Actualitat

Shadow AI: governar l’ús de la intel·ligència artificial dins l’empresa

NOTÍCIES

09/09/2025

Resum Executiu

El Shadow AI és avui una de les principals amenaces silencioses per a les organitzacions. No prové d’un hacker extern, sinó d’usuaris interns que utilitzen eines d’intel·ligència artificial sense control ni autorització.

Aquest ús no governat genera fuites de dades delicades, riscos de compliment normatiu i pèrdua de propietat intel·lectual. Davant d’una tecnologia que aporta productivitat immediata, prohibir-la no és efectiu i ignorar-la és letal. La resposta exigeix establir una governança sòlida, oferir alternatives segures i desplegar mecanismes de protecció.

Context

La irrupció de la IA generativa i dels copilots ha transformat la manera de treballar. L’atractiu és clar: resoldre en minuts tasques que abans requerien hores.

Tanmateix, l’adopció no sempre passa per canals oficials. Departaments de negoci, desenvolupadors i equips de màrqueting ja fan servir serveis externs sense el coneixement de TI o del CISO.

Això configura el fenomen del Shadow AI, equivalent a allò que fa una dècada va ser el shadow IT.

Principals Riscos

  1. Fuites d’informació delicada
    • Documents confidencials enviats a serveis que els utilitzen per entrenar models.
  2. Incompliment regulatori
    • GDPR (Europa), DORA (sector financer), BCRA (Argentina), ENS (Espanya).
    • Multes que poden superar els milions d’euros.
  3. Pèrdua de propietat intel·lectual
    • Codi, dissenys o algoritmes absorbits per models externs.
  4. Outputs insegurs i no auditables
    • Riscos en la presa de decisions basades en respostes errònies o manipulades.

 Impacte en el negoci

  • Financer: sancions, litigis i costos de remediació.
  • Competitiu: filtració de secrets industrials i avantatges estratègics.
  • Reputacional: pèrdua de confiança de clients, socis i inversors.
  • Operatiu: errors derivats de decisions basades en IA no fiable.

Pla d’Acció Recomanat

  1. Polítiques d’ús de la IA
    • Definir amb claredat què es pot i què no es pot fer.
    • Incloure exemples pràctics per a empleats.
  2. Models corporatius segurs
    • Desplegar copilots i models IA interns o sota entorns cloud controlats.
    • Garantir que les dades es mantenen privades.
  3. Eines de seguretat i monitoratge
    • Implantar DLP per evitar l’exfiltració de dades delicades.
    • Utilitzar CASB per monitorar l’ús de serveis d’IA no autoritzats.
  4. Governança i cultura
    • Crear un Comitè de Governança de la IA (CISO, Compliance, Legal, CIO).
    • Auditar els usos i establir formació contínua per a empleats.

Conclusió

El Shadow AI ja és dins de les empreses. Negar la seva existència és exposar-se a riscos invisibles però devastadors. Les organitzacions que aconsegueixin equilibrar productivitat i seguretat es posaran en avantatge.

La intel·ligència artificial pot ser una palanca d’innovació i competitivitat, però només si està ben governada i protegida.