Digital Economy Telco Industria 4.0 SpacEconomy PA Digitale Green economy Intelligenza artificiale Videointerviste Le Guide di CorCom Podcast Privacy

l’approfondimento

Shadow AI nella PA: perché serve una democratizzazione governata

Home PA Digitale
Partecipa al dibattito
Indirizzo copiato

Dopo anni di applicazioni e strumenti adottati “fuori perimetro”, l’intelligenza artificiale rischia di replicare lo stesso schema nella pubblica amministrazione:uso individuale, soluzioni non autorizzate, dati esposti e decisioni poco tracciabili. Per evitarlo non basta vietare: serve rendere l’IA accessibile a chi lavora sui processi, ma dentro un quadro chiaro di regole, strumenti abilitanti, formazione e responsabilità

Pubblicato il 4 mar 2026
Fabrizio Barbero

Direttore Architetture e Tecnologie innovative CSI Piemonte

intelligenza-artificiale-AI

L’intelligenza artificiale sta entrando nel lavoro pubblico molto più rapidamente rispetto alla capacità delle organizzazioni di pianificarne l’adozione. Non si tratta di un cambiamento ipotetico o futuro: l’AI è già parte delle attività quotidiane, ma spesso viene utilizzata in modo spontaneo e non sempre controllato. Questo scenario apre certamente nuove opportunità di innovazione, ma porta con sé rischi concreti che le PA devono saper governare, soprattutto rispetto a sicurezza dei dati, qualità e proprietà dei contenuti, responsabilità amministrativa e coerenza dei processi.

Per questo, oggi, la domanda non è se utilizzare l’AI, ma come integrarla nei processi della Pubblica Amministrazione in modo consapevole, sicuro e sostenibile. Ciò significa affrontare il tema dello Shadow AI, creare condizioni affinché l’AI possa essere utilizzata da molti e non solo da pochi tecnici esperti, sviluppare una piattaforma che ne renda l’uso ordinato e verificabile, rafforzare la governance, valorizzare nuove competenze e contribuire alla trasformazione dei processi.

È in questo quadro che si collocano i temi affrontati in questo articolo: dallo Shadow AI alla democratizzazione, dal valore della piattaforma alle responsabilità della governance, dal cambiamento dei mestieri alla revisione dei processi. Un approccio integrato che considera l’AI non come uno strumento isolato, ma come una capability organizzativa da sviluppare nel tempo.

Dallo Shadow IT allo Shadow AI

Prima di parlare di “adozione dell’AI”, ogni amministrazione dovrebbe chiedersi: come possiamo far entrare l’AI nel lavoro quotidiano mantenendo controllo, coerenza, sicurezza e fiducia? L’AI, infatti, non attende piani o comitati formalmente istituiti: le persone la stanno già usando spontaneamente, spesso attraverso esperimenti individuali, strumenti non autorizzati o usi non tracciati. Questo è lo Shadow AI, che emerge con la stessa dinamica che per anni ha generato lo Shadow IT, ma con un impatto decisamente maggiore.
Infatti lo Shadow AI non è solo una questione tecnologica: è un tema organizzativo, culturale e – per la PA – anche istituzionale. Non tocca soltanto strumenti, ma decisioni, atti, testi, analisi e processi che determinano l’affidabilità dell’amministrazione.

Shadow AI: la scorciatoia che diventa rischio sistemico

Lo Shadow IT era spesso una scorciatoia per “fare prima” o per colmare in modo “auto-gestito” lacune strumentali da parte dell’organizzazione: un file condiviso fuori policy, una piattaforma di project management scelta dal team, un servizio di storage non autorizzato. Lo Shadow AI è una scorciatoia diversa: non si limita a ospitare dati o processi, ma produce contenuti e suggerimenti.

E qui i rischi si amplificano toccando alcuni aspetti quali:

  • dati: allegare un documento, incollare un testo, riassumere una mail può involontariamente esporre informazioni sensibili.
  • conformità e accountability: se un contenuto entra in un flusso di lavoro senza tracciabilità (chi ha chiesto cosa, con quali dati, con quale modello), diventa impossibile ricostruire responsabilità e contesto.
  • qualità: l’AI può essere convincente anche quando sbaglia. E in un contesto pubblico non basta che un contenuto sia “plausibile”: deve essere “corretto”, “coerente”, “dimostrabile”.
  • reputazionale: l’errore si propaga velocemente e costa più del beneficio ottenuto dalla scorciatoia.

Il paradosso è che lo Shadow AI nasce spesso da un’esigenza legittima: fare meglio, fare più in fretta, ridurre complessità. Ma se la risposta dell’organizzazione è solo “vietare”, la dinamica tipica non è la compliance: è l’occultamento. Per altro, limitare o, peggio, bandire l’utilizzo di strumenti ormai largamente diffusi e che fanno parte dell’esperienza personale dei più, apparirebbe una limitazione incomprensibile e anacronistica.

E allora la questione non è se l’AI vada usata o meno. La questione è: come la rendiamo usabile e sicura nello stesso tempo? Qui entra in gioco un concetto che sembra semplice ma che, se preso sul serio, cambia tutto: la democratizzazione dell’AI, che diventa la chiave per passare dallo Shadow AI a un utilizzo sicuro e controllato.

Democratizzare l’AI: non significa “tutti fanno tutto”

La democratizzazione è spesso fraintesa o interpretata in modo troppo semplice. Spesso viene intesa come “diamo una licenza a tutti e vediamo cosa succede”. In una PA, questa è la ricetta perfetta per generare entusiasmo iniziale e problemi strutturali dopo.

Nella nostra visione, democratizzazione ha due significati molto concreti.

1) Democratizzazione come sostenibilità

Sostenibilità non è solo rispetto del budget, è anche efficienza e efficacia. Non tutti i compiti richiedono lo stesso livello di “potenza” (e costo). Un conto è sintetizzare un documento interno; un altro è supportare un’analisi complessa o un assistente che deve mantenere conversazioni lunghe e precise su argomenti sensibili. Se l’unico strumento disponibile è un singolo modello “premium”, l’uso diventa automaticamente costoso, e l’organizzazione finisce per limitare l’accesso. Se invece creiamo un approccio più ingegnerizzato—modelli diversi per esigenze diverse—possiamo essere più inclusivi, più finalizzati e, allo stesso tempo, più responsabili.

2) Democratizzazione come abilitazione diffusa

Democratizzare non significa solo dare accesso all’AI, ma mettere tutti i dipendenti nelle condizioni di utilizzarla in modo consapevole, come una competenza lavorativa. Non si tratta di un uso superficiale o sperimentale, ma di un’integrazione profonda nei processi operativi quotidiani, supportata da strumenti adeguati, formazione e regole chiare. È qui che, come CSI-Piemonte, abbiamo maturato una convinzione netta: non basta distribuire licenze. Serve costruire un ambiente di enabling: un portale, una piattaforma, un luogo organizzativo dove l’AI diventa una capability condivisa.

Perché una piattaforma e non una licenza

L’approccio “licenza per un singolo LLM” ha un vantaggio: è veloce. Ma ha un limite strutturale: sposta il tema sull’utente (che modello uso? come lo uso? cosa posso incollare? come controllo i risultati?) e lascia all’organizzazione solo due opzioni: fidarsi o reprimere. Una piattaforma, invece, consente un salto di qualità. Perché permette di trasformare l’AI da “app individuale” a infrastruttura di lavoro. Nella nostra visione, una piattaforma AI per i dipendenti pubblici dovrebbe offrire alcune capacità chiave:

  1. Multi-modello, multi-costo, multi-prestazione
    Possibilità di utilizzare modelli diversi—cloud o on-premise— attraverso l’accesso via prompting con profili differenziati in termini di costo, prestazioni, vincoli di sicurezza e casi d’uso.
  2. Riuso di assistenti e agenti
    Non ripartire da zero ogni volta. Se un ufficio costruisce un assistente che elabora una tipologia di documento, quel lavoro deve poter essere riutilizzato e migliorato da altri. È un principio “industriale”: ridurre duplicazioni, valorizzare ciò che funziona.
  3. Marketplace interno con validazione
    Un mercato interno non è anarchia. È condivisione governata: chi pubblica lo fa seguendo criteri; chi valida (focal point, esperti, governance AI) garantisce qualità, sicurezza e coerenza con le policy.
  4. Policy-by-design
    La piattaforma deve incorporare regole, tracciabilità, controlli, meccanismi di escalation. Non come “gabbia”, ma come condizione per rendere l’AI affidabile nel contesto pubblico.

Questa architettura, di fatto, realizza un obiettivo cruciale: riduce lo Shadow AI offrendo un’alternativa migliore dello Shadow AI. Perché se l’esperienza ufficiale è più utile, più semplice e più sicura, le persone la scelgono spontaneamente.

Governance: la parola che spaventa, la funzione che serve

In molti contesti “governance” è diventata sinonimo di rallentamento. Nella nostra esperienza, è vero il contrario: senza governance l’adozione rallenta, perché dopo i primi incidenti l’organizzazione reagisce chiudendo. La governance, per funzionare, deve essere vista come ingegneria del controllo, non come burocrazia. In un contesto pubblico, ad esempio, una governance dell’AI può prevedere che ogni modello utilizzato sia preceduto da una fase di validazione, nella quale vengono definiti i rischi associati all’uso, chiarito il tipo di dati coinvolti e impostato un monitoraggio delle performance. Un caso concreto può essere l’impiego di un modello di classificazione dei documenti: vengono tracciate la provenienza dei dati, la versione del modello utilizzato e l’output generato, così da garantire qualità, trasparenza e possibilità di verifica. Una governance efficace combina sempre due leve complementari, una “hard” e una “soft”.

La leva hard riguarda controlli ed enforcement. Una piattaforma consente di introdurre meccanismi reali, come la classificazione dei casi d’uso in base al livello di rischio, distinguendo ciò che è consentito, ciò che richiede cautele specifiche e ciò che è vietato. Permette inoltre di assicurare tracciabilità e audit, rendendo chiaro chi ha fatto cosa, con quali input, quale modello e quale output. Include protezioni sui dati, attraverso filtri, regole, separazione degli ambiti e gestione controllata degli allegati. Infine, abilita il monitoraggio della qualità e dei comportamenti di utilizzo, con l’obiettivo di migliorare il sistema e le pratiche, non di punire.

La leva soft riguarda competenze e mindset. L’AI mette in evidenza un limite umano antico: la tentazione di delegare. Ma l’output dell’AI, per definizione, è un assistente; non è una firma, non è una responsabilità, non è una verità.

Per questo una governance solida lavora anche sulla cultura organizzativa: insegna a porre le domande giuste, aiuta a riconoscere i casi in cui è necessaria una verifica, contrasta il copia-incolla automatico e promuove pratiche di revisione e confronto tra colleghi. In questo senso la piattaforma non si limita a misurare: rende visibile dove servono percorsi di formazione mirati e dove emergono buone pratiche replicabili.

Dal fare all’orchestrare: come cambiano i mestieri (IT e PA)

Questa trasformazione non è nuova. Negli ultimi anni, nel mondo dello sviluppo software abbiamo visto un cambio di paradigma: il lavoro si è spostato dal “scrivere tutto” al comporre, orchestrare, integrare, automatizzare. Sono aumentati test, pipeline, strumenti, componenti riusabili. Il valore si è spostato sul design e sull’affidabilità del sistema.

Con l’AI succede qualcosa di simile, dentro e fuori l’IT. Per i professionisti IT, la sfida non è solo usare modelli: è costruire un ecosistema di accesso, sicurezza, valutazione, monitoraggio, riuso. Per i mestieri della PA, la sfida è altrettanto profonda: il lavoro non si riduce, si sposta. Si passa da “scrivere il documento” a progettare un flusso di produzione del documento, in cui si definiscono input e vincoli, si inseriscono controlli e verifiche, si stabiliscono responsabilità e punti di decisione e si preserva tracciabilità e coerenza con norme e policy.

In altre parole: dal fare all’orchestrare.
Per esempio, un documento che prima veniva scritto interamente da un dipendente potrebbe ora essere progettato come un flusso di lavoro che coinvolge vari attori: l’AI per la sintesi e il controllo ortografico, il dipendente per l’approvazione finale, e altri sistemi per il controllo delle normative e dei vincoli legali. In questo modo, il dipendente non è più solo un esecutore, ma diventa un orchestratore di un processo che integra strumenti digitali e umani. Ed è qui che diventa evidente un punto cruciale: se l’AI rimane solo “chatbot”, si va poco lontano.

Oltre il chatbot: la vera “killer action” è trasformare i processi

Un assistente conversazionale può essere utilissimo: orienta, semplifica, aiuta a trovare informazioni, riduce attriti. Ma se l’AI si ferma lì, resta un livello superficiale: migliora l’accesso, non cambia la macchina. Per esempio, un chatbot può essere utile per rispondere a domande frequenti, ma non trasforma realmente i processi. La vera trasformazione avviene quando l’AI viene integrata in attività più complesse, come la gestione automatizzata delle richieste di risorse o la pianificazione di attività, riducendo il carico di lavoro ripetitivo e permettendo ai dipendenti di concentrarsi su compiti ad alto valore. La trasformazione vera avviene quando si lavora sui processi end-to-end: riduzione passaggi e tempi morti, automazione di attività ripetitive e verificabili, gestione intelligente delle eccezioni, migliore cooperazione tra uffici e sistemi. Questo porta a un’idea che, a prima vista, sembra futuristica ma in realtà è già concreta: un’organizzazione ibrida composta da esseri umani e “attori intelligenti” (agenti) che operano in modo autonomo dentro un sistema regolato. Attenzione: non parliamo di agenti ‘liberi’. Parliamo di agenti con: perimetro chiaro, regole di autorizzazione, limiti operativi, tracciabilità, escalation all’umano quando serve. Gli agenti intelligenti non sono pensati per sostituire i dipendenti, ma per supportarli nelle attività ripetitive e nell’elaborazione di dati complessi. L’interazione con gli agenti deve essere vista come una collaborazione, dove gli esseri umani restano al centro del processo decisionale, ma gli agenti svolgono compiti che permettono di risparmiare tempo e aumentare l’efficienza.

È un modello cooperativo: gli agenti lavorano con le persone, non al posto delle persone. E liberano energia su ciò che davvero richiede giudizio, responsabilità, relazione.

Tre passi per costruire un percorso sostenibile

Se c’è un messaggio che vale la pena portare a casa, è questo: nella PA l’AI non può essere solo ‘adozione di uno strumento’. Deve diventare una capability organizzativa. E una capability si costruisce con tre mosse, semplici da dire ma decisive da realizzare.
Il primo passo è centralizzare l’accesso all’AI in un ambiente ufficiale. Ridurre lo Shadow AI non si ottiene con divieti, ma offrendo un’alternativa migliore: un luogo unico, affidabile e sicuro in cui dipendenti ed enti possano usare modelli validati e strumenti integrati, senza ricorrere a soluzioni improvvisate.
Il secondo passo riguarda la sostenibilità. Non tutte le attività richiedono la stessa potenza o lo stesso costo. Un approccio multi‑modello, costruito su profili di prestazione e di spesa differenziati, permette a ciascuno di scegliere lo strumento più adatto alle proprie esigenze. Democratizzare l’AI significa renderla accessibile a molti, in modo continuativo e responsabile, monitorandone l’impatto nel tempo.
Il terzo passo è governare e far crescere competenze. Policy, controlli, logging e monitoraggio devono procedere insieme alla formazione e allo sviluppo del mindset digitale. L’AI diventa affidabile quando chi la utilizza ha consapevolezza, strumenti adeguati e linee guida chiare.

In fondo, l’AI ci sfida a innovare senza compromettere l’affidabilità. La risposta non risiede solo nella tecnologia, ma in un progetto organizzativo che garantisca l’integrazione sicura, sostenibile e governata dell’AI nella PA.

Dal piano alla pratica: il contributo del CSI Piemonte per un’AI sostenibile nella PA

Come trasformare questi principi in un modello realmente diffuso ed efficiente? Il CSI Piemonte sta sviluppando una strategia basata sulla creazione di una piattaforma di ecosistema, progettata per accompagnare l’adozione dell’AI in modo ordinato, sicuro e coerente.

Abilitare la produttività diffusa: la piattaforma di ecosistema

La piattaforma è il cuore dell’infrastruttura di adozione dell’AI: uno spazio unificato, sicuro e governato in cui dipendenti ed enti possono utilizzare strumenti e modelli in modo semplice e verificabile. In particolare consentirà l’accesso conversazionale a un catalogo di modelli verificati con livelli di servizio differenziati, l’utilizzo di assistenti personali per analisi, scrittura, sintesi e supporto operativo con possibilità di riuso di agenti preconfigurati, la disponibilità di modelli GenAI on premise e cloud organizzati per sensibilità dei dati, prestazioni e tipologia di attività, la consultazione di un catalogo aziendale validato e condiviso con criteri trasparenti di qualità e sicurezza e l’applicazione di una governance automatizzata su sicurezza, dati, policy, compliance e tracciabilità degli utilizzi.
L’obiettivo è costruire un’infrastruttura di produttività collettiva, non un semplice “servizio di chatbot”: un ambiente che integra l’AI nella routine lavorativa riducendo rischi, frammentazione e improvvisazione.

Una strategia multi modello per evitare il lock in

Elemento strategico è la flessibilità nella scelta dei modelli, che permette di utilizzare modelli premium erogati dai principali provider cloud quando richiesto da casi d’uso specifici, integrare modelli specializzati (SLM), open source e modelli addestrati localmente facendoli operare su Nivola, il cloud privato del CSI Piemonte certificato ACN, selezionare di volta in volta il modello più adeguato per costo, qualità, rischio e tipo di attività ed evitare dipendenze da singoli fornitori. Questo approccio assicura sostenibilità economica, autonomia tecnologica e coerenza con le esigenze della PA.

Una sola infrastruttura, non iniziative parallele

La piattaforma non è un progetto isolato: è l’elemento unificante che dà concretezza ai principi di democratizzazione, sostenibilità, sicurezza, qualità. Consente di abilitare un uso realmente diffuso dell’AI, ridurre lo Shadow AI, mantenere coerenza tra enti, uffici e processi, integrare regole, responsabilità e tracciabilità nello strumento stesso e supportare il cambiamento organizzativo oltre quello tecnologico. È il passaggio fondamentale per trasformare l’AI da semplice strumento a vera infrastruttura organizzativa.

Conclusioni

La vera sfida per la Pubblica Amministrazione è rendere l’intelligenza artificiale uno strumento sicuro, accessibile e sostenibile per tutti. Il CSI Piemonte sta lavorando a una piattaforma unificata che trasformerà l’AI in una capability organizzativa, riducendo i rischi dello Shadow AI e migliorando l’efficienza, la sicurezza e la qualità nell’uso quotidiano. Questo è il futuro che stiamo costruendo per la PA.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Aziende

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • mwc_barcelona_exterior_sky_800x533

  • l'evento

    Sovranità, AI e satelliti: a Barcellona va in scena il futuro delle telco

    01 Mar 2026

    di Federica Meta

    Condividi
  • trasformazione digitale- img pixabay

  • IL DOCUMENTO

    Consip vara il piano industriale 2026-29: l'obiettivo è il raddoppio dei contratti digitali

    03 Feb 2026

    Condividi
  • CCNL TLC call center

  • scenari

    Call center, Di Raimondo (Asstel): “Il nuovo CCNL guarda al futuro”

    23 Gen 2026

    Condividi
  • Screenshot 2025-12-20 alle 16.54.24

  • scenari

    Mobile Core Network, nel 2026 sarà record: merito di 5G SA e AI agentica

    31 Dic 2025

    Condividi
0
Lascia un commento, la tua opinione conta.x