Il costo delle violazioni dei dati in Italia mostra un importante segnale di svolta: secondo l’ultima edizione del report IBM Cost of a Data Breach 2025, il danno medio per data breach è sceso a 3,31 milioni di euro, segnando un calo del 24% rispetto al 2024. Tuttavia, solo il 31% delle organizzazioni italiane dispone di policy efficaci per gestire o rilevare la cosiddetta Shadow AI, e dove questa manca l’aumento medio del costo delle violazioni raggiunge i 161.541 euro.

A preoccupare maggiormente è proprio la Shadow AI, ossia l’uso di modelli, applicazioni e strumenti di AI non autorizzati o non monitorati dall’azienda. Il report sottolinea che un’azienda su cinque ha subìto almeno una violazione legata alla Shadow AI. E se da una parte il fenomeno sembra ormai consolidato nelle aziende, le policy formali latitano: solo il 37% delle organizzazioni dichiara di aver attivato strategie per governare la gestione dell’AI, individuando e mitigando i relativi rischi, oltre che per monitorare l’adozione di sistemi AI non autorizzati.

Il risultato è un prevedibile aumento del rischio di costi legati alle violazioni: i dati citati da IBM evidenziano che le imprese italiane con alta incidenza di Shadow AI hanno dovuto affrontare costi di violazione mediamente di 670.000 dollari in più rispetto a chi presenta un livello di Shadow AI basso o nullo. In questi casi, il 65% degli incidenti ha coinvolto dati personali identificabili e il 40% ha comportato la compromissione di proprietà intellettuale: tutti valori nettamente superiori alla media globale, ferma rispettivamente al 53% e al 33%.

Un altro dato interessante riguarda i metodi di risk assessment: nella maggior parte dei casi (53%), le aziende italiane si affidano a team interni per valutare i rischi degli attacchi specificamente rivolti ai modelli di AI. Il guaio è che questo approccio autoreferenziale non si traduce necessariamente in una migliore sicurezza; anzi, il 97% delle violazioni di sistemi AI avviene in assenza di controlli di accesso adeguati. Quella che emerge è pertanto una lacuna strutturale che lascia scoperti dati sensibili e modelli strategici.

Le conseguenze pratiche di questi incidenti in ambito AI si riflettono direttamente sulla business continuity: il 60% degli eventi di sicurezza ha portato alla compromissione di dati e il 31% a vere e proprie interruzioni operative che, soprattutto per imprese di grandi dimensioni o con supply chain distribuite, incidono pesantemente sui bilanci.

Le cause dei data breach

Restando focalizzati sull’Italia, il phishing si conferma la causa principale dei data breach (17%), con un costo medio in questi casi di 4,09 milioni di euro. Seguono gli attacchi denial of service (13%, 3,03 milioni di euro di danni medi) e le minacce interne (13%, 4,24 milioni di euro). Accanto alle vulnerabilità note, il report analizza le condizioni che fungono da moltiplicatore del rischio, che includono le violazioni della supply chain a cui fanno capo mediamente 179.964 euro di perdite supplementari, la complessità dei sistemi di sicurezza che comporta in media un rincaro dei danni pari a 162.267 euro e la già citata Shadow AI, con un impatto medio di 161.541 euro.

Sempre più fondamentale, per il contenimento e la rapida risoluzione degli incidenti, appare l’adozione di strumenti di AI e automazione per la difesa. I numeri sono espliciti: per chi adotta soluzioni AI avanzate il tempo medio per individuare una violazione (Mean Time to Identify) scende drasticamente da 155 a 109 giorni; il tempo medio di contenimento passa da 60 a 40 giorni. Questo significa che le aziende dotate di strumenti proattivi e automazione riescono non solo a ridurre i costi diretti delle violazioni, ma anche a limitare gli impatti indiretti e reputazionali sulle proprie attività.

Uno scenario condiviso a livello globale

Lo scenario globale, rispetto a quello italiano, vede dinamiche simili ma cifre decisamente superiori. Il costo medio globale di una violazione si attesta a 4,44 milioni di dollari, in flessione per la prima volta in cinque anni grazie a una più rapida capacità di risposta resa possibile proprio dall’AI. Negli Stati Uniti, invece, il costo medio balza al massimo storico di 10,22 milioni di dollari.

Sul piano internazionale, il 13% delle organizzazioni ha segnalato violazioni che coinvolgono l’AI. E di queste il 97% non aveva ancora implementato efficaci controlli di accesso AI. I punti più vulnerabili sono risultati la supply chain di applicazioni, le API o i plugin compromessi. Quando la Shadow AI è presente, il costo medio aggiuntivo per violazione sale di oltre 200.000 dollari, con un’esposizione molto maggiore di dati personali e di proprietà intellettuale rispetto alle violazioni tradizionali.