anonym.legal

By · Last updated 2026-03-09

Tornar al BlogSeguretat de la IA

Prohibicions d'IA a les empreses: productivitat vs. risc

El 27,4% del contingut dels xats d'IA empresarials conte dades sensibles -- un augment del 156% interanual. Tot i aixo, el 71,6% de l'acces a la IA empresarial succeeix fora dels controls corporatius.

March 9, 20269 min llegit
enterprise AI securityChatGPT banAI data controlsshadow AI

L'ona de prohibicions d'IA a les empreses

Al llarg dels ultims dos anys, la majoria de les grans empreses van prohibir les eines d'IA publiques. Les prohibicions van arribar rapidament. Cobrien ChatGPT i eines similars.

La llista inclou JPMorgan Chase, Deutsche Bank, Wells Fargo, Goldman Sachs, Bank of America, Apple i Verizon. Totes elles van bloquejar ChatGPT i eines similars.

El desencadenant va ser Samsung. El 2023, Samsung va aixecar la seva prohibicio interna de ChatGPT. En un mes, es van produir tres filtracions. Empleats van enganxar codi de semiconductors a ChatGPT. Altres van enganxar codi de deteccio de defectes. Altres van enganxar actes de reunions. Tot va anar als servidors d'OpenAI. Samsung no tenia manera de recuperar-ho. La prohibicio va tornar.

Els equips de seguretat van prendre el cas Samsung com una llico clara. Si una empresa tecnologica no pot aturar les filtracions, bloquegeu les eines. Senzill.

O aixo es pensaven.

Per que les prohibicions van fracassar

Actualitzat per al 2026

El 27,4% de tot el contingut introduit als xats d'IA empresarials conte dades sensibles. Aixo es un augment del 156% interanual (Zscaler 2025 Data@Risk Report).

Aquesta xifra ens diu que va passar despres de les prohibicions: els empleats van continuar usant la IA. Simplement van canviar als comptes personals.

El 71,6% de l'acces d'IA empresarial ara succeeix a traves de comptes no corporatius. Aixo ignora tots els controls DLP corporatius (LayerX 2025 Enterprise GenAI Security Report).

La prohibicio no va aturar l'us de la IA. Va enviar la IA a la clandestinitat.

Un desenvolupador amb un compte corporatiu era almenys visible per a la seguretat. Es creaven registres. Les alertes DLP s'activaven. Quan aquell desenvolupador va canviar a un compte personal en el mateix dispositiu, tota la visibilitat va desapareixer. Les mateixes dades. Zero supervisio.

Prohibir el compte corporatiu no prohibeix el comportament. El mateix servei esta a un compte personal de distancia.

Que envien els empleats a la IA

L'Informe Zscaler 2025 Data@Risk mostra que envien els empleats als xats d'IA. La xifra del 27,4% de dades sensibles cobreix aquests tipus:

  • Informacio empresarial propietaria i secrets comercials
  • Dades de clients -- noms, detalls de contacte, numeros de compte
  • Informacio personal dels empleats
  • Codi font, de vegades amb credencials incrustades
  • Dades financeres -- guanys no publicats, termes d'operacions, valors de contractes
  • Comunicacions juridiques i privilegiades

L'augment del 156% interanual (Zscaler 2025) no vol dir que els empleats s'hagin tornat descuidats. Reflecteix el creixement de l'adopcio. Mes treballadors utilitzen la IA per a mes tasques. Mes dades sensibles flueixen com a resultat.

El cost de productivitat

El cas de seguretat per prohibir la IA es clar. El cas de productivitat en contra tambe ho es.

La recerca mostra que les eines d'IA produeixen grans guanys per als treballadors del coneixement:

  • Els desenvolupadors amb eines de codificacio d'IA acaben les tasques mes rapidament
  • Els equips juridics que utilitzen la IA per a la revisio de documents processen mes fitxers per hora
  • Els equips d'atencio al client que utilitzen la IA per als esborranys gestionen mes tikets per torn

Quan les empreses prohibeixen la IA per als desenvolupadors els rivals dels quals l'utilitzen lliurement, la bretxa es real. Els analistes sense eines d'IA queden enrere. Els companys d'altres empreses utilitzen la IA cada dia. La bretxa de resultats creix.

La taxa de bypass del 71,6% no es nomes incompliment de les normes. Es racional. El guany de la IA es prou gran com perque els empleats acceptin el risc de la politica. No renunciaran a l'eina. La prohibicio els demana que perdin un avantatge en el que confien.

La solucio tecnica

La preocupacio de seguretat es real. Les dades sensibles que flueixen a proveïdors d'IA externs creen un risc real. Pero la solucio es tecnica -- no una prohibicio que els empleats eludeixin.

L'enfocament: anonimitzar les dades sensibles abans que arribin al model d'IA.

Aixo es com funciona. Un desenvolupador enganxa una consulta de base de dades amb ID de clients a Claude:

  1. El desenvolupador enganxa la consulta -- ID de clients, numeros de compte, noms inclosos
  2. Una capa d'anonimitzacio intercepta abans de la transmissio
  3. Els ID de clients es converteixen en [ID_1], els numeros de compte en [COMP_1], els noms en [CLIENT_1]
  4. La consulta anonimitzada arriba a Claude
  5. La resposta de Claude utilitza els mateixos tokens
  6. El desenvolupador llegeix la resposta i entren la solucio

Claude no va processar cap dada real de clients. Les dades sensibles mai van sortir de la xarxa corporativa. El desenvolupador va obtenir l'ajuda que necessitava. La seguretat no te res a investigar.

Servidor MCP per a desenvolupadors

Els desenvolupadors que utilitzen Claude Desktop o Cursor IDE necessiten un proxy transparent. El Protocol de Context de Model (MCP) en proporciona un.

El servidor MCP d'anonym.legal s'interposa entre el client d'IA del desenvolupador i l'API del model d'IA. Tot el text enviat a traves de MCP passa primer per la capa d'anonimitzacio. Aixo cobreix els continguts dels fitxers, fragments de codi, missatges d'error i fitxers de configuracio.

Des del punt de vista del desenvolupador, utilitzen Claude o Cursor normalment. L'anonimitzacio es invisible.

Des del punt de vista de l'equip de seguretat, ni codi propietari ni dades de clients surten de la xarxa en forma llegible. El model rep versions anonimitzades. Les respostes es desanonimitzen al retorn.

Aixo aborda el problema de Samsung directament. Aquells empleats que van enganxar codi font a ChatGPT haurien enviat codi anonimitzat. Els detalls propietaris haurien estat reemplacats per tokens abans d'arribar a OpenAI.

Extensio de Chrome per a la IA del navegador

El servidor MCP cobreix la IA integrada en IDE. La IA basada en navegador -- Claude.ai, ChatGPT, Gemini -- necessita una capa separada.

L'extensio de Chrome intercepta el text abans que s'enviï a traves del navegador. S'executa la mateixa capa d'anonimitzacio. Noms, identificadors d'empresa, secrets de codi font i xifres financeres es converteixen en tokens. Es reemplacen abans que el prompt arribi als servidors del proveidor.

El servidor MCP per a IDE mes l'extensio de Chrome per als navegadors cobreix cada punt de contacte d'IA a l'empresa. Junts tanquen el bucle.

El cas de negoci

Per als CISOs que presenten aquest enfocament a la direccio, el cas te tres parts:

1. Seguretat equivalent a una prohibicio -- El que arriba als proveïdors d'IA externs no conte dades sensibles recuperables. Una violacio del proveidor d'IA no donaria res util. Cap dada de clients. Cap propietat intel-lectual. Cap detall d'operacions.

2. Cap perdua de productivitat -- Els empleats utilitzen les eines d'IA normalment. L'anonimitzacio es transparent. La qualitat dels resultats es manté. Els models d'IA funcionen igual de be amb contingut pseudonimitzat que amb dades reals.

3. Elimina el bypass -- La taxa de bypass del 71,6% en comptes personals mostra que els empleats trien la productivitat per sobre de la politica. Quan poden usar la IA a traves de comptes corporatius sense risc, el motiu del bypass desapareix. La seguretat recupera la plena visibilitat de l'us de la IA.

El manual despres de la prohibicio

Per a les empreses amb prohibicions d'IA que estan preparades per avancar, la transicio s'executa en quatre fases:

Fase 1 -- Setmanes 1-2: Desplegueu l'extensio de Chrome a traves de la politica de Chrome Enterprise a tots els dispositius corporatius. Aixo dona una interceptacio immediata a nivell de navegador per als empleats que ja estan usant comptes personals.

Fase 2 -- Setmanes 3-4: Desplegueu el servidor MCP a les estacions de treball dels desenvolupadors. Configureu patrons d'entitats personalitzats per als identificadors interns -- codis de producte, formats de compte i termes propietaris.

Fase 3 -- Mes 2: Aixequeu la prohibicio d'IA per als comptes corporatius. Els empleats ara poden usar la IA amb controls tecnics en lloc de nomes politica.

Fase 4 -- Continu: Monitoritzeu l'activitat d'anonimitzacio. Seguiu quins tipus de dades estan mes en risc. Useu-ho per establir prioritats de formacio i ajustar la deteccio d'entitats.

L'incident de Samsung va desencadenar l'ona de prohibicions d'IA empresarials. Va ser un fracas de seguretat. No va ser una propietat inherent de les eines d'IA. Els controls tecnics que no existien quan Samsung va ser colpejada ara existeixen. Els equips de seguretat poden desplegar-los. O poden continuar depenent de prohibicions que el 71,6% dels empleats ja eludeixen.

El servidor MCP i l'extensio de Chrome d'anonym.legal proporcionen la capa de control tecnic per a la IA empresarial. Les dues eines funcionen de manera transparent. Els empleats utilitzen la IA normalment. Les dades sensibles s'anonimitzen abans d'arribar als proveïdors d'IA externs.

Vegeu tambe:

Fonts

Articles Relacionats

Seguretat de la IA

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Seguretat de la IA

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Seguretat de la IA

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.