Aziende e intelligenza artificiale, rischi per la sicurezza dei dati

Circa il 20% degli utenti aziendali ha installato di propria iniziativa almeno un'estensione di AI nel proprio browser, ma il 58% delle estensioni di AI ha permessi di accesso classificati come a rischio alto o critico, che consentono di monitorare le attività di navigazione, leggere contenuti delle pagine web e accedere a cookie e altri dati dell’utente, mentre il 5,6% delle estensioni di intelligenza artificiale è addirittura potenzialmente dannoso, in quanto ha la capacità di sottrarre informazioni sensibili.

Come se non bastasse, il 18% degli utenti incolla incautamente i dati negli strumenti GenAI, e di questi circa il 50% sono informazioni aziendali.

Enterprise GenAI Security Report 2025

A evidenziare queste allarmanti criticità è il rapporto “Enterprise GenAI Security Report 2025”, pubblicato da LayerX Security, leader nelle estensioni del browser per la sicurezza aziendale. Il report, basato sui dati di telemetria della vita reale dei clienti aziendali, rileva delle serie lacune di sicurezza e compliance e ha l’obiettivo di fare un quadro di come gli utenti aziendali interagiscono con gli strumenti di intelligenza artificiale generativa ed i relativi rischi sulla sicurezza dei dati.

Il 71% delle connessioni agli strumenti di GenAI usati dai dipendenti avviene utilizzando l’account privato del dipendente, che così facendo bypassa gli strumenti aziendali.

Le principali cause di tali criticità sono riconducibili al fatto che account personali e i tool non monitorati espongono dati sensibili a rischi nascosti che non sono presidiati dall’azienda, la mancanza di consapevolezza e adeguata formazione del personale che agisce in buona fede ma imprudentemente, la mancanza di strumenti GenAI che siano ufficialmente riconosciuti dalla direzione aziendale come utilizzabili per finalità lavorative, e l’assenza di policy e regolamenti interni che ne disciplinano l’uso, fattore da cui deriva quindi un pericoloso “fai da te” che sfugge al controllo del management. I risultati del rapporto evidenziano quindi la necessità di un approccio proattivo basato sul rischio per garantire le minacce nascoste dell’adozione di applicazioni di GenAI all’interno delle organizzazioni.

Come mitigare i rischi

I CISO (Chief Information Security Officer) e i security manager dovrebbero pertanto implementare un framework completo per mitigare i rischi legati all’uso di strumenti di intelligenza artificiale. Questo richiede un'oculata mappatura dell'utilizzo di applicazioni di GenAI nell'organizzazione per comprendere il profilo di rischio aziendale e costruire una strategia di bonifica efficace.

Le organizzazioni dovrebbero inoltre applicare anche strategie e procedure di auditing dell’IA a livello di endpoint per ottenere la piena visibilità dell’attività delle applicazioni di intelligenza artificiale utilizzate dei dipendenti ed essere così in grado di rilevare potenziali perdite di dati. Inoltre, è necessario limitare gli account personali e far rispettare SSO garantisce che i dipendenti utilizzino gli account GenAI aziendali con misure di sicurezza integrate.

Articolo di Nicola Bernardi, Presidente di Federprivacy