Cybersicurezza e intelligenza artificiale saranno anche nel 2026 le due aree di maggiore attenzione per le aziende, aree in cui si concentreranno gli investimenti strategici ma anche quelli necessari per fronteggiare i rischi e le sfide del futuro. Sono in molti a dirlo, e tra gli osservatori del mercato c’è Deloitte: nell’edizione italiana dell’ultima sua “Global Future of Cyber Survey 2025” (condotta su 1.200 executive e C-level in ambito cyber, tra cui 54 italiani), il 75% delle organizzazioni prevede di aumentare gli investimenti in cybersecurity per fronteggiare i sempre più sofisticati attacchi, anche basati su intelligenza artificiale
Sei aziende italiane su dieci, inoltre, hanno scelto di creare (o erano in procinto di farlo) un organo di governance dedicato alla sicurezza informatica, con compiti di supervisione su investimenti e competenze. Dal report è anche emerso che nel 69% delle aziende i temi di cybersicurezza vengono discussi a livello di board almeno su base mensile, se non più spesso (nel 26% ogni settimana).
Quasi tutti gli intervistati italiani, il 94%, hanno detto di considerare l'intelligenza artificiale uno strumento utile per la difesa dalle minacce informatiche. Tuttavia solo il 39% delle aziende italiane, nel momento del sondaggio, già faceva leva sull’AI per potenziare i programmi di cyber security. “L'intelligenza artificiale generativa sta trasformando ogni aspetto dell’organizzazione, dai processi operativi alla creazione di valore per clienti e cittadini”, ha commentato Fabio Battelli, enterprise security leader di Deloitte Italia. “La sfida non è più se adottare l'AI, ma come farlo in modo responsabile, sicuro e sostenibile”.
Strategia per un’AI sicura e fidata
Come adottare l’AI in modo sicuro, creando fiducia intorno a questa tecnologia? Secondo Deloitte, sono essenziali la governance, i controlli tecnici, una cultura della sicurezza e la capacità di apprendimento continuo. “Di fronte a questa complessità, la risposta non può essere frammentata”, ha sottolineato Battelli. “I chief information security officer e i leader del rischio devono adottare un approccio olistico che integri controlli tecnici, governance dei processi e cultura organizzativa”.
Aspetti da non sottovalutare sono l’affidabilità dei dati e il rispetto della proprietà intellettuale. Per Deloitte, è essenziale dotarsi di “meccanismi di tracciabilità della provenienza e strategie avanzate di gestione dei diritti digitali”, tra cui watermarking, attribuzione dei credits e sistemi che verificano l'origine dei contenuti generati con l’AI. Per quanto riguarda la privacy, è cruciale prevedere la minimizzazione dei dati (data minimization nei sistemi RAG (Retrieval Augmented Generation, tecnica usata per l’affinamento dei modelli), la redazione automatica di informazioni personali e segreti aziendali e policy chiare sull'uso di strumenti GenAI (anche per contrastare il fenomeno della shadow AI).
Per quanto riguarda la sicurezza intrinseca dei modelli e delle applicazioni di intelligenza artificiale, è necessario adottare degli “AI firewall”, cioè sistemi perimetrali per il monitoraggio dei dati in ingresso e in uscita. Questo serve per contrastare il data poisoning, le violazioni e anche gli output “tossici” o inaccurati. Per completare la strategia di difesa, sono utili la tecnica dell’adversarial training (raccomandata dal NIST) per replicare attacchi e identificare vulnerabilità) e l’uso di General Adversarial Network per scoprire falle non rilevabili con scanner tradizionali.
Ultimo punto, la difesa dagli attacchi cyber che sfruttano l’intelligenza artificiale in vari modi. Deloitte consiglia di potenziare la capacità di riconoscere e bloccare i deepfake e il phishing con testi generati dall’AI: per farlo, servono strumenti di detection e playbook operativi specifici, ma è anche importante che l’azienda faccia formazione continua sul personale (sia il team di cybersicurezza, sia tutti gli altri).
I rischi legati all’AI generativa
Non è la prima volta che in un report sul tema sicurezza si evidenziano i rischi legati all’AI e in particolare a quella generativa. Deloitte rimarca che la GenAI sta abbassando le barriere d'ingresso per gli attaccanti: possedere competenze elevate non è più necessario per orchestrare operazioni basate su malware, ransomware e phishing.
Andando un po’ più nel tecnico, Deloitte evidenzia diverse categorie di rischio emergenti. I Large Language Model possono rappresentare essi stessi un pericolo, per esempio se con tecniche di prompt injection vengono manipolate le istruzioni lette dal modello stesso, che a quel punto potrebbe rivelare dati protetti o eseguire azioni malevole. Ci sono poi gli attacchi di evasion, dove esempi deliberatamente costruiti inducono il modello a decisioni errate, e quelli di data poisoning, in cui i dati di addestramento vengono “contaminati” con informazioni ingannevoli o scorrette.
Altra categoria di rischi è legata all’uso della GenAI come supporto per la creazione di codice malevolo, per l’automazione e l’orchestrazione di attacchi sofisticati: Malware e ransomware possono ora essere automatizzati e personalizzati su larga scala con pochi sforzi, mentre il phishing diventa sempre più efficace, e quindi capace di indurre in trappola le vittime, perché la GenAI può creare testi credibili, in più lingue. E ci sono, ovviamente, i deepfake (audio e video), utili in campagne di disinformazione, truffe e phishing mirato.
Se ne parla meno, ma una terza categoria di rischio è l’incertezza normativa e di mercato, ovvero il fatto che le aziende non sappiano bene come muoversi, in attesa del recepimento delle nuove regole (come l’AI Act europeo) su base nazionale. Secondo lo studio “State of Generative AI in the Enterprise” di Deloitte, è soprattutto per le difficoltà di compliance che le aziende non riescono a portare su larga scala i programmi GenAI.
Il ruolo dei Ciso e dei risk manager
“In questo scenario, il Ciso e i leader in ambito risk assumono un ruolo cruciale non solo come custodi della sicurezza, ma come facilitatori della trasformazione digitale”, ha osservato Battelli. “La loro capacità di tradurre complessità tecniche in strategie di business comprensibili al board, di quantificare rischi e benefici, e di allineare investimenti cyber alle priorità aziendali determina il successo o il fallimento dei programmi GenAI”.
L'evidenza empirica, spiega Deloitte, dimostra che le organizzazioni che trattano la cybersecurity come vantaggio competitivo, anziché come un costo inevitabile, ottengono risultati migliori in termini sia di resilienza sia di capacità di innovazione. Serve un cambio di mentalità: non progettare solo una difesa reattiva ma “strategie proattive che anticipano minacce emergenti e costruiscono fiducia sistematica nel tessuto tecnologico aziendale”.
“La fiducia in un mondo guidato dall'AI non si conquista con una singola soluzione o un unico investimento”, ha concluso Battelli. "Si costruisce giorno dopo giorno, integrando governance rigorosa, controlli tecnici avanzati, cultura della sicurezza diffusa e capacità di apprendimento continuo. Le organizzazioni che riusciranno a bilanciare velocità di adozione e solidità dei controlli, innovazione e responsabilità, saranno quelle che trasformeranno l'incertezza dell'AI-driven world in un vantaggio strategico duraturo”.