PrivantAI
Shadow AI8 min di lettura

Radar Shadow AI in 30 giorni: il protocollo a 4 step per arrivare in CdA con un PDF

Un protocollo di 30 giorni a costo zero per misurare la Shadow AI in una PMI da 50 a 200 dipendenti. Quattro step, un output: un report PDF da portare al CdA.

GS

Giacomo Simonelli

Founder & Senior AI Engineer

·

Misurare la Shadow AI in una PMI da 50 a 200 dipendenti non richiede un budget. Richiede trenta giorni e un metodo. Il problema, in quasi tutte le aziende che incontriamo, non è la mancanza di dati: i log ci sono, il personale sa cosa usa, i manager hanno intuizioni precise. Manca la struttura per metterli insieme e portarli in CdA in una forma che un consigliere non tecnico possa leggere in dieci minuti.

Quello che segue è il protocollo che applichiamo nei nostri assessment. Lo replichi internamente, senza tool a pagamento, e in trenta giorni esci con un report PDF di sei-otto pagine. Quel PDF è la base per qualsiasi decisione successiva: investire in un AI Gateway, scrivere una policy, formare il personale, parlare con il DPO. Senza il PDF, queste decisioni vengono prese sull'aneddoto.

Step 1 — Log firewall (giorni 1-5)

Il dato oggettivo viene per primo. Ogni firewall aziendale ragionevole registra le richieste DNS in uscita. Il tuo IT manager accede alla console (Fortinet, pfSense, Sophos, Meraki, Watchguard), filtra il traffico DNS verso i domini AI degli ultimi 30 giorni ed estrae due metriche per dominio: numero di IP sorgente unici, numero di richieste totali. Senza queste due metriche, qualsiasi conversazione successiva è opinabile.

I domini da filtrare sono noti e coprono il 95% del traffico reale. Tieni un elenco esteso e ripetibile, non chiedere creatività al sistemista.

  • chat.openai.com, chatgpt.com, api.openai.com (ChatGPT consumer e API)
  • claude.ai, api.anthropic.com (Claude)
  • gemini.google.com, aistudio.google.com (Gemini)
  • copilot.microsoft.com, copilot.cloud.microsoft (Microsoft Copilot)
  • perplexity.ai, you.com, phind.com (motori AI answer)
  • notion.so/ai, otter.ai, fireflies.ai (tool produttività con AI)
  • huggingface.co, replicate.com (modelli open source)

Il risultato dello step 1 è una tabella in Excel con: dominio, numero IP unici al giorno (media e picco), numero richieste totali nei 30 giorni, segnalazione di anomalie (es. un singolo IP con 5000 richieste verso api.openai.com in una settimana significa che qualcuno sta usando un wrapper script). Non commentare ancora. Limitati a portare numeri.

Step 2 — Sondaggio anonimo (giorni 6-12)

I log dicono il volume. Il sondaggio dice il contesto. L'anonimato è obbligatorio: senza, le risposte sono falsate verso il basso del 40-60%, e il dato non è più utilizzabile. Lo strumento giusto è quello che già usi (Google Forms, Microsoft Forms, Typeform), in modalità anonima, con messaggio di lancio firmato da HR — non da IT. Il tono deve essere neutro: 'stiamo mappando gli strumenti di lavoro del team'.

Cinque domande, quattro minuti di compilazione, target tutta la popolazione di knowledge worker dell'azienda. Esclusi solo i ruoli operativi senza accesso al PC.

  1. Negli ultimi 90 giorni hai usato strumenti AI (ChatGPT, Copilot, Gemini, Claude o simili) per attività lavorative? Sì / No / Raramente.
  2. Se sì, prevalentemente per quale tipo di task? (testi, sintesi documenti, traduzioni, analisi dati, codice, ricerca, altro)
  3. Hai mai incollato contenuti aziendali (email, documenti interni, dati di clienti, codice proprietario) dentro questi strumenti? Mai / A volte / Spesso.
  4. L'account che usi è personale (gmail, hotmail) o aziendale? Personale / Aziendale / Entrambi.
  5. Se ti fosse offerto uno strumento AI ufficiale e governato, lo useresti al posto di quello attuale? Sì / No / Indifferente.

Target di partecipazione realistico: 50-70% della popolazione. Sotto il 30% il dato è statisticamente debole — in quel caso, mandi un reminder e prolunghi di 5 giorni. Non insistere oltre: la pressione genera risposte difensive e rovina il segnale.

Step 3 — Review dei task (giorni 13-20)

Il terzo step è qualitativo e va in profondità. Sei aree funzionali, sei conversazioni di 30-45 minuti ciascuna con il responsabile di funzione (non il team intero, non un focus group). Aree tipiche: vendite, marketing, customer service, HR, finance/legal, IT/operations. Lo scopo è far emergere i task ripetitivi dove l'AI si annida, e capire quali team hanno cambiato velocità di esecuzione senza nuovi tool ufficiali.

Tre domande aperte per ogni conversazione. Non un questionario, una chiacchierata operativa. Prendi appunti, non registrare.

  • Quali sono i tre task più ripetitivi del tuo team negli ultimi 12 mesi?
  • Su questi task la velocità di esecuzione è cambiata? Se sì, hai un'ipotesi sul perché?
  • Se tu dovessi scommettere, chi nel tuo team sta già usando strumenti AI quotidianamente?

Quello che emerge in quasi tutti i casi è che 2-3 team su 6 sono diventati misuratamente più rapidi senza un cambiamento di processo formale. Quelle sono le aree dove la Shadow AI è strutturale, non episodica. Sono anche le aree dove serve agire per prime, perché lì il rischio di esfiltrazione di dati aziendali è massimo.

Il dato dei log ti dice quanto. Il sondaggio ti dice cosa. La review dei task ti dice dove. Senza i tre messi insieme, qualsiasi piano d'azione è cieco su almeno una dimensione.

PrivantAI, metodologia assessment

Step 4 — Debrief team e report PDF per il CdA (giorni 21-30)

Il quarto step è dove molti assessment falliscono: si accumulano dati, ma non si confezionano in una narrativa per non addetti ai lavori. Il CdA non vuole una tabella DNS. Vuole sapere tre cose: quanto siamo esposti, dove siamo esposti, cosa facciamo. Il tuo PDF deve rispondere esattamente a queste tre domande, in massimo otto pagine.

Struttura del report che funziona — testata in più di 30 assessment.

  1. Executive summary (1 pagina): tre numeri chiave + tre raccomandazioni operative.
  2. Volume di Shadow AI (1 pagina): tabella DNS, IP unici per dominio, trend mensile.
  3. Contesto d'uso (2 pagine): risultati sondaggio, distribuzione per tipo di task e tipo di dati esposti.
  4. Hot spot funzionali (1 pagina): le 2-3 aree dove la Shadow AI è più strutturale.
  5. Stima esposizione annua (1 pagina): formula trasparente con le tre variabili e il risultato.
  6. Piano d'azione (1-2 pagine): tre orizzonti — urgente 2 settimane, medio 6 settimane, strutturale 3 mesi.

Cosa succede dopo i 30 giorni

Una volta che il PDF è in CdA, due percorsi sono tipici. Il primo: l'azienda decide di erogare uno strumento AI governato (Gateway con masking PII, account aziendali centralizzati, audit log) e di scrivere una policy di due pagine. Il secondo: l'azienda decide di vietare formalmente l'uso di AI consumer, scrivendolo nel regolamento interno e formando il personale. Entrambi i percorsi sono difendibili. Il percorso indifendibile è il terzo — non decidere.

Se vuoi confrontare il tuo protocollo con quello che applichiamo su dieci-quindici assessment l'anno, prendiamoci trenta minuti senza impegno. Ti raccontiamo come abbiamo strutturato il PDF per i CdA di tre nostri clienti — i numeri, le obiezioni, la presa di decisione. Chiamata gratuita di 30 minuti, senza vincoli.

Parliamo del tuo caso, non di teoria

Se questo articolo ti ha fatto pensare "sta succedendo anche a noi", l'audit gratuito è il primo passo. 45 minuti, zero impegno, una mappa concreta dei rischi nella tua azienda.

Prenota l'audit gratuito

Articoli correlati

Radar Shadow AI, newsletter mensile

Una volta al mese: caso del mese (data leak AI accaduto in EU), checklist DPO, novità AI Act/NIS2. 800-1000 parole, 3 minuti di lettura.

Radar AI · 1 mail al mese

Insights AI Act, casi reali, niente promo. Letta in 5 minuti, scritta dal team di PrivantAI.

1 email al mese. Insights AI Act + 1 caso reale. Cancellabile in 1 click.

Discovery gratuita30 min con il team PrivantAI
Prenota