La crisi dell'esfiltrazione dei dati tramite IA
Nell'ottobre 2025, LayerX Security ha rilasciato risultati che dovrebbero allarmare ogni CISO: il 77% dei dipendenti incolla dati negli strumenti GenAI, con l'82% di tale attività proveniente da account personali non gestiti.
Ancora più preoccupante: GenAI ora rappresenta il 32% di tutta l'esfiltrazione di dati aziendali—rendendolo il vettore numero 1 per il movimento non autorizzato dei dati nell'impresa.
Questo non è un problema futuro. Sta accadendo proprio ora, ogni giorno, nella tua organizzazione.
I numeri sono sconcertanti
| Risultato | Dati | Fonte |
|---|---|---|
| Dipendenti che incollano dati nell'IA | 77% | LayerX 2025 |
| Esfiltrazione di dati tramite strumenti IA | 32% | LayerX 2025 |
| Utilizzo di ChatGPT tramite account non gestiti | 67% | LayerX 2025 |
| Incollaggi giornalieri tramite account personali | 14 per dipendente | LayerX 2025 |
| Incollaggi contenenti dati sensibili | 3+ al giorno | LayerX 2025 |
In media, i dipendenti eseguono 14 incollaggi al giorno tramite account personali, con almeno tre contenenti dati sensibili. Gli strumenti DLP tradizionali, costruiti attorno al monitoraggio centrato sui file, non registrano nemmeno questa attività.
Perché vietare l'IA non funziona
Samsung ha provato a vietare ChatGPT dopo che i dipendenti hanno trapelato il codice sorgente. Non ha funzionato.
La realtà è che gli strumenti di IA rendono i dipendenti significativamente più produttivi. Secondo la ricerca, gli sviluppatori che utilizzano assistenti IA completano i compiti il 55% più velocemente. Quando vieti l'IA, i dipendenti:
- La usano comunque tramite account personali (il 67% già lo fa)
- Perdono produttività e diventano frustrati
- Se ne vanno verso i concorrenti che abbracciano l'IA
La risposta non è il divieto—è la protezione.
La violazione dell'estensione Chrome con 900.000 utenti
Nel dicembre 2025, OX Security ha scoperto due estensioni Chrome malevole che avevano rubato conversazioni di ChatGPT e DeepSeek da oltre 900.000 utenti.
Una di queste estensioni aveva il badge "In evidenza" di Google—il presunto marchio di affidabilità.
Le estensioni funzionavano:
- Intercettando conversazioni in chat in tempo reale
- Memorizzando i dati localmente sui computer delle vittime
- Esfiltrando lotti a server di comando e controllo ogni 30 minuti
Ancora peggio: un'indagine separata ha trovato estensioni "VPN gratuite" con oltre 8 milioni di download che catturavano conversazioni IA da luglio 2025.
La soluzione: Intercettare prima della sottomissione
L'unico modo per utilizzare l'IA in sicurezza proteggendo i dati sensibili è anonymizzare i PII prima che raggiungano il modello IA.
Questo è esattamente ciò che fa l'estensione Chrome di anonym.legal e il server MCP:
Estensione Chrome
- Intercetta il testo prima di inviarlo a ChatGPT, Claude o Gemini
- Rileva automaticamente e anonymizza i PII (nomi, email, SSN, ecc.)
- Sostituisce i dati sensibili con token: "John Smith" → "[PERSON_1]"
- De-anonymizza le risposte dell'IA in modo da vedere i nomi originali
Server MCP (per sviluppatori)
- Si integra con Claude Desktop, Cursor e VS Code
- Proxy trasparente—interagisci normalmente con l'IA
- I PII vengono anonymizzati prima che i prompt raggiungano il modello
- Funziona con i tuoi flussi di lavoro esistenti
Cosa viene protetto
Entrambi gli strumenti rilevano e anonymizzano oltre 285 tipi di entità in 48 lingue:
- Personale: Nomi, indirizzi email, numeri di telefono, date di nascita
- Finanziario: Numeri di carte di credito, conti bancari, IBAN
- Governo: SSN, numeri di passaporto, patenti di guida
- Sanitario: Numeri di cartelle cliniche, ID pazienti
- Aziendale: ID dipendenti, numeri di account interni
Anche se la tua cronologia chat IA è compromessa (come quei 900.000 utenti), non ci sono PII recuperabili—solo token anonymizzati.
Implementazione: 5 minuti per la protezione
Estensione Chrome
- Scarica da anonym.legal/features/chrome-extension
- Accedi con il tuo account anonym.legal
- Visita ChatGPT, Claude o Gemini
- Digita normalmente—i PII vengono rilevati e anonymizzati automaticamente prima dell'invio
Server MCP (per Claude Desktop)
Aggiungi al tuo claude_desktop_config.json:
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anthropic/mcp-server-anonym-legal"],
"env": {
"ANONYM_API_KEY": "your-api-key"
}
}
}
}
Il costo dell'inazione
Considera cosa è a rischio:
- Dati finanziari incollati nell'IA per analisi
- Informazioni sui clienti utilizzate nelle richieste di supporto
- Codice sorgente condiviso per il debug
- Documenti legali riassunti dall'IA
- Cartelle cliniche elaborate per approfondimenti
Una singola violazione dei dati costa in media 4,88 milioni di dollari (IBM 2024). La media della violazione sanitaria ora costa 7,42 milioni di dollari (IBM 2025)—in calo rispetto a 9,77 milioni nel 2024, ma comunque ben oltre ogni altro settore.
L'estensione Chrome è gratuita. Il server MCP è incluso nei piani Pro a partire da €15/mese.
Conclusione
L'IA è qui per restare. I tuoi dipendenti la stanno già utilizzando—la domanda è se lo stanno facendo in sicurezza.
I risultati di LayerX chiariscono: gli approcci di sicurezza tradizionali sono ciechi all'esfiltrazione di dati tramite IA. Hai bisogno di strumenti specificamente progettati per proteggere i dati prima che raggiungano i modelli IA.
Inizia a proteggere la tua organizzazione oggi:
- Installa l'estensione Chrome (gratuita)
- Configura il server MCP (piano Pro)
- Visualizza tutte le funzionalità
Fonti: