La rapida ascesa degli strumenti di intelligenza artificiale sul posto di lavoro, unita alla crescente pressione sui dipendenti per ottenere di più e più velocemente, significa che le organizzazioni si trovano di fronte a un crescente punto cieco della sicurezza: l’uso degli agenti di intelligenza artificiale.
Scritto dal nostro VP of Product, Mark Hamill, questo articolo dà un’occhiata pratica a come l’IA viene impiegata oggi nelle organizzazioni, esplora i rischi dell'”IA ombra” e sottolinea perché politiche chiare, formazione e strumenti approvati accessibili sono essenziali per proteggere i dati sensibili.
Aveva tre giorni di tempo prima che il caso andasse in tribunale.
I documenti si accumulavano: dichiarazioni dei testimoni, casi precedenti, appunti di preparazione di sei mesi. Non c’erano abbastanza ore. Una collega aveva accennato, di sfuggita, all’utilizzo di ChatGPT per riassumere i documenti più lunghi. Sembrava utile. Pensò che se lo usava apertamente, doveva andare bene, qualcuno doveva averlo approvato. Aprì una scheda del browser, incollò gli appunti del caso e ottenne un riassunto pulito in pochi minuti. Funzionava. Così lo fece di nuovo, e ancora di più.
Non sapeva che il livello gratuito di ChatGPT non prevede la protezione dei dati aziendali. Non sapeva che i contenuti inviati attraverso uno strumento di AI per i consumatori possono, a seconda delle impostazioni, essere utilizzati per migliorare il modello. Non sapeva che la sua azienda avesse una politica in merito perché nessuno gli aveva detto che esisteva. Era un avvocato con una scadenza in tribunale, che faceva ciò che qualsiasi professionista competente fa sotto pressione: utilizzava il miglior strumento disponibile e portava a termine il lavoro.
Questo è l’aspetto dell’IA ombra. Non un dipendente disonesto. Non una persona indifferente ai rischi. Solo un professionista capace che riempie un vuoto e cerca di portare a termine il suo lavoro.
Nessuno ha detto loro di non farlo
Recenti ricerche suggeriscono che circa la metà di tutti i lavoratori della conoscenza utilizza strumenti di intelligenza artificiale non approvati dal proprio datore di lavoro. La metà. Questo significa che qualsiasi politica abbia la tua azienda, se ne ha una, è già stata superata dal comportamento che dovrebbe regolare.
Il motivo non è la sfida. La maggior parte delle persone che utilizzano strumenti di intelligenza artificiale non autorizzati non lo fanno per aggirare i controlli di sicurezza. Lo fanno perché non sapevano dell’esistenza di una regola o perché un collega utilizzava lo stesso strumento, cosa che hanno ragionevolmente considerato come un’approvazione istituzionale. Se il manager del mio collega usa apertamente ChatGPT durante le riunioni, sicuramente è stato autorizzato. E la versione gratuita fa le stesse cose di quella a pagamento, giusto? Quindi perché sollevare una richiesta di approvvigionamento quando lo strumento è lì, nella scheda del browser?
Si tratta di conclusioni del tutto logiche tratte da informazioni incomplete. La lacuna non sta nella capacità di giudizio dei tuoi dipendenti. È nelle tue comunicazioni.
L’altra metà del problema
Fuori dall’ufficio, il messaggio che i tuoi dipendenti stanno ricevendo è forte e inequivocabile: adotta l’IA o rimani indietro. Usa questi strumenti o vedrai la tua carriera diventare irrilevante. Ogni titolo di giornale, ogni conferenza sulla leadership, ogni articolo che parla di come l’IA possa sottrarre posti di lavoro dice loro di muoversi più velocemente, di sperimentare di più, di essere all’avanguardia. Poi arrivano al lavoro e scoprono che il percorso approvato prevede un modulo di acquisto, una revisione informatica e sei settimane di attesa per ottenere una licenza.
Il messaggio interno è il silenzio. Il messaggio esterno è l’urgenza esistenziale. Questa collisione è esattamente il punto in cui nasce l’IA ombra.
Cosa sta realmente uscendo dalla porta
Il rischio non è lo strumento. È quello che viene alimentato.
I prodotti di AI di consumo che offrono livelli gratuiti e account personali non sono vincolati dagli stessi accordi sui dati del software aziendale. Quando un dipendente incolla un documento in uno strumento di IA gratuito, quei dati possono uscire completamente dal controllo dell’organizzazione. A seconda della piattaforma e delle sue impostazioni, possono essere archiviati, rivisti o utilizzati per addestrare il modello. La maggior parte dei dipendenti non sa che esiste una distinzione significativa tra la versione gratuita e quella aziendale. Per loro si tratta dello stesso prodotto.
Questo aspetto è più importante in alcuni ruoli che in altri. Un avvocato che incolla documenti privilegiati di un cliente. Un team finanziario che riassume discussioni su una fusione. Un responsabile delle risorse umane che redige una nota disciplinare. Non si tratta di rischi ipotetici. Nel 2023, gli ingegneri di Samsung hanno incollato codice sorgente proprietario in ChatGPT tre volte, in tre team diversi, prima che qualcuno se ne accorgesse. Il codice era già stato diffuso prima che qualcuno alzasse la mano.
L’invisibilità è ciò che rende l’AI difficile da gestire. Lo Shadow IT - i dipendenti che utilizzano software non autorizzato - lascia almeno tracce di rete e di endpoint. Un’interazione di AI ombra è solo una scheda del browser. Non c’è un programma di installazione che la blocchi. Quando qualcuno si accorge dell’accaduto, i dati sono già fuori dalla porta.
Come comportarsi
L’istinto è quello di bloccare l’intelligenza artificiale. Blocca gli strumenti, distruggi il router dell’ufficio e lascia un biglietto minatorio in cucina vicino al tostapane.
Ma mentre puoi bloccare gli strumenti, non puoi bloccare l’intento. Se rimuovi lo strumento e lasci la pressione - le scadenze, il carico di lavoro, il messaggio ambientale che l’adozione dell’IA non è negoziabile - le persone trovano un altro strumento. Questo è esattamente ciò che è successo con Dropbox una decina di anni fa. Le organizzazioni lo bloccarono. I dipendenti sono passati alla posta elettronica personale. Il comportamento non si è fermato, è solo diventato più difficile da vedere.
Le organizzazioni che hanno risolto il problema dello shadow IT non erano quelle con i controlli più rigidi. Sono state quelle che hanno fornito un’alternativa credibile e accessibile - più velocemente. La stessa logica si applica anche in questo caso.
Se stai cercando di gestire l’utilizzo dell’IA da parte dei tuoi dipendenti, inizia col rendere la tua posizione visibile e chiara. Non sepolta in una politica di utilizzo accettabile che vive nell’intranet e che nessuno legge, ma pubblicata e riconosciuta da tutti. Parlane nelle tue riunioni di gruppo. Nomina gli strumenti che le persone utilizzano. Spiega la differenza tra il livello gratuito e la versione aziendale in un linguaggio che abbia un significato per un professionista non tecnico. Sii chiaro su cosa è approvato, cosa no e perché. Non come una minaccia. Come informazioni di sicurezza.
Informare i manager. L’assunto “lo usa il mio collega, quindi deve andare bene” circola nei team perché spesso i manager stessi utilizzano questi strumenti senza comprenderne le implicazioni. Se i tuoi manager non sono in grado di spiegare la tua politica sull’IA, i tuoi dipendenti non la seguiranno.
Organizza una formazione che affronti le specifiche idee sbagliate: non un generico messaggio di “attenzione ai dati”, ma una guida mirata agli scenari esatti che le persone si trovano ad affrontare - scadenze incombenti, grandi insiemi di dati, numerosi documenti che necessitano solo di un rapido riassunto. Rendile abbastanza concrete da essere ricordate quando mancano tre ore a una scadenza.
E rendere il percorso approvato davvero facile da usare. Se per ottenere una licenza AI legittima ci vogliono sei settimane, le persone non aspetteranno. Utilizzeranno quello che hanno. L’attrito nel percorso approvato non è una caratteristica di sicurezza. È un generatore di IA ombra.
-
L’avvocato ha vinto il suo caso. I documenti sono stati trattati, l’argomentazione scheletrica è stata chiara, il cliente è stato soddisfatto. Da qualche parte nel percorso dei dati, se qualcuno avesse guardato, quelle note sul caso avevano fatto un viaggio non autorizzato.
Nessuno stava guardando.
Da qualche parte nella tua organizzazione è successa la stessa cosa oggi. I tuoi dipendenti non stanno aggirando la tua politica di sicurezza. Stanno prendendo una decisione di rischio che non hai preso per loro. La questione è se continuerai a lasciare che questo accada o se renderai più facile fare la cosa giusta piuttosto che indovinare.
Rendi più facile fare la cosa giusta
L’IA ombra non è un problema di tecnologia, ma di visibilità e di comportamento. Se i dipendenti non conoscono le regole, non possono accedere rapidamente agli strumenti approvati o non comprendono il rischio, saranno loro stessi a colmare la lacuna.
MetaCompliance aiuta le organizzazioni a colmare questo divario con una sensibilizzazione alla sicurezza mirata e orientata al comportamento. Dalla comunicazione chiara delle politiche alla formazione basata su scenari reali, ti aiutiamo a rendere il rischio visibile, la guida perseguibile e il comportamento sicuro il percorso più semplice.
Scopri come MetaCompliance può aiutarti a prendere il controllo del rischio umano.