Alla luce della rapida adozione della genAI, l’intelligenza artificiale generativa, anche nel mondo Finance, cresce il rischio di esposizione di dati sensibili, sia finanziari sia relativi ai clienti. In base agli ultimi risultati del report annuale dei ricercatori dei Netskope Threat Labs dedicato al settore, i dati regolamentati rappresentano il 59% di tutte le violazioni delle policy sui dati legate all’uso della genAI: un dato che evidenzia la portata della sfida nella protezione delle informazioni soggette a compliance. Anche la proprietà intellettuale (20%), il codice sorgente (11%) e password e chiavi API (9%) contribuiscono ai rischi di esposizione.

Questi rischi sono particolarmente rilevanti considerando quanto l’uso della genAI sia ormai diffuso nel settore dei servizi finanziari: il 70% degli utenti utilizza attivamente strumenti di genAI e il 97% interagisce indirettamente con applicazioni che integrano funzionalità basate su genAI. Inoltre, il 94% degli utenti utilizza applicazioni di genAI che si basano sui dati degli utenti per l’addestramento.

Allo stesso tempo, le organizzazioni stanno facendo progressi nella riduzione dell’uso della cosiddetta “shadow AI”. La percentuale di utenti che utilizzano applicazioni genAI personali è diminuita significativamente, passando dal 76% al 36% nell’ultimo anno, mentre l’adozione di soluzioni genAI gestite dall’organizzazione è cresciuta dal 33% al 79%. Tuttavia, il numero di utenti che passano da account personali a quelli aziendali è aumentato dal 9% al 15%, accrescendo il rischio che dati finanziari sensibili vengano trasferiti tra ambienti non gestiti e ambienti sicuri.

Anche l’ecosistema genAI si sta diversificando. ChatGPT resta l’applicazione più utilizzata, adottata dal 76% delle organizzazioni, seguita da Google Gemini con il 68%. Nuovi strumenti stanno però guadagnando rapidamente terreno: Google NotebookLM ha raggiunto il 39% di adozione, mentre AssemblyAI è cresciuta rapidamente dall’1% di giugno 2025 al 37%, riflettendo la crescente domanda di capacità AI specializzate. Parallelamente, le organizzazioni adottano un approccio prudente al rischio: strumenti come ZeroGPT (46%), DeepSeek (44%) e PolitePost (43%) sono tra le applicazioni genAI più frequentemente bloccate per motivi di sicurezza e conformità.

Oltre all’AI, anche l’uso di cloud personali e applicazioni online sul posto di lavoro continua a generare rischi per la sicurezza dei dati. I dati regolamentati rappresentano il 65% delle violazioni delle policy nei servizi personali, dimostrando che le informazioni finanziarie sensibili sono maggiormente esposte quando i dipendenti operano al di fuori di ambienti gestiti. Nel settore dei servizi finanziari, LinkedIn (92%), Google Drive (84%) e ChatGPT (77%) sono tra le applicazioni personali più utilizzate sul lavoro.

A questi rischi si aggiunge il fatto che gli attaccanti sfruttano sempre più spesso piattaforme cloud affidabili per distribuire malware. GitHub è oggi la piattaforma più abusata per la diffusione di malware, coinvolgendo l’11% delle organizzazioni, seguita da Microsoft OneDrive con l’8%. Utilizzando infrastrutture cloud legittime anziché domini sospetti, gli attaccanti riescono a mimetizzare le attività malevole nel traffico normale, rendendo le minacce molto più difficili da individuare.

“Man mano che le istituzioni finanziarie accelerano l’adozione dell’intelligenza artificiale generativa, aumentano anche i canali attraverso cui i dati sensibili possono essere esposti. Sebbene il passaggio verso strumenti gestiti dall’organizzazione sia un passo positivo, i nostri dati mostrano che i rischi persistono, soprattutto dove si sovrappongono utilizzi personali e aziendali. Per ridurre il rischio, le organizzazioni devono adottare un approccio multilivello: ispezionare tutto il traffico web e cloud per bloccare il malware, limitare le applicazioni non essenziali e utilizzare soluzioni di prevenzione della perdita di dati per proteggere le informazioni sensibili. Tecnologie come l’isolamento remoto del browser svolgono inoltre un ruolo chiave nel consentire un accesso sicuro ai siti web a maggiore rischio”, commenta Ray Canzanese, Director di Netskope Threat Labs.