Shadow AI e processi di business: il rischio della perdita di controllo sulle decisioni
Negli ultimi anni l’attenzione sull’intelligenza artificiale si è concentrata prevalentemente sui sistemi formalmente adottati dalle organizzazioni. Questa prospettiva, pur corretta, riflette un modello in cui l’innovazione entra attraverso decisioni deliberate e governate. Una parte crescente della trasformazione in corso segue però una traiettoria diversa.
Strumenti di intelligenza artificiale — spesso facilmente accessibili, rapidamente adottabili e non sempre formalmente regolati — vengono utilizzati direttamente dagli attori operativi per predisporre documenti, sintetizzare informazioni, supportare analisi e orientare decisioni. Questo fenomeno, comunemente definito shadow AI va oltre lo shadow IT, in quanto non si esaurisce in un problema di utilizzo non autorizzato di tecnologie.
Riguarda il modo in cui il lavoro viene concretamente costruito. In particolare, si osserva una progressiva redistribuzione delle capacità cognitive che sostengono i processi di business: selezione delle informazioni, formulazione di interpretazioni, generazione di alternative e supporto decisionale. Tali attività, storicamente incorporate nelle competenze individuali e nei processi organizzativi, possono oggi essere supportate o delegate a strumenti il cui utilizzo non coincide sempre con ciò che l’organizzazione è in grado di osservare e governare.
Il tema centrale diventa quindi quello dell’osservabilità e della governabilità del processo, più che del controllo dello strumento.
Al crescere dell’integrazione dell’AI nei workflow operativi, può ridursi la capacità di: i) ricostruire il percorso attraverso cui un risultato è stato prodotto; ii) distinguere il contributo umano da quello algoritmico; iii) disporre di un livello di ricostruibilità adeguato a supportare attività di verifica, controllo e accountability.
Questa dinamica assume particolare rilievo nei contesti regolati, nei quali principi quali accountability, trasparenza e attribuibilità della responsabilità presuppongono la possibilità di comprendere non solo il risultato, ma anche il processo che lo genera.
In questo scenario, il ruolo delle funzioni di controllo — audit, compliance, risk management e Data Protection Officer — evolve da verifica degli strumenti a comprensione dei meccanismi di formazione delle decisioni.
Questa evoluzione apre però una tensione ulteriore sotto il profilo della protezione dei dati personali e dei limiti al controllo organizzativo. L’esigenza di comprendere come si formino risultati e decisioni non può tradursi automaticamente in forme sempre più pervasive di monitoraggio delle attività dei lavoratori o delle loro interazioni con strumenti digitali. La sfida consiste nel rendere osservabile il processo senza trasformare la ricostruibilità del lavoro in sorveglianza individuale, mantenendo un equilibrio tra accountability, tutela dei dati personali e autonomia professionale.
Il punto non è stabilire se l’intelligenza artificiale venga utilizzata. Il punto è verificare se l’organizzazione mantenga la capacità di spiegare come si formano le decisioni che assume.
Non va trascurato che una questione centrale resta invariata: la diffusione delle capacità cognitive non comporta una distribuzione della responsabilità. La responsabilità rimane in capo ai soggetti che adottano e utilizzano il risultato, anche quando il processo che lo ha generato diventa più articolato e meno immediatamente osservabile.
In questa prospettiva, la shadow AI non rappresenta semplicemente un fattore di rischio tecnologico, ma un elemento che sollecita un ripensamento più ampio dei modelli di governance.
La sfida per le organizzazioni — e per le istituzioni chiamate a vigilare — non consiste soltanto nel controllare gli strumenti, ma nel mantenere conoscibile il percorso attraverso cui il lavoro cognitivo viene trasformato in decisione, responsabilità e valore.
