L'IA è Ora il Principale Canale di Fuga dei Dati
Nell'ottobre 2025, LayerX Security ha pubblicato un rapporto che ha allarmato i CISO di tutto il mondo. La scoperta chiave: il 77% dei dipendenti incolla file sensibili negli strumenti di GenAI. Di questi, l'82% proviene da account personali non gestiti.
Il dato principale: la GenAI è responsabile del 32% di tutte le fughe di dati aziendali. È oggi il principale canale per il trasferimento non autorizzato di dati nelle imprese.
Non si tratta di un rischio futuro. Sta accadendo nella tua organizzazione proprio adesso.
I Numeri del Problema
| Dato | Valore | Fonte |
|---|---|---|
| Dipendenti che incollano dati in IA | 77% | LayerX 2025 |
| Fughe di dati tramite strumenti IA | 32% | LayerX 2025 |
| Utilizzo di ChatGPT tramite account personali | 67% | LayerX 2025 |
| Operazioni di incolla giornaliere per dipendente | 14 | LayerX 2025 |
| Operazioni con contenuto sensibile al giorno | 3+ | LayerX 2025 |
I dipendenti effettuano 14 operazioni di incolla al giorno da account personali. Almeno tre contengono dati sensibili. I vecchi strumenti DLP sono pensati per i file. Non intercettano affatto le attività basate sull'incolla.
Perché Vietare l'IA Non Funziona
Samsung ha vietato ChatGPT dopo che alcuni dipendenti avevano fatto trapelare codice sorgente. Il divieto non ha retto.
Gli strumenti di IA rendono le persone più produttive. Le ricerche mostrano che gli sviluppatori che usano l'IA completano i task il 55% più velocemente. Quando si blocca l'IA, i dipendenti fanno una di queste tre cose:
- La usano comunque tramite account personali — il 67% lo fa già
- Perdono produttività e si risentono della restrizione
- Cambiano datore di lavoro scegliendo aziende che consentono l'IA
Un divieto sposta il rischio, non lo elimina.
La Violazione delle Estensioni che ha Colpito 900.000 Utenti
Nel dicembre 2025, OX Security ha scoperto due estensioni Chrome malevole. Insieme avevano oltre 900.000 utenti. Entrambe rubavano conversazioni da ChatGPT e DeepSeek.
Una di esse portava il badge "In evidenza" di Google — un segnale di fiducia per gli utenti.
Entrambe operavano allo stesso modo:
- Catturavano il contenuto delle chat in tempo reale
- Lo memorizzavano sul dispositivo della vittima
- Lo inviavano in batch a server remoti ogni 30 minuti
Un'indagine separata ha rilevato estensioni VPN gratuite con oltre 8 milioni di download che raccoglievano conversazioni IA dal luglio 2025.
Per maggiori dettagli sulle minacce a livello browser, consulta la nostra guida alla sicurezza delle estensioni Chrome.
Bloccare le Fughe Prima dell'Invio del Prompt
L'unica difesa efficace: mascherare il PII prima che raggiunga l'IA. Intervenire a posteriori è già troppo tardi.
È quello che fanno l'estensione Chrome e il server MCP di anonym.legal.
Estensione Chrome
- Blocca il testo prima che venga inviato a ChatGPT, Claude o Gemini
- Rileva e sostituisce il PII: "Mario Rossi" → `[PERSON_1]`
- Ripristina i nomi nella risposta dell'IA
Server MCP (per sviluppatori)
- Funziona con Claude Desktop, Cursor e VS Code
- Agisce come proxy trasparente — il flusso di lavoro rimane invariato
- Il PII viene mascherato prima che i prompt lascino il tuo dispositivo
Cosa Viene Protetto
Entrambi gli strumenti riconoscono oltre 285 tipi di entità in 48 lingue:
- Dati personali — nomi, email, numeri di telefono, date di nascita
- Finanziari — numeri di carta di credito, conti bancari, IBAN
- Governativi — codici fiscali, numeri di passaporto, patenti di guida
- Sanitari — numeri di cartella clinica, ID paziente
- Aziendali — ID dipendente, numeri di conto interno
In caso di violazione — come quella dei 900.000 utenti — non c'è nulla da recuperare. Nei log delle chat rimangono solo token mascherati.
Il Costo dell'Inazione
Pensa a cosa i dipendenti incollano negli strumenti IA ogni giorno:
- Report finanziari inviati per revisione
- Dati dei clienti usati nelle chat di supporto
- Codice sorgente condiviso per la risoluzione di bug
- Documenti legali inviati per sintesi
- Cartelle cliniche elaborate per ricavare informazioni
Il rapporto IBM Cost of a Data Breach 2024 fissa il costo medio di una violazione a 4,88 milioni di dollari. L'aggiornamento IBM 2025 porta le violazioni sanitarie a 7,42 milioni di dollari — ancora il valore più alto in qualsiasi settore.
L'estensione Chrome è gratuita. Il server MCP è incluso nei piani Pro a partire da €15/mese.
Inizia Oggi
L'IA è qui per restare. Il tuo personale la usa già. Il rapporto LayerX dimostra che gli strumenti tradizionali sono ciechi alle fughe basate sull'IA. Hai bisogno di controlli progettati per questo canale.
- Installa l'estensione Chrome (gratuita)
- Configura il server MCP (piano Pro)
- Confronta Nightfall vs. anonym.legal
anonym.legal maschera il PII prima che raggiunga qualsiasi modello IA. L'elaborazione nel browser avviene in locale. Nessun contenuto di chat transita sui server di anonym.legal durante il processo.