Lo scorso anno ha fatto emergere chiaramente una questione essenziale in tema di sicurezza: non ci si domanda più se si affronterà un cambiamento radicale, ma se le aziende saranno pronte quando questo accadrà.

I segnali provenienti dal 2025 sono difficili da ignorare. Le minacce guidate dall’intelligenza artificiale hanno registrato un’ulteriore accelerazione, la shadow AI si diffonde più velocemente di quanto la governance riesca a stare al passo, e interruzioni, guasti infrastrutturali e problemi legati a soluzioni ibride non sono più scenari teorici. Eppure, troppe aziende continuano ad affidarsi all’ottimismo invece che alla preparazione.

Ma la speranza non è una strategia.

Il panorama delle minacce accelera e si democratizza

Gli attacchi informatici non stanno solo diventando più sofisticati, ma anche più semplici da eseguire.

Kim Larsen, Chief Information Security Officer di Keepit

Nel tempo, assistitiamo alla convergenza di due tendenze: gli attacchi crescono in potenza e complessità, mentre le barriere d’ingresso continuano ad abbassarsi. Capacità che un tempo richiedevano risorse da stato-nazione sono oggi accessibili anche a singoli individui. L’AI viene sempre più utilizzata per ricognizione, pianificazione ed esecuzione di attacchi, rendendoli più veloci, scalabili e difficili da prevedere.

Dal punto di vista di un CISO, questo cambia radicalmente il modello di rischio. Non stiamo più difendendo da un numero ristretto di attori altamente specializzati, ma da un panorama di minacce molto più ampio, in cui l’automazione funziona con la stessa efficacia per attaccanti e difensori.

La shadow AI è il rischio silenzioso di oggi

In questo momento, una delle sfide più sottovalutate è rappresentata dalla shadow AI. Nella maggior parte dei casi, non c’è alcuna intenzione malevola: le persone cercano semplicemente di lavorare più velocemente, automatizzare attività e risolvere problemi. Ma molti strumenti di AI archiviano, trasformano o elaborano dati sensibili, spesso senza governance, ownership o visibilità.

Il problema reale non è l’intenzione. È la velocità.

L’adozione dell’AI sta avvenendo più in fretta di quanto la maggior parte delle aziende riesca ad applicare misure di controllo corrispondenti. Quando i team di sicurezza scoprono quali strumenti siano in uso, i dati potrebbero essere già stati condivisi, alterati o consumati in modalità diverse e difficili, se non impossibili, da invertire.

Questo genera esposizione legale, etica e normativa anche senza il verificarsi di una violazione tradizionale.

La governance deve recuperare il ritardo

L’AI introduce sfide di governance che non possono essere affrontate a posteriori.

Una volta che i sistemi di AI sono integrati all’interno di flussi di lavoro critici, il ripristino diventa significativamente più complesso in caso di incidente. Per questo motivo la governance deve precedere la scalabilità, non seguirla.

Framework chiari che enfatizzino trasparenza, monitoraggio, ownership e conformità rendono il rischio AI gestibile. Non è possibile eliminarlo completamente, ma ridurlo a un livello noto all’azienda, che è preparata ad affrontare.

Aspettare che si verifichi un guasto è il metodo più costoso per identificare i propri punti deboli.

Le minacce ibride sono ormai la norma

Gli incidenti di oggi si estendono sempre più tra servizi cloud, piattaforme SaaS, ambienti on-premise e infrastrutture fisiche. Gli attacchi si propagano da un ambiente all’altro, le interruzioni si amplificano a cascata. Disastri naturali, blackout e interruzioni infrastrutturali si intrecciano con la dipendenza digitale creando sfide che i modelli di sicurezza tradizionali non erano stati progettati per affrontare.

Dal punto di vista della resilienza, questo significa una cosa sola: è necessario conoscere le proprie dipendenze e prepararsi a interruzioni che non rientrano più in una singola categoria.

Come intervenire quando il cloud non è più disponibile?

Molte aziende danno per scontata la disponibilità dei sistemi perché sono “nel cloud”. Ma numerose recenti interruzioni hanno mostrato quanto fragile possa essere questa assunzione. Quando email, sistemi di identity, strumenti di collaboration e documentazione non sono disponibili contemporaneamente, il ripristino dipende interamente dalla preparazione precedente.

Una vera resilienza richiede:

• Backup indipendenti, al di fuori dell’ecosistema di produzione
• Una chiara prioritizzazione dei sistemi critici
• Piani di recovery che funzionino anche quando i normali canali di comunicazione sono irraggiungibili

Senza questi elementi, i team sono costretti a improvvisare; ed è in quei momenti che si commettono errori.

Il recovery riguarda persone e processi, non solo tecnologia

Le aziende che gestiscono meglio gli incidenti non sono quelle con più strumenti a disposizione., ma quelle che si sono preparate in anticipo: definendo le priorità, chiarendo le responsabilità, allineando la leadership e simulando insieme il recovery.

Esercitazioni e simulazioni sono fondamentali perché portano alla luce assunzioni implicite e richiedono decisioni in un ambiente controllato, aiutando i team a capire non solo cosa ripristinare, ma chi decide, e in quale ordine.

La resilienza non è mai un’impresa individuale, è una responsabilità della leadership e uno sforzo congiunto tra team.

Dalla speranza alla resilienza

Che si tratti di rischio AI, adozione shadow, minacce ibride o dipendenza dal cloud, l’approccio è coerente: le aziende che hanno successo non sperano semplicemente di evitare la disruption, danno per scontata che ci sarà.

Valutano e classificano il rischio, pianificano e stabiliscono le priorità del recovery, testano i ripristini e conducono esercitazioni, esigendo architetture che supportino isolamento e immutabilità.

Il 2025 è stato il banco di prova, rendendo chiaro che, in un mondo di automazione accelerata e minacce convergenti, l’ottimismo non è sufficiente.