Se da un lato l’uso dell’intelligenza artificiale all’interno delle aziende è importante, dall’altro è necessario prestare la massima attenzione alla sicurezza. L’89% delle app e dei tool di AI generativa che viene utilizzata quotidianamente dai dipendenti è completamente al di fuori del controllo delle stesse aziende.
Il 20% degli utenti aziendali ha installato in modo autonomo e di propria iniziativa almeno un’estensione nel proprio browser, anche se il 58% delle estensioni di intelligenza artificiale ha dei permessi di accesso che sono stati classificati ad alto rischio: permettono, infatti, di monitorare le attività di navigazione effettuate dai dipendenti, possono leggere le mail ed accedere ad altri dati degli utenti.
A fare il punto della situazione sui rischi dell’utilizzo non consapevole dell’intelligenza artificiale in ufficio ci ha pensato LayerX Security, che ha pubblicato il rapporto Enterprise GenAI Security Report 2025.
Ma entriamo un po’ più nel dettaglio e cerchiamo di capire cosa stia accadendo all’interno dei vari uffici.
Intelligenza artificiale, manca la sicurezza in ufficio
L’analisi mette l’accento sulla mancanza di sicurezza all’interno degli uffici, nel momento in cui si fa uso dei vari strumenti legati all’intelligenza artificiale. Il report, attraverso il quale è stata scattata una fotografia della vita reale dei clienti aziendali, ha uno scopo ben preciso: comprendere come gli utenti aziendali interagiscono con gli strumenti di intelligenza artificiale generativa. E, soprattutto, capire a quali rischi vadano incontro per la sicurezza dei dati.
Almeno il 71% delle connessioni agli strumenti di GenAI, che vengono utilizzati dagli studenti, avviene attraverso un account privato (generalmente quello del dipendente): in questo modo riesce a bypassare gli strumenti di sicurezza messi a disposizione dall’azienda.
L’utilizzo degli account personali apre la porta ad una criticità: i tool non vengono adeguatamente monitorati, con il rischio di esporre i dati sensibili a rischi nascosti che non sono presidiati dall’azienda. La situazione si viene a generare per il fatto che vi è una mancata consapevolezza da parte del personale a cui si associa la mancata formazione.
I dipendenti agiscono in buona fede, ma con un atteggiamento imprudente. Se da una parte il comportamento dei lavoratori è sostanzialmente superficiale, dall’altra mancano degli strumenti GenAI che siano stati riconosciuti in maniera ufficiale dalla direzione dell’impresa e che, come tali, possano essere utilizzati quotidianamente per l’attività professionale. Questa mancata presa di posizione da parte dell’azienda fa in modo che si inneschi un pericoloso fai da te, che sfugge al controllo del management e della più elementare sicurezza tecnologica.
Mentre le aziende adottano GenAI, i team di sicurezza affrontano una sfida crescente, proteggendosi dalle minacce che non riescono a vedere – spiega Or Eshed, CEO di LayerX -. Il nostro report sottolinea la crescente necessità delle organizzazioni di andare oltre i tradizionali approcci di sicurezza AI e adottare la visibilità a livello di browser per gestire efficacemente i rischi AI.
Come risolvere il problema
In quale modo le aziende possono interfacciarsi all’uso dell’intelligenza artificiale senza mettere a rischio la sicurezza aziendale? È necessario attivare un approccio proattivo che si basi sul rischio: i security manager dovrebbe implementare un framework completo che sia in grado di mitigare i rischi connessi all’impiego delle applicazioni legate all’intelligenza artificiale in ufficio e nelle varie organizzazioni.
Risulta, poi, essere particolarmente importante applicare delle strategie e procedure di auditing dell’intelligenza artificiale a livello di endpoint, in modo da poter avere piena consapevolezza delle applicazioni che vengono utilizzate a livello locale dai dipendenti. In questo modo potrebbero essere in grado di rilevare le eventuali perdite di dati.
Passo fondamentale in questo senso sarebbe quello di limitare gli account personali e far in modo che sia rispettata la SSO, in modo che i dipendenti utilizzino unicamente gli account GenAI aziendali con delle misure di sicurezza integrate.
