Secondo il rapporto IBM Cost of a Data Breach Report 2025 di Consilium (che copre 600 organizzazioni colpite da violazioni dei dati tra marzo 2024 e febbraio 2025, in 17 settori e 16 paesi e Include interviste con oltre 3000 dirigenti aziendali di alto livello), la Shadow AI sta emergendo come una minaccia significativa per le aziende, responsabile del 20% delle violazioni dei dati e con un costo medio aggiuntivo di 670.000 dollari per le organizzazioni con livelli elevati di Shadow AI.
Per Shadow AI si intende l’uso di strumenti o modelli di intelligenza artificiale all’interno di un’organizzazione senza approvazione formale, supervisione o controlli di sicurezza, creando vulnerabilità nascoste e rischi di conformità.
Le informazioni di identificazione personale dei clienti (PII) sono state il tipo di dati più frequentemente compromesso (65%), spesso utilizzato per frodi finanziarie, assicurative e di identità, o venduto sul dark web. La proprietà intellettuale è stata compromessa meno spesso (40%), ma è stata la più costosa, con un costo di 178 dollari per record.
Consilium avverte i broker dell’urgente necessità di integrare la governance dell’AI nei quadri di riferimento dei rischi informatici dei clienti prima che le autorità di regolamentazione, gli hacker o gli assicuratori impongano la questione.
“La questione ora non è se i clienti utilizzano l’AI, ma come la utilizzano. Affidarsi semplicemente alle attuali formulazioni generiche in materia di sicurezza informatica potrebbe non essere sufficiente, vista la crescente attenzione rivolta alla governance dell’AI. I broker devono esortare i clienti a verificare l’utilizzo dell’AI e ad attuare politiche di governance per ridurre l’esposizione, e dovrebbero considerare la possibilità di garantire che la copertura dell’AI sia inclusa nelle formulazioni delle polizze cyber dei loro clienti. Le lacune nella governance si stanno ampliando e la shadow AI è la nuova minaccia interna”.
L’indagine ha rilevato che il 63% delle organizzazioni colpite da violazioni non aveva una politica di governance dell’AI e solo il 34% verificava l’uso non autorizzato dell’AI. Sebbene il costo medio di una violazione sia sceso per la prima volta in cinque anni a 4,44 milioni di dollari grazie alle difese basate sull’intelligenza artificiale e al contenimento delle violazioni, una violazione su sei ora coinvolge attacchi basati sull’intelligenza artificiale come il phishing e i deepfake.