamente.

Grazie a Elena Plos, Paola Cottica e a tutto il team di Le Village by CA delle Alpi per l'invito all'evento di Sondrio del 13 maggio 2026 su sicurezza dei dati e adozione AI. Sul palco con DeepElse anche ADVANT Nctm (Valentina Molinari, Viviana Vinante) sul fronte normativo e INTRED S.p.A. (Mario Lazzarini, Valeriano Borga) sul fronte infrastrutturale.

Fonti: Osservatorio Artificial Intelligence, Politecnico di Milano - rilevazione febbraio 2026. EY Italy AI Barometer 2025. IBM Cost of a Data Breach Report 2025. Bloomberg / TechCrunch, 2023.

Vuoi applicare tutto questo alla tua azienda?

Prenota una call gratuita di 30 minuti con Matteo. Analizziamo insieme i tuoi processi e identifichiamo le opportunità AI ad alto ROI.

Prenota la call

Pronto a portare l'AI nella tua azienda?

Inizia con una call gratuita di 30 minuti. Nessun impegno: capiamo insieme dove l'AI può fare la differenza per te.

Prenota una call gratuitaScopri i servizi

Riassumi con AI

Ottieni un riepilogo di questo articolo con il tuo assistente AI preferito.

ChatGPTGeminiPerplexityClaude
Matteo Scutifero

Matteo Scutifero

Founder & CEO, DeepElse

Aiuto PMI e Corporate italiane ad adottare l'AI in modo concreto e misurabile. Appassionato di tecnologia applicata ai processi aziendali.

LinkedInmatteoscutifero.com
shadow-aigovernance-aiai-actai-pmiformazione-aileadership

Ti potrebbe interessare