Shadow AI, ISO 42001 e il nuovo rischio di board in oil & gas

Il rischio si è spostato dall'IT al consiglio di amministrazione

Fino al 2024, il rischio IA in oil & gas era una conversazione IT. I modelli in produzione erano limitati, ben delimitati, supervisionati. Le cose sono cambiate quando l'IA generativa è diventata gratuita e ubiqua. Oggi geologi, ingegneri di perforazione, responsabili contratti e leader di joint venture incollano informazioni riservate in ChatGPT, Claude, Gemini e Copilot ogni giorno — non con cattive intenzioni, ma perché il guadagno di produttività è reale e il vuoto di policy è totale.

Questo è shadow AI. E in oil & gas, dove un dataset sismico filtrato, una simulazione di giacimento o un accordo tra partner possono avere conseguenze a nove cifre, ha smesso di essere un fastidio operativo ed è diventato un fallimento di governance a livello di board. Il mercato delle assicurazioni D&O se ne è accorto. I grandi revisori anche. E anche i partner di JV ai quali le operatrici rispondono in base ad accordi di operazione scritti prima che tutto questo esistesse.

Come appare shadow AI in oil & gas, in concreto

Quando facciamo audit sull'uso dell'IA all'interno di operatrici in Argentina, Colombia e Brasile, emergono sempre gli stessi tre pattern. Nessuno richiede un attaccante sofisticato. Servono solo personale inconsapevole e visibilità zero.

Dati di giacimento e geologici in LLM pubblici

Gli ingegneri incollano riassunti di well log, curve di declino e output di modelli di giacimento in ChatGPT per ottenere un'interpretazione più rapida. Quei dati sono ora in una finestra di retention di terze parti — a volte usati per addestrare modelli futuri, a volte soggetti a discovery in contenziosi, quasi sempre invisibili alla funzione di compliance dell'operatrice. Una volta usciti, non tornano.

Informazioni di contraenti e JV tramite account personali

I team contratti usano account LLM personali per riassumere accordi tra partner, AFE e documenti di gara. Le clausole di riservatezza del contraente stesso vengono violate nel momento esatto in cui il documento viene incollato. L'operatrice tipicamente lo scopre durante un audit dei partner — momento in cui la fuga ha mesi e la catena di custodia è irrecuperabile.

Decisioni adiacenti a OT influenzate da IA non governata

Questo è quello che spaventa le operatrici quando lo vedono. Tecnici di manutenzione, ingegneri di produzione e supervisori di campo iniziano a chiedere all'IA generativa orientamento su decisioni operative — impostazioni di choke, sequenziamento di interventi, interpretazione di allarmi. Il modello non è connesso all'ambiente OT, ma l'umano che agisce sul suo output sì. ISO 27019 è stata scritta per la sicurezza OT. Non ha anticipato questa superficie di attacco, e la maggior parte delle operatrici nemmeno.

Perché ISO 42001 è diventato uno standard di board

ISO 42001 è stato pubblicato a fine 2023 come il primo standard certificabile a livello internazionale per i Sistemi di Gestione dell'IA. Conta perché dà a board, revisori e regolatori un quadro comune e auditabile per porre la domanda: come governi l'IA nel tuo business? Prima che esistesse, la risposta era un collage di framework volontari (NIST AI RMF, principi OCSE, policy interne) che nessuna parte esterna poteva verificare in modo uniforme.

Per un'operatrice oil & gas, il valore non è il certificato. È la disciplina che lo standard impone: un inventario IA, una policy di ciclo di vita, tracciabilità delle decisioni assistite da modello, ruoli e responsabilità definiti, e miglioramento continuo su un loop PDCA che il resto del sistema di gestione già esegue. Quella disciplina è ciò che risponde alla domanda di dovere di diligenza.

Lo stack: ISO 27001, ISO 27019, ISO 42001

Un audit shadow AI di 90 giorni — playbook concreto

La maggior parte delle operatrici con cui parliamo non ha bisogno di un programma pluriennale per iniziare. Devono smettere di essere ciechi. Un audit di 90 giorni vi porta da ciechi a baseline. Non è lo stato finale — è la posizione da cui un board può porre la domanda successiva.

• Giorni 1-15 — Sondaggio anonimo al personale. Quali strumenti IA vengono realmente usati, da chi e per cosa. Aspettatevi sorprese: tipicamente da 3 a 5 volte più strumenti di quanto l'IT pensi siano in gioco.
• Giorni 16-30 — Revisione di egress e log SaaS. Incrociate il sondaggio con la telemetria di rete. Identificate il gap tra uso dichiarato e uso reale.
• Giorni 31-60 — Inventariate i sistemi IA che la vostra organizzazione esegue o da cui dipende, inclusa l'IA incorporata in SaaS che il team contratti non ha segnalato come IA. Classificate per sensibilità dei dati e impatto operativo.
• Giorni 61-75 — Mappate ogni uso dell'IA a un proprietario di controllo. Definite una policy di uso accettabile temporanea con linee rosse chiare per decisioni adiacenti a OT, dati di giacimento e informazioni dei partner.
• Giorni 76-90 — Presentate l'inventario, la mappa dei rischi e il programma proposto al board o al comitato di audit. Questo è l'artefatto che converte shadow AI da voce a problema governabile.

Dove andrà avanti

Le operatrici che arriveranno al prossimo round di audit JV con un inventario IA, una policy di uso accettabile documentata e un percorso verso l'allineamento con ISO 42001 saranno in una conversazione fondamentalmente diversa da quelle che no. Gli assicuratori le valuteranno diversamente. I regolatori le tratteranno diversamente. I board potranno rispondere alla domanda di dovere di diligenza senza improvvisare.

La finestra per arrivare preparati è aperta ora e si chiude rapidamente. Il primo passo è lo stesso di ogni precedente cambio di governance in questo settore: sappiate cosa avete prima che qualcun altro vi dica cosa non avete.