Ogni giorno, in migliaia di organizzazioni, si ripete lo stesso schema. Un dipendente invia un file tramite WeTransfer perché la posta aziendale non supporta allegati di grandi dimensioni. Un collega salva una presentazione sul proprio Dropbox personale per lavorarci da casa. Un altro carica un documento contenente dati personali su un servizio online di compressione PDF. Un altro ancora incolla un contratto in ChatGPT per ottenere una sintesi. Sono comportamenti diffusi a ogni livello gerarchico: chi li compie non ritiene di fare nulla di sbagliato, e chi dovrebbe presidiare la sicurezza informatica, nella maggior parte dei casi, non ne è nemmeno a conoscenza.
Questo fenomeno ha un nome preciso: Shadow IT — l’insieme di dispositivi, software, applicazioni cloud e servizi digitali utilizzati all’interno di un’organizzazione senza l’approvazione o il controllo del reparto IT. Non si tratta di strumenti malevoli: Google Drive, Notion, Trello, Canva, servizi di traduzione automatica, chatbot basati su intelligenza artificiale sono prodotti diffusi e apprezzati. Il problema è che vengono adottati in modo autonomo, al di fuori di qualsiasi governance aziendale e senza alcuna valutazione dei rischi. La pandemia e la normalizzazione del lavoro da remoto hanno accelerato enormemente questo fenomeno: quando i dipendenti non trovano una soluzione rapida nei canali ufficiali, ne cercano una da soli. È una reazione comprensibile — e pericolosissima.
Perché lo Shadow IT è un problema di sicurezza
Quando un dipendente utilizza un servizio non autorizzato, l’organizzazione perde il controllo su un anello della propria catena di sicurezza. File caricati su piattaforme di condivisione personali finiscono su infrastrutture cloud di cui l’azienda non conosce né la localizzazione geografica né le policy di sicurezza — e se quei server sono extra-UE e contengono dati personali, si configura un trasferimento internazionale non autorizzato.
Meritano una menzione specifica i numerosi servizi online gratuiti di compressione e conversione file: sono strumenti comodi e diffusissimi, ma il loro funzionamento implica il caricamento del documento su server remoti, spesso con condizioni di servizio che prevedono la conservazione dei file e, talvolta, il diritto di utilizzarli per finalità proprie del fornitore. A questo si aggiunge che gli strumenti adottati in autonomia raramente offrono, nelle versioni gratuite, le garanzie richieste in ambito aziendale: crittografia end-to-end, autenticazione a più fattori, logging degli accessi, revoca centralizzata delle credenziali.
Ogni applicazione non monitorata rappresenta inoltre un potenziale punto di ingresso per attacchi informatici — un account personale compromesso può diventare la via d’accesso alla rete aziendale, soprattutto se il dipendente riutilizza le stesse credenziali. E se un data breach avviene su una piattaforma di cui l’azienda ignora l’utilizzo, la violazione potrebbe non essere rilevata entro le 72 ore previste dall’art. 33 del GDPR per la notifica all’Autorità Garante.
Sul fronte della NIS2, il discorso si fa ancora più stringente per le organizzazioni rientranti nel perimetro della Direttiva (UE) 2022/2555, recepita in Italia con il D.Lgs. 138/2024. La Direttiva impone misure di sicurezza adeguate lungo tutta la catena di approvvigionamento digitale (art. 21), inclusa la gestione dei fornitori e dei servizi ICT di terze parti. Un servizio cloud adottato in autonomia da un dipendente è, a tutti gli effetti, un fornitore ICT non contrattualizzato e non valutato: esattamente il tipo di lacuna che ACN è chiamata a presidiare. Per i soggetti essenziali e importanti, l’incapacità di mappare gli strumenti in uso può tradursi in una non conformità strutturale, con potenziali sanzioni fino al 2% del fatturato mondiale.
Per le organizzazioni finanziarie soggette al Regolamento DORA (Digital Operational Resilience Act – Reg. UE 2022/2554, applicabile dal 17 gennaio 2025), lo Shadow IT rappresenta un rischio di resilienza operativa digitale difficilmente gestibile. DORA richiede un registro completo di tutti i fornitori ICT terzi (art. 28), una valutazione del rischio di concentrazione e clausole contrattuali specifiche con ciascuno di essi. Un servizio non approvato e non censito è per definizione escluso da questo registro, rendendo impossibile la compliance. Le autorità di vigilanza — Banca d’Italia, IVASS, Consob — possono richiedere evidenza documentale di questa mappatura in sede di ispezione.
Shadow IT e violazioni del GDPR
Dal punto di vista della compliance, lo Shadow IT rappresenta un rischio sistemico. Il Regolamento (UE) 2016/679 “GDPR” impone al titolare del trattamento obblighi che diventano strutturalmente impossibili da rispettare se parte dei trattamenti avviene su piattaforme ignote. Se i dati personali di clienti, fornitori o dipendenti vengono trattati attraverso un servizio non censito, è molto probabile che quel trattamento non figuri nel registro delle attività di trattamento (art. 30), non sia coperto da un’informativa privacy conforme (artt. 13-14), non disponga di una base giuridica valida e non sia supportato da un accordo di nomina a responsabile del trattamento ai sensi dell’art. 28. In altre parole: se un dipendente utilizza WeTransfer o un servizio di AI generativa per elaborare dati personali, quel fornitore sta trattando dati per conto dell’organizzazione senza alcun Data Processing Agreement in essere.
Il problema si amplifica con i trasferimenti extra-UE. Molti dei servizi più comuni nello Shadow IT hanno sede negli Stati Uniti o si appoggiano a infrastrutture cloud statunitensi, e il trasferimento di dati personali verso Paesi terzi richiede — anche alla luce del Data Privacy Framework e della giurisprudenza Schrems II — una valutazione caso per caso e l’adozione di garanzie adeguate. Nulla di tutto ciò avviene quando lo strumento viene adottato in autonomia. Un discorso analogo vale per l’utilizzo di modelli di AI gratuiti non approvati dall’azienda: quando un dipendente inserisce in un prompt informazioni riservate, quei dati vengono trasmessi a un soggetto terzo senza alcuna delle garanzie previste dal GDPR e, in alcuni casi, possono essere utilizzati per l’addestramento del modello.
Come mappare e gestire lo Shadow IT
Il primo passo è rendere visibile il fenomeno. Il monitoraggio del traffico DNS e dei log dei firewall consente di identificare connessioni verso servizi cloud non autorizzati. La verifica periodica delle applicazioni installate sui dispositivi aziendali — incluse le estensioni del browser — permette di individuare software non approvati. Per le organizzazioni più strutturate, l’adozione di un Cloud Access Security Broker (CASB) consente un monitoraggio in tempo reale. E un confronto sistematico tra il registro dei trattamenti e gli strumenti effettivamente in uso può rivelare discrepanze significative. Non va sottovalutato neppure l’approccio più diretto: chiedere ai dipendenti quali strumenti utilizzano nel lavoro quotidiano, con un atteggiamento collaborativo e non inquisitorio, è sorprendentemente efficace.
Per le organizzazioni che adottano o aspirano alla certificazione ISO/IEC 27001:2022, il controllo dello Shadow IT non è facoltativo: il controllo 8.8 (gestione delle vulnerabilità tecniche) e il controllo 5.23 (sicurezza dell’informazione nell’uso di servizi cloud) richiedono esplicitamente che l’organizzazione identifichi, valuti e gestisca i servizi cloud in uso. Un audit di certificazione che rilevi l’utilizzo diffuso di servizi non autorizzati e non valutati porta tipicamente a una non conformità maggiore, con impatto diretto sulla certificazione stessa.
Eliminare completamente lo Shadow IT è un obiettivo irrealistico. L’approccio efficace consiste nel governarlo, e questo richiede interventi su più livelli. Anzitutto, una policy chiara che elenchi gli strumenti autorizzati, quelli vietati e la procedura per richiederne di nuovi — comunicata attivamente, non sepolta in un regolamento che nessuno consulta. Poi, alternative aziendali all’altezza delle esigenze reali: se i dipendenti ricorrono a WeTransfer è perché il sistema di posta non supporta file di grandi dimensioni, se usano Dropbox personale è perché manca un cloud storage adeguato. Lo Shadow IT è spesso il sintomo di un’infrastruttura IT che non risponde ai bisogni operativi, e risolvere la causa è sempre più efficace che combatterne gli effetti. Infine, formazione strutturata: i dipendenti devono comprendere perché l’uso di strumenti non autorizzati è un rischio, attraverso scenari concreti e riconoscibili.
Endpoint management: la misura tecnica più sottovalutata
Tra le soluzioni più efficaci rientra l’adozione di una piattaforma di endpoint management, che consente di mantenere un inventario aggiornato di hardware e software su ogni dispositivo aziendale, identificare applicazioni non autorizzate, applicare policy di sicurezza in modo centralizzato e intervenire da remoto in caso di criticità. Dal punto di vista della compliance, una piattaforma di questo tipo risponde direttamente agli obblighi dell’art. 32 GDPR: la visibilità sugli endpoint consente di documentare le valutazioni dei rischi con cognizione di causa, il patching automatico riduce le vulnerabilità, il monitoraggio continuo contribuisce al rispetto degli obblighi di notifica (art. 33) e i log generati costituiscono evidenza documentale in caso di ispezione.
Un sistema di endpoint management strutturato contribuisce inoltre al soddisfacimento dei requisiti ISO 27001:2022 (in particolare i controlli 8.8 e 8.19 sulla gestione delle modifiche), dei requisiti NIS2 in materia di misure tecniche e organizzative, e — per i soggetti DORA — alla costruzione del framework di resilienza operativa ICT richiesto dall’art. 6.
Tra le soluzioni disponibili sul mercato, NinjaOne è una delle piattaforme che Argo Business Solutions ha valutato e adotta nell’ambito dei propri servizi di consulenza, per la sua console unificata, il patching automatizzato e la compatibilità con i requisiti del GDPR.
Se la tua organizzazione non dispone ancora di una soluzione di endpoint management (o RMM) o vuole verificare se quella in uso copre adeguatamente i requisiti normativi, Argo può supportarti nella valutazione, nell’implementazione e nella configurazione, integrando la piattaforma all’interno di un percorso strutturato di compliance.
Conclusione
Lo Shadow IT non è un problema tecnologico. È un problema organizzativo, culturale e normativo che nasce dalla distanza tra ciò di cui i dipendenti hanno bisogno per lavorare e ciò che l’azienda mette a loro disposizione. Affrontarlo richiede policy chiare, formazione strutturata, strumenti adeguati e una piattaforma di endpoint management che trasformi l’invisibile in governabile. Solo così è possibile passare da una sicurezza dichiarata a una sicurezza effettiva — e dimostrabile.
Perché al Garante, in caso di ispezione, non basta dire “non lo sapevamo”. Anzi: non saperlo è esattamente il problema.
Che si tratti di ambito GDPR, NIS2, DORA o ISO 27001, il punto di partenza è sempre lo stesso: non puoi proteggere ciò che non sai di avere. E non puoi dimostrare la conformità a un regolamento se parte dei tuoi trattamenti avviene su piattaforme invisibili.
Argo Business Solutions S.r.l. supporta le organizzazioni nella gestione della compliance GDPR, nella valutazione dei rischi informatici e nell’implementazione di soluzioni di endpoint management. Per una consulenza sullo Shadow IT e sulla protezione dei dati aziendali, contattaci.