Milano, 21 maggio 2026 – Nel mondo digitale italiano, lo shadow IT non è più soltanto un terreno di gioco per hacker o cyberpirati. Sono sempre più spesso i product manager che, da soli e nei fine settimana, costruiscono strumenti e applicazioni non ufficiali. Soluzioni fatte in casa che però possono mettere a rischio i dati sensibili di aziende e pubbliche amministrazioni.
Shadow IT: il problema nascosto dentro le aziende
Le ultime indagini dell’Osservatorio Cybersecurity del Politecnico di Milano dicono chiaro che almeno un’azienda su tre, sia nelle grandi città come Milano e Roma che in realtà più piccole, si trova a fare i conti con software nati fuori dal controllo IT. Come spiega Marco Carbone, responsabile sicurezza di un gruppo bancario lombardo, “basta un account Google personale o un semplice strumento cloud per condividere file critici senza alcun controllo. Il guaio? Chi li crea spesso non vede i rischi”. Queste soluzioni parallele, nate per velocizzare il lavoro o aggirare limiti tecnici delle infrastrutture ufficiali, stanno diventando una prassi comune – con conseguenze dirette sulla sicurezza dei dati.
Il weekend? Tempo di lavoro… e rischi
Da diverse testimonianze raccolte emerge un dettaglio importante: lo shadow IT prende forma spesso fuori dall’orario d’ufficio, nel fine settimana. Non è raro scoprire project manager, sviluppatori e analisti che tra sabato e domenica si mettono a creare fogli di calcolo condivisi, database improvvisati o piccoli software automatici. Tutto fatto con buone intenzioni – almeno così pensano – ma senza rispettare le regole aziendali di sicurezza. “Nel weekend riesco a concentrarmi meglio e risolvere le urgenze che durante la settimana non posso seguire”, racconta Paola M., product manager in una società digitale milanese. Peccato però che proprio in questi momenti nascono le maggiori vulnerabilità.
Dati sensibili: quali sono i rischi reali
I problemi più grossi legati allo shadow IT riguardano la perdita di controllo sugli accessi ai dati (clienti, fornitori, dipendenti), la mancata applicazione delle norme del GDPR e la facilità con cui documenti riservati possono essere copiati o passati tramite strumenti poco sicuri. Andrea Visconti, consulente per la privacy, avverte: “In tante PMI italiane ci sono liste clienti o documenti fiscali salvati in cartelle cloud personali. Se scoppia un data breach, la responsabilità è comunque dell’azienda”. Solo allora si scoprono le falle lasciate aperte.
Innovare velocemente può essere un boomerang
Dietro questa voglia di creare strumenti digitali da sé c’è una necessità concreta: accelerare le decisioni e bypassare la burocrazia. Ma come fa notare l’Associazione Italiana per la Sicurezza Informatica, “spesso il rischio informatico viene visto come un ostacolo invece che parte dell’innovazione”. Nel tentativo di risparmiare tempo e risorse nasce così una zona grigia fatta di app, plugin e fogli elettronici fuori controllo. Un fenomeno diffuso soprattutto nei settori più dinamici come fintech, consulenza e marketing digitale.
Come reagire: regole chiare e formazione
Di fronte a questo fenomeno in crescita molte aziende stanno reagendo con policy più trasparenti e momenti di formazione interna rivolti ai dipendenti. “Non si tratta solo di vietare o bloccare”, spiega Davide Sartori, CIO di una società informatica veneta. “Serve coinvolgere chi lavora nel business per scegliere insieme gli strumenti digitali da usare davvero”. Alcune realtà hanno introdotto sistemi automatici per individuare app non autorizzate; altre puntano su team misti con informatici e product manager. Ma la parola chiave resta sensibilizzazione: secondo un sondaggio Assintel dello scorso aprile il 67% dei dipendenti ammette di aver usato almeno una volta tool non approvati dall’IT.
Uno scenario che cambia in fretta
Lo shadow IT sta diventando uno degli aspetti più delicati della sicurezza digitale nelle aziende italiane. Non solo mette a rischio i dati sensibili – sanitari, fiscali, anagrafici – ma mina anche la fiducia tra lavoratori e reparti IT. Per affrontarlo servono interventi mirati e soprattutto un cambio culturale condiviso da tutte le figure coinvolte. Come ha riassunto un responsabile della sicurezza di una grande multinazionale farmaceutica milanese: “Solo lavorando insieme si può davvero proteggere ciò che conta”.