La carenza globale di esperti in cybersecurity e governance dell’AI genera rischi diversi tra regioni. Le aziende vincenti apprendono a operare in un mondo dove il talento scarseggia.
Autore: Sneha Banerjee
La maggior parte delle aziende poggia sulle stesse fondamenta, le stesse piattaforme cloud, gli stessi modelli di intelligenza artificiale, persino gli stessi fornitori, in molti casi. Sulla carta, le loro infrastrutture IT i sono sorprendentemente simili, eppure i loro profili di rischio non potrebbero essere più diversi. Questo non avviene perché uno abbia scelto strumenti migliori rispetto a un altro, ma perché operano in luoghi diversi e hanno accesso a bacini di talento molto diversi. Chi è possibile assumere, dove si può assumerlo e con quanta facilità si può spostare sono fattori molto più importanti di quanto la maggior parte delle organizzazioni creda.
Quello che sembra un problema di recruiting è in realtà qualcosa di più grande. La carenza di competenze in materia di sicurezza informatica e governance dell'AI sta influenzando il modo in cui l'AI può essere scalata in modo sicuro in diverse parti del mondo.
Secondo l’ISC2, la carenza globale di professionisti nella cybersecurity superava i 4,7 milioni nel 2024. Il World Economic Forum continua a elencare il rischio informatico tra le minacce globali più gravi, avvertendo ripetutamente che l'adozione dell'AI sta superando le competenze necessarie per gestirla in modo sicuro.
Ma ecco la parte di cui non si parla abbastanza: questa carenza non è distribuita uniformemente e comporta rischi diversi di regione in regione. Infatti, la regolamentazione, mobilità del lavoro, sistemi educativi e maturità aziendale sono tutti fattori che influenzano la pericolosità di un divario di competenze di regione in regione.
L'Europa affronta la questione da un punto di vista normativo. Il GDPR, il NIS2 e la legge UE sull'intelligenza artificiale definiscono le aspettative in dettaglio. Dal punto di vista della governance, l'Europa ha probabilmente il manuale più chiaro al mondo. Ma i manuali hanno bisogno di esecutori.
La Commissione Europea e l'ENISA stimano un deficit di competenze in materia di cybersecurity compreso tra 250.000 e 500.000 professionisti in tutta la regione. La carenza è più intensa nei ruoli che combinano competenze tecniche e conoscenze normative, esattamente il profilo richiesto dalla governance dell'AI. Il risultato è tensione. Le imprese europee spesso sanno esattamente cosa deve essere fatto, ma faticano a capire chi può farlo.
In apparenza, gli Stati Uniti sembrano meglio posizionati. I dati di CyberSeek mostrano oltre 1,33 milioni di professionisti della sicurezza informatica già impiegati. L'ecosistema è maturo, le retribuzioni sono elevate e le competenze in intelligenza artificiale sono ampiamente disponibili. Eppure, secondo dati recenti, gli Stati Uniti si trovano ad affrontare una carenza di personale di circa 700.000 unità.
Questa pressione si manifesta all'interno delle organizzazioni sotto forma di burnout. Fino al 70% dei professionisti della sicurezza informatica dichiara di sostenere carichi di lavoro eccessivi e responsabilità crescenti, inclusa la supervisione dell'AI. Al contempo, si prevede che quasi la metà degli IT manager cambierà lavoro, con circa il 25% che andrà ad occupare ruoli completamente diversi. Questa mobilità rappresenta un serio problema per la governance dell’AI.
L'approccio della Cina alla cybersecurity e all’AI è estremamente ambizioso. Le strategie nazionali, tra cui la spinta a rafforzare la sovranità informatica e digitale, hanno accelerato gli investimenti in AI, infrastrutture e regolamentazione. Ma sotto questo slancio si cela un vincolo crescente: le persone. Secondo un white paper del 2022, la Cina si trova ad affrontare un talent gap sempre più evidente. Entro il 2027, si prevede che mancheranno all’appello 3,27 milioni di professionisti, mentre le università producono circa 30.000 laureati in cybersecurity all'anno. Questo squilibrio è rilevante, soprattutto perché la carenza non riguarda i professionisti più giovani, ma esperti nella difesa dei sistemi, nella risposta agli attacchi e nella gestione di scenari di rischio complessi. In altre parole, persone in grado di operare sotto pressione, non solo di comprendere la teoria.
Le organizzazioni più lungimiranti hanno accettato il fatto che non possono contare su un’abbondanza di talenti e stanno implementando tre chiari cambiamenti.
Primo, trattano la governance dell'AI come un sistema, non come un ruolo. Invece di affidarsi a uno o due esperti, definiscono chiaramente chi può prendere quali decisioni, come vengono gestiti i rischi e chi è responsabile in ogni fase. La governance è integrata nei processi e negli strumenti, non memorizzata nella mente delle persone. Quando i singoli individui cambiano lavoro, la governance dell’AI rimane coerente.
Secondo, sviluppano capacità sovrapposte tra i team di IT security, dati, legal e gestione del rischio. Nessuna singola funzione gestisce la governance dell'AI dall’inizio alla fine del processo; la proprietà è invece condivisa all'interno dell'organizzazione.
Terzo, localizzano l'esecuzione. I principi globali rimangono coerenti, ma la governance opera laddove normative, dati e rischi sono effettivamente presenti. Questo riduce la dipendenza da talenti difficili da spostare e allinea la supervisione alla realtà regionale.
Questo approccio non elimina il talent gap, lo rende gestibile. E cambia radicalmente la domanda che i leader si pongono. Non "Perché non riusciamo ad assumere abbastanza velocemente?", ma "Perché continuiamo a progettare per un mondo che non esiste più?"
Perché nell'era dell'intelligenza artificiale, il vantaggio non deriva dall'avere più talento, ma dal sapere come operare quando i talenti scarseggiano.