Il conflitto fra sicurezza e velocità operativa continua nelle aziende, e la sicurezza ha quasi sempre la peggio. È l’estrema sintesi di quello che emerge dal report Trading Safety for Speed: The Rise of the Exception Economy, pubblicato da Replica Cyber. Il dato più significativo è che il 100% delle aziende intervistate ha concesso almeno un'eccezione alle proprie policy di sicurezza o di compliance nel corso degli ultimi 12 mesi. Le eccezioni, nate come misura temporanea e circoscritta, si sono poi trasformate nella norma operativa.

Il 63% dei casi ha riferito di eccezioni concesse attraverso un processo documentato e approvato. Il restante 33,5% è invece avvenuto tramite workaround informali, senza tracciabilità né supervisione adeguata. Queste ultime sono insidiose perché rendono impossibile una valutazione del rischio effettivo e tendono a perpetuarsi nel tempo senza che nessuno ne rilevi la presenza. Il meccanismo che porta dalla singola eccezione alla cultura del workaround diffuso è ben ricostruito nel report. Ecco un esempio classico: il marketing adotta uno strumento di AI open source produttivo ma non validato dalla sicurezza; ottiene un'eccezione temporanea; nel tempo costruisce flussi di lavoro complessi attorno a quell'strumento; quando il team di sicurezza identifica un'alternativa più sicura, i costi di migrazione rendono il cambiamento impraticabile. L'eccezione temporanea diventa strutturale.

A peggiorare le cose, la gerarchia organizzativa alimenta il fenomeno: più è alto il livello del dirigente che richiede un'eccezione, più è probabile che venga accordata. L'assunzione implicita è che i manager senior valutino consapevolmente i rischi prima di chiedere deroghe, ma i dati del report suggeriscono che spesso non è così, e che poi l'esempio negativo si diffonde verso il basso nella scala gerarchica.

L'impatto sull'operatività aziendale è diretto e misurabile. Il 39% delle organizzazioni ha ritardato o annullato iniziative di espansione su nuovi mercati, lanci di prodotto, operazioni di M&A o deployment di AI perché non riusciva a condurre queste attività in modo sicuro; il 20% ha cancellato del tutto progetti ad alto rischio. Parallelamente, il report evidenzia una frattura tra la percezione del management e la realtà operativa: il top management sopravvaluta la prontezza operativa della sicurezza, ma i manager di cybersecurity sanno bene che la situazione non è così ottimistica.

Solo un responsabile della cybersecurity su tre si dichiara fiducioso che la proprietà intellettuale, le identità e l'infrastruttura della propria azienda siano adeguatamente protette durante le attività ad alto rischio, che includono per esempio ricerca strategica e sviluppo di proprietà intellettuale, sperimentazione di AI e LLM su dati sensibili, operazioni di OSINT, risposta agli incidenti, analisi di malware e operazioni M&A.