Connect with us

Leader di pensiero

Quando l’abuso dell’AI scatena una crisi aziendale

mm
Published
Updated

La maggior parte delle aziende non ha politiche per prevenire disastri di reputazione dovuti a strumenti di intelligenza artificiale

Recenti sondaggi rivelano che solo circa il 30 percento delle aziende ha stabilito politiche per l’AI. Nel frattempo, il 77 percento dei dipendenti condivide segreti aziendali su ChatGPT, secondo il rapporto Enterprise AI e SaaS Data Security Report del 2025 di LayerX. Questa combinazione crea condizioni perfette per crisi di reputazione.

La maggior parte delle politiche sull’AI che esistono tendono a concentrarsi su rischi tecnici e di conformità. Affrontano protocolli di sicurezza dei dati, valutazioni dei fornitori e requisiti normativi. Ciò che spesso queste politiche non considerano è un disastro delle relazioni pubbliche che può svilupparsi nel giro di poche ore a causa dell’abuso dell’AI. Presso Red Banyan, consigliamo un numero crescente di organizzazioni attraverso crisi correlate all’AI e iniziamo a vedere uno schema comune. La violazione tecnica viene di solito contenuta rapidamente, ma il danno alla reputazione, alle relazioni con i clienti e alla fiducia degli stakeholder può persistere per mesi o addirittura anni.

Il problema dell’AI ombra

La minaccia più grande proviene da ciò che i professionisti della sicurezza chiamano “Shadow AI“. Si tratta del caso in cui i dipendenti utilizzano account AI personali non approvati per attività di lavoro, bypassando i controlli di sicurezza aziendali. La maggior parte delle volte, lo fanno senza rendersi pienamente conto dei rischi.

Secondo la ricerca di Cyberhaven ricerca, l’11 percento dei dati che i dipendenti inseriscono in ChatGPT è confidenziale. Quella cifra dovrebbe allarmare ogni CIO e leader delle comunicazioni. Stiamo parlando di codice sorgente, contratti con i clienti, roadmap di prodotti non ancora rilasciati, previsioni finanziarie e registri dei dipendenti che fluiscono in sistemi che le organizzazioni non controllano.

Come avviene l’esposizione dei dati

Gli ingegneri software possono utilizzare strumenti AI come Claude o ChatGPT per debuggere o ottimizzare pezzi di codice. Nel 2023, gli ingegneri software di Samsung hanno fatto proprio questo – hanno caricato il codice sorgente interno su ChatGPT mentre tentavano di risolvere problemi. La fuga di codice confidenziale ha costretto Samsung a implementare restrizioni comprehensive sull’utilizzo dell’AI in tutti i dipartimenti di ingegneria.

I professionisti del marketing e lo staff delle risorse umane spesso utilizzano l’AI per perfezionare la loro scrittura. Caricano bozzetti di proposte, documenti di politica interna e a volte anche accordi con i clienti, chiedendo all’AI di migliorare la chiarezza o correggere errori grammaticali. Questi documenti contengono frequentemente previsioni finanziarie, termini legali o piani strategici che i concorrenti troverebbero preziosi.

I team di assistenza clienti che sperimentano strumenti di efficienza AI a volte inseriscono conversazioni reali con i clienti e biglietti di supporto. Vogliono che l’AI riassuma le interazioni o suggerisca risposte migliori. Quando questi input includono nomi dei clienti, informazioni di contatto, dettagli dell’account o storia degli acquisti, l’azienda ha potenzialmente violato regolamenti sulla privacy come il GDPR o il CCPA.

I team di sviluppo del prodotto che brainstorming nuove funzionalità possono descrivere capacità non annunciate a ChatGPT, sperando che l’AI li aiuti a perfezionare le loro idee o identificare potenziali problemi. Queste descrizioni possono rivelare vantaggi competitivi, innovazioni tecnologiche o strategie di mercato che l’azienda intendeva mantenere confidenziali fino al lancio.

Tutta questa informazione potrebbe potenzialmente essere conservata da grandi modelli linguistici e informare le risposte dell’AI ad altri utenti in futuro.

Ad esempio, dopo che il team di sviluppo del prodotto ha descritto il loro prossimo prodotto a ChatGPT, un concorrente o un giornalista potrebbe chiedere allo strumento AI informazioni sui prossimi rilasci di quell’azienda. ChatGPT potrebbe fare riferimento alle informazioni confidenziali condivise e rivelare un nuovo prodotto o tecnologia su cui l’azienda ha investito notevoli risorse.

Come si sviluppa una crisi di PR

Quando questi incidenti si verificano, raramente rimangono contenuti come problemi IT. Ecco cosa di solito accade:

La violazione viene scoperta, spesso per caso o attraverso un allarme di terze parti. IT inizia a indagare mentre cerca di valutare la portata. Nel frattempo, se l’incidente coinvolge dati dei clienti o informazioni regolamentate, gli obblighi legali richiedono la divulgazione. Una volta divulgato, inizia la copertura dei media. I social media amplificano la storia. I clienti iniziano a chiamare con preoccupazioni. I dipendenti si preoccupano della sicurezza del lavoro e della loro responsabilità.

Entro 24-48 ore, ciò che è iniziato come un incidente tecnico è diventato una piena crisi di reputazione. L’azienda deve spiegare a più pubblici come è successo, perché i controlli hanno fallito e cosa si sta facendo per prevenire la recidiva. Se l’azienda non si è preparata per questo scenario, la risposta è spesso lenta, incoerente o difensiva. Ogni passo falso prolunga la crisi e approfondisce il danno.

Creare un framework di risposta alla crisi per incidenti AI

I CIO devono collaborare con i team delle comunicazioni e legali per costruire protocolli di risposta alla crisi specificamente per incidenti AI. I controlli tecnici e le politiche sono importanti, ma sono insufficienti senza un piano per gestire le ripercussioni dei media quando qualcosa va storto.

Ecco sei passi concreti per iniziare questo processo:

  1. Stabilire percorsi di escalation chiari. Quando viene scoperta un’esposizione di dati correlata all’AI, chi viene notificato immediatamente? IT, Legal, Communications e il C-suite dovrebbero essere tutti coinvolti rapidamente. Creare un albero decisionale che determini quando attivare i protocolli di crisi in base al tipo e alla sensibilità dei dati esposti.
  2. Sviluppare modelli di risposta. Pre-draftare dichiarazioni di attesa e documenti di Q&A per scenari comuni di errori AI. Questi dovrebbero affrontare l’abuso da parte dei dipendenti, problemi di sicurezza dei fornitori e esposizione accidentale dei dati. Avere modelli pronti consente risposte più rapide e coerenti quando il tempo è critico.
  3. Addestrare i portavoce. I dirigenti e lo staff delle comunicazioni necessitano di una formazione sui media specificamente focalizzata su come discutere incidenti AI. La tecnologia è complessa e piena di gergo, il che potrebbe essere difficile da navigare quando si rispondono a domande degli stakeholder.
  4. Monitorare i segnali di allarme precoci. Il monitoraggio dei social media dovrebbe includere parole chiave relative alla vostra organizzazione e strumenti AI. A volte il primo indizio di un problema proviene da un dipendente che pubblica su LinkedIn o un cliente che si lamenta su Twitter di una risposta generata dall’AI.
  5. Eseguire simulazioni di crisi. Esercitazioni da tavolo che ripercorrono uno scenario di esposizione dei dati AI aiutano i team a comprendere i loro ruoli e identificare lacune nel piano di risposta. Queste simulazioni dovrebbero coinvolgere IT, Legal, Communications, HR e leadership esecutiva.
  6. Costruire relazioni prima di averne bisogno. Stabilire connessioni con aziende di comunicazioni di crisi, esperti di sicurezza informatica che possono fornire convalida di terze parti e consulenti legali esperti in questioni correlate all’AI. Quando si verifica una crisi, si desiderano consulenti di fiducia che possano mobilitarsi immediatamente.

La strada verso il futuro

Il divario tra adozione dell’AI e governance dell’AI continua a crescere. I dipendenti hanno un accesso facile a strumenti potenti che possono creare rischi di reputazione significativi. I CIO si sono tradizionalmente concentrati sul lato tecnico della gestione del rischio AI. Tuttavia, la dimensione reputazionale degli incidenti AI richiede un’attenzione e una preparazione pari.

La domanda non è se la vostra organizzazione affronterà una crisi correlata all’AI. Dati i tassi di adozione attuali e la diffusione dell’AI ombra, la domanda è quando. Le aziende che si preparano ora, con politiche che affrontano sia i rischi tecnici che quelli di reputazione, supereranno meglio questi incidenti rispetto a quelle colte impreparate.

Related Topics:
mm

Vlad Drazdovich è Vice President of Performance Improvement and Analytics presso Red Banyan, un'agenzia di comunicazioni strategiche e gestione delle crisi. Come parte del suo ruolo, Vlad fornisce consulenza sulla strategia aziendale AI e sovraintende alle implementazioni tecnologiche basate su AI presso l'azienda.