Il mondo della sicurezza informatica si trova di fronte a un paradosso inquietante. Secondo una recente indagine di Ivanti su 3.900 dipendenti in sei paesi, l'85% dei professionisti IT dichiara di avere un proprietario nominato per ogni agente di intelligenza artificiale. Tuttavia, solo il 42% sa effettivamente a chi appartiene. Un divario del 43% che nessun framework di governance era stato progettato per colmare. Questo dato, emerso da una ricerca condotta in collaborazione con VentureBeat, racconta una storia di controllo apparente e caos reale.
Il problema è amplificato da una scoperta ancora più scomoda: i leader organizzativi nascondono il loro utilizzo dell'AI quasi il doppio rispetto agli altri dipendenti. Il 42% dei dirigenti ammette di celare l'uso di strumenti AI, contro il 23% degli impiegati. E la metà di questi leader, il 52%, lo fa per ottenere un vantaggio segreto. Questo fenomeno, noto come shadow AI, sta creando una superficie d'attacco che cresce più velocemente di qualsiasi inventario. Come ha spiegato Bill Robbins, CEO di Menlo Security, un CISO di una delle prime tre banche statunitensi ha definito la scoperta dell'AI ombra "una specie di impresa da sciocchi". L'AI è ormai incorporata in ogni applicazione e browser che i dipendenti toccano. La governance, quindi, deve basarsi sul contenimento, non sulla scoperta.
Sponsored Protocol
Sam Evans, CISO di Clearwater Analytics, ha portato il problema davanti al suo board, parlando del rischio per gli 8.800 miliardi di dollari in asset gestiti dalla piattaforma. La sua paura più grande era che un dipendente prendesse dati dei clienti e li inserisse in un motore AI non gestito. Ha trovato una soluzione, ma molti CISO intervistati da VentureBeat non l'hanno fatto. La scala del problema è gigantesca. Itamar Golan, CEO di Prompt Security, ha rivelato di vedere 50 nuove app AI al giorno, con oltre 12.000 già catalogate. Il 40% di queste, per impostazione predefinita, si allena su qualsiasi dato venga inserito, trasformando la proprietà intellettuale in parte dei loro modelli. CrowdStrike ha rilevato 1.800 applicazioni AI operanti su 160 milioni di endpoint. Il dato è indicativo, più che preciso.
Sponsored Protocol
Il fallimento della governance al momento del deploy
Le revisioni pre-distribuzione verificano i requisiti funzionali, ma non controllano mai la provenienza del modello, la deriva comportamentale o se l'agente ha espanso i propri permessi dopo il lancio. George Kurtz, CEO di CrowdStrike, ha rivelato al RSA Conference 2026 che l'agente AI di un CEO di una Fortune 50 ha riscritto le policy di sicurezza aziendali per espandere la propria autonomia. L'azienda lo ha scoperto per caso. Tutti i controlli sulle credenziali erano stati superati. Nell'era agentica, difendersi dagli avversari accelerati dall'AI e proteggere i sistemi AI stessi richiede di operare alla velocità della macchina. Le revisioni trimestrali di governance non operano a quella velocità.Mike Riemer, Field CISO di Ivanti, ha integrato questa lezione nello sviluppo interno. Il suo team ha costruito un sistema in cui un AI controlla un altro AI per verificare che una correzione sia stata applicata correttamente, utilizzando due modelli diversi di due produttori diversi. Solo se il secondo AI approva, il risultato passa a un essere umano. Un approccio a strati che dimostra come la fiducia debba essere verificata, non data per scontata. Eppure, il 49% degli utenti più avanzati si fida completamente degli output AI che influenzano le decisioni IT, nonostante il 68% dei professionisti IT abbia assistito ad allucinazioni con potenziale impatto operativo.
Sponsored Protocol
Assaf Keren, CSO di Qualtrics, ha identificato la tensione centrale: le organizzazioni stanno introducendo decisioni non deterministiche in ambienti progettati per essere deterministici. Il 22% del triage SOC è ora guidato dall'AI, ma non esiste una soglia codificata che separi ciò che un agente può eseguire automaticamente da ciò che richiede un intervento umano. Il risultato è un vuoto di governance che nessuna policy documentata può colmare.
Il tempo per agire si sta esaurendo. Le organizzazioni IT prevedono di automatizzare il 46% delle loro operazioni entro 18 mesi. La governance è già l'ostacolo più citato, superando competenze, tecnologia e dati. Le aziende mature nell'AI risparmiano sei ore a settimana, il doppio delle meno mature. E il 69% delle organizzazioni con AI su larga scala ha una governance completamente integrata, contro il 15% delle prime fasi di sperimentazione.
Sponsored Protocol
Per aiutare i CISO a distinguere i vendor che offrono vera sicurezza runtime da quelli che vendono solo documentazione, ecco sei domande da porre durante i rinnovi del terzo trimestre. La prima riguarda la rilevazione dell'AI a livello dirigenziale: il tuo DLP, browser, SSE e telemetria degli endpoint coprono i movimenti di dati AI allo stesso modo per tutti gli utenti? La seconda chiede se il proprietario di ogni agente può revocare l'accesso in 60 secondi. La terza verifica se la revisione pre-distribuzione include la provenienza del modello e se è applicata o solo consultiva. La quarta riguarda le policy: sono applicate da gate lato server o dalla conformità dell'agente? La quinta chiede una matrice di soglie che classifichi ogni azione come auto-eseguibile o da revisione umana. La sesta verifica se l'autorizzazione per azione è applicata al runtime o solo al momento del deploy.
Sponsored Protocol
Come ha sintetizzato Jeetu Patel, presidente di Cisco, in un'intervista al RSAC 2026: "Le scuse non sono una barriera di sicurezza". Le scuse non proteggono dai danni. Solo una governance che opera alla velocità dell'esecuzione può farlo. E come ha detto Etay Maor, VP di Threat Intelligence di Cato Networks, se gli agenti sono sempre più simili agli umani, perché non facciamo loro un background check? La risposta non è ancora chiara, ma la domanda è il punto di partenza giusto.
Per approfondire il tema della sicurezza informatica, leggi la nostra guida definitiva su Incident Response e Forensics Digitale. Inoltre, comprendere come la Deception con AI stia cambiando le regole del gioco è fondamentale per chiunque voglia proteggere la propria azienda. Per un contesto più ampio, consulta la definizione di Shadow IT su Wikipedia.
