Quasi un miliardo di transazioni AI/ML in un anno, 18 mila terabyte di dati sensibili inviati ai tool di AI e test di red teaming che violano i sistemi in pochi minuti.
Autore: Redazione SecurityOpenLab
Tra gennaio e dicembre 2025 oltre 18 mila terabyte di dati aziendali sono confluiti in applicazioni di AI e machine learning (+93% su base annua); le attività AI/ML sono aumentate del 91 per cento, sfiorando il miliardo di transazioni. È la fotografia che emerge dal ThreatLabz 2026 AI Security Report di Zscaler, basato sull’analisi del traffico AI/ML transitato nella piattaforma Zero Trust Exchange nel periodo in esame. Secondo il report, l’AI è ormai diventata un’infrastruttura di uso quotidiano, dato che si parla di 989,3 miliardi di transazioni su un ecosistema di oltre 3.400 applicazioni classificate, che si intrecciano con i flussi operativi di quasi ogni funzione aziendale, dal coding alla comunicazione interna, dalla traduzione dei contenuti alla gestione delle operations.
Questi numeri hanno un impatto diretto sulla superficie di attacco: man mano che cresce il volume di dati convogliati verso servizi esterni, aumenta anche la probabilità che informazioni sensibili vengano esposte o riutilizzate in modo non previsto. Zscaler evidenzia che il rischio non è legato solo all’uso improprio o malevolo dei tool, ma al fatto che, per routine, enormi quantità di dati sensibili finiscono nei flussi AI/ML senza controlli di sicurezza. È questo il motivo per il quale, nonostante l’entusiasmo per l’aumento di produttività, le aziende continuano a tirare il freno a mano. Il 39 per cento delle transazioni AI/ML viene bloccato mediante policy che riguardano sia gli strumenti percepiti come rischiosi, sia applicazioni diffuse e apparentemente innocue, come gli assistenti di scrittura o i traduttori.
La classifica delle applicazioni più utilizzate la dice lunga sui cambiamenti del lavoro d’ufficio. Grammarly primeggia con oltre 327 miliardi di transazioni (il 38,7 per cento del traffico AI osservato), seguito da ChatGPT con circa 120 miliardi di transazioni (14,2 per cento). Seguono Codeium (oggi Windsurf) con oltre 42 miliardi di transazioni, il servizio di traduzione DeepL con quasi 28 miliardi e Microsoft Copilot con circa 25,5 miliardi. La concentrazione è ancora più evidente se si analizza il trasferimento di dati. Su 18.033 TB complessivi di dati inviati alle applicazioni AI/ML, quasi 3.615 TB passano da Grammarly e oltre 2.021 TB da ChatGPT, mentre l’endpoint generico OpenAI ne gestisce circa 865 TB, DeepL 625 TB e Codeium 387 TB. Insieme, questi pochi servizi diventano un crocevia dell’intelligence aziendale, in cui si accumulano documenti, frammenti di codice, email, report e testi relativi ad attività, processi e strategie di business.
È proprio qui che si fa più critico il tema della data protection. In un anno, il report documenta 410.181.006 violazioni delle policy di Data Loss Prevention legate a ChatGPT, con una crescita del 99,3 per cento rispetto all’anno precedente. Le categorie in cima alla lista delle violazioni DLP includono leakage di nomi e identificativi nazionali, informazioni mediche, numeri di carte di pagamento e codice sorgente. Codeium, da parte sua, registra oltre 242 milioni di violazioni DLP, raddoppiando i numeri annuali e riflettendo il rischio crescente che il patrimonio di codice e algoritmi proprietari finisca nei prompt.
Uno degli aspetti più interessanti del report è la distinzione tra le applicazioni AI in primo piano e l’AI integrata dietro le quinte. Oltre ai servizi general purpose, Zscaler richiama l’attenzione sulle funzionalità di AI embedded in piattaforme SaaS e strumenti di produttività che, pur non essendo percepite come “app di AI”, leggono, sintetizzano e rielaborano contenuti aziendali su vasta scala. In questi casi l’AI eredita spesso permessi eccessivamente ampi e può essere manipolata in modo indiretto attraverso contenuti malevoli inseriti in documenti, ticket o email, aprendo la strada ad attacchi di prompt injection.
L’analisi settoriale conferma il ruolo pilota di finanza e assicurazioni, che generano il 23,3 per cento delle transazioni AI/ML complessive, seguite dal manufacturing con il 19,5 per cento e dal comparto servizi con il 17,3 per cento. Nel Finance & Insurance quasi il 40 per cento delle transazioni AI viene bloccato, a riprova di un bilanciamento costante tra la spinta all’automazione e un quadro regolatorio rigido. Il manifatturiero, che applica l’AI alle supply chain e all’automazione industriale, mantiene un livello di blocco intorno al 22 per cento. Il Technology & Communication è invece il settore che cresce più in fretta: +202,3 per cento di transazioni AI/ML anno su anno, trainate da software house, cloud provider e piattaforme digitali che integrano l’AI tanto nei loro prodotti quanto nei flussi di lavoro interni. In questo ambito, i tool più utilizzati sono Grammarly, Codeium, ChatGPT e Perplexity, con un tasso di blocco ancora relativamente basso (circa il 7 per cento delle transazioni).
Sul fronte della geografia, gli Stati Uniti restano il principale generatore di traffico AI/ML con 219 miliardi di transazioni (37,6 per cento del totale). La crescita relativa più impressionante è quella dell’India, che con 82 miliardi di transazioni segna un +309,9 per cento anno su anno. Canada, Regno Unito e Giappone completano la top 5. Nel perimetro EMEA, il Regno Unito guida con il 20,3 per cento del traffico regionale, seguito da Germania (12,5 per cento), Spagna (5,6 per cento) e Francia (11 per cento), mentre l’Italia rappresenta il 3,5 per cento delle transazioni AI del Vecchio Continente.
Il report dedica un capitolo specifico ai test di red teaming sui sistemi di AI aziendali. I numeri sono poco rassicuranti: in tutte le implementazioni analizzate, il 100 per cento dei sistemi ha mostrato almeno una vulnerabilità critica, con un tempo medio di 16 minuti per ottenere la prima violazione e il 90 per cento dei target compromessi entro un’ora e ventisette minuti; nel caso più estremo è bastato un secondo. Quali sono gli attacchi più efficaci? Mediamente i più semplici: le variazioni minime nella formulazione (lingua, encoding, manipolazione del formato) continuano a mettere in crisi i meccanismi di sicurezza e allineamento dei modelli.
Più nel dettaglio, le categorie di fallimento più frequenti riguardano bias, deviazioni dall’argomento, manipolazione del modello, uso intenzionale improprio e instabilità nelle risposte di QA, oltre a problemi ricorrenti nelle verifiche di URL e nei controlli di privacy e phishing.