di Rick Beckett, Senior Product Marketing Manager, Netskope
L’esplosione dell’intelligenza artificiale sta facendo crescere a ritmo senza precedenti il volume di dati creati e gestiti a livello globale. Parallelamente, il quadro normativo sulla protezione dei dati si fa sempre più articolato. Il risultato è una pressione crescente sulle aziende, chiamate a rafforzare la propria data governance proprio mentre questa diventa più complessa da gestire.
La governance dei dati, cioè l’insieme di regole, processi e strumenti per gestire, proteggere e utilizzare in modo corretto le informazioni, è oggi un elemento centrale per garantire qualità, sicurezza e conformità normativa. Ma l’adozione massiccia dell’AI sta mettendo in evidenza ritardi e fragilità.
I numeri raccontano bene la portata del fenomeno: il 73% delle organizzazioni ha già introdotto strumenti di AI su scala aziendale, il 96% utilizza applicazioni di intelligenza artificiale generativa e il 98% ha utenti che interagiscono con piattaforme che integrano funzionalità genAI. Un ecosistema che si alimenta continuamente di dati e che, proprio per questo, amplifica i rischi.
Il dato più critico riguarda però la conformità: il 50% delle aziende non dispone ancora di policy efficaci per la protezione dei dati nelle applicazioni di AI generativa. In altre parole, una su due non è in grado di dimostrare piena aderenza a normative chiave come il GDPR. Un limite tutt’altro che teorico, considerando che le sanzioni possono arrivare a cifre milionarie, senza contare l’impatto, spesso ben più pesante, sulla reputazione.
Le regolamentazioni, con il loro sistema sanzionatorio, rappresentano quindi una spinta decisiva ad aggiornare i modelli di governance. Il punto, però, è acquisire visibilità e controllo su come l’AI sta trasformando il ciclo di vita dei dati all’interno delle organizzazioni.
L’ombra dell’AI non governata
Con la diffusione capillare dell’AI in azienda, i temi di compliance si intrecciano sempre più con quelli di sicurezza. L’utilizzo quotidiano di strumenti intelligenti espone infatti a un rischio crescente: la condivisione involontaria di informazioni sensibili con modelli pubblici.
Dati dei clienti, proprietà intellettuale e codice sorgente sono tra gli asset più esposti. Non a caso, quasi il 50% delle violazioni delle policy legate all’AI riguarda proprio il codice: basta un’azione apparentemente innocua, come chiedere a un LLM di ottimizzare una funzione, per aprire una falla.
A complicare il quadro c’è poi il fenomeno dello “shadow AI”, ovvero l’uso di strumenti non autorizzati o non gestiti centralmente. Secondo IDC, il 39% dei dipendenti utilizza tool gratuiti sul lavoro, mentre un ulteriore 17% ricorre a soluzioni acquistate privatamente. Una diffusione capillare che sfugge al controllo dei team IT e di sicurezza.
I dati confermano l’escalation: gli incidenti legati all’invio di informazioni sensibili verso applicazioni AI sono raddoppiati nell’ultimo anno, arrivando a una media di 223 casi al mese per organizzazione. Eppure, la risposta delle aziende resta lenta: il 68% dichiara di avere una governance ancora in fase reattiva o di sviluppo, mentre solo il 7% può contare su sistemi avanzati con controlli in tempo reale.
Non sorprende quindi che un terzo delle organizzazioni parli di adozione frammentata, con team che utilizzano l’AI in autonomia, senza standard condivisi. Il rimpianto più diffuso? Non aver introdotto prima una governance strutturata.
AI in azienda tra ritardi e priorità
Molti modelli di gestione dei dati oggi in uso sono stati progettati prima dell’avvento della generative AI. Senza un aggiornamento, le lacune sono inevitabili, anche perché le piattaforme AI spesso non garantiscono piena trasparenza su come i dati vengono trattati.
Nel frattempo, la velocità di adozione supera quella della regolamentazione interna. Il 31% delle aziende si affida ancora a policy scritte e al comportamento dei dipendenti come principale forma di controllo: di fatto, un sistema basato sulla fiducia. Il risultato è che molte decisioni vengono prese in autonomia, senza linee guida chiare.
Da dove partire? Innanzitutto, definendo policy precise sull’uso dell’AI: quali dati possono essere utilizzati, quali no, quali strumenti sono autorizzati e quali processi di approvazione devono essere seguiti. In parallelo, è fondamentale aumentare la visibilità sui flussi di dati e sulle loro interazioni con i sistemi AI.
Innovazione sì, ma in sicurezza
Bloccare indiscriminatamente l’uso dell’AI in azienda non è una soluzione: approcci troppo restrittivi spingono gli utenti a cercare scorciatoie. L’obiettivo deve essere invece un controllo granulare, in grado di proteggere i dati sensibili senza ostacolare l’innovazione.
In questo contesto, la governance dell’AI in azienda va integrata nelle strategie esistenti di sicurezza, estendendo i principi di zero trust e mantenendo una visione unificata. Una scelta che evita duplicazioni e riduce la complessità operativa.
Il rischio legato ai dati, nell’era dell’AI, è infatti trasversale e riguarda l’intero ciclo di vita delle informazioni. Servono quindi strumenti in grado di garantire visibilità completa, dalla fase di addestramento dei modelli fino all’uso operativo, e di individuare tempestivamente eventuali criticità.
In questa direzione si muove Netskope, che propone un approccio integrato alla sicurezza dell’AI: dalla classificazione dei dati sensibili alla protezione dei flussi informativi, fino alle attività di testing dei modelli prima della messa in produzione.
L’obiettivo è chiaro: rendere l’AI in azienda sicura senza rallentare il business. Con soluzioni come Netskope One AI Security, le aziende possono governare l’intero ecosistema, dagli strumenti SaaS pubblici alle applicazioni private, combinando prestazioni elevate e controlli avanzati.
Per supportare le organizzazioni in questo percorso, Netskope ha sviluppato anche un AI Security Playbook: una guida pratica che affronta le principali sfide di sicurezza legate all’adozione dell’AI e propone strategie concrete per gestirle, proteggendo gli investimenti e abilitando un’innovazione sostenibile.
