L’uso diffuso dell’AI sta ampliando la superficie di attacco per gli attori malevoli.
Secondo IDC[1], la spesa globale per l’intelligenza artificiale è destinata a sfiorare i 750 miliardi di dollari entro il 2028. Un dato che racconta bene la rapidità con cui l’AI si sta diffondendo nelle organizzazioni, ma che riflette anche, in modo meno evidente, l’ampiezza delle nuove sfide legate alla sicurezza dei dati. Con l’aumento dell’adozione, infatti, i professionisti della cybersecurity si trovano sempre più spesso a gestire scenari complessi, in cui diventa difficile mantenere piena visibilità e controllo sulle informazioni aziendali.
Come già accaduto con l’adozione del cloud un decennio fa, le minacce non si limitano a un singolo comportamento o modello di implementazione.
L’uso della “shadow AI” (ovvero strumenti AI non gestiti) è un vettore di rischio ormai noto, con i dipendenti che spesso privilegiano la comodità rispetto alla conformità. Secondo il Netskope Cloud and Threat Report 2026, quasi la metà (47%) degli utenti di AI generativa utilizza applicazioni AI personali. Questo utilizzo non ufficiale è problematico perché i dipendenti potrebbero condividere inconsapevolmente dati sensibili con applicazioni cloud di terze parti, mentre visibilità e controlli risultano difficili da garantire per molte organizzazioni.
Ma cosa accade alle organizzazioni che sviluppano modelli AI privati (spesso proprio per aumentare la sicurezza)? In questo caso emergono rischi più ampi, tra cui la responsabilità di proteggere sia i dati di training sia gli output dei modelli.
L’area di crescita più recente dell’AI è quella degli agenti autonomi (agentic AI), in cui agenti intelligenti svolgono attività in modo indipendente (con minima supervisione umana). Un vantaggio per la produttività, ma con implicazioni importanti in termini di accesso e controllo dei dati. Secondo una previsione di Gartner, entro il 2028 il 25% delle violazioni aziendali sarà legato all’abuso di agenti AI.
Alla luce di queste tendenze, analizziamo alcune considerazioni di sicurezza che possono fungere da checklist per assicurarsi che l’organizzazione affronti i rischi da ogni angolazione.
1) Usare lo zero trust come base della sicurezza AI
La sicurezza dell’AI rappresenta una sfida unica per la protezione dei dati, per via del modo in cui i modelli elaborano input e generano output. Estendere un framework di sicurezza zero trust all’AI significa verificare ogni richiesta (da parte di utenti, modelli e agenti), monitorare ogni flusso di dati e concedere accessi sulla base di valutazioni dinamiche del rischio anziché autorizzazioni statiche. Le ricerche mostrano che due terzi delle organizzazioni dichiarano che i loro controlli zero trust non sono attualmente in grado di proteggere le identità non umane (NHI), ma il 78% si aspetta che la crescita delle NHI superi quella delle identità umane entro 12 mesi: un rischio imminente. È importante valutare come integrare la sicurezza AI nei framework e nelle architetture esistenti, evitando soluzioni puntuali aggiuntive che aumentano la complessità e richiedono molte risorse. Meglio puntare su piattaforme unificate che integrano policy e amministrazione della sicurezza, riducendo il carico operativo.
2) Rafforzare la visibilità nell’era dell’AI onnipresente
Solo il 6% delle organizzazioni ha una visibilità completa sull’uso dell’AI, e i team di sicurezza non possono proteggere ciò che non vedono (una sfida aggravata dalla crescente sovrapposizione tra strumenti personali e aziendali). Senza visibilità su come e dove vengono utilizzati gli strumenti AI, un’organizzazione si espone al rischio di perdita di dati. Gli strumenti che garantiscono visibilità devono essere una priorità assoluta.
La strategia di sicurezza AI deve includere più delle sole nuove applicazioni e modelli AI. Negli ultimi anni, tutte le applicazioni SaaS hanno introdotto funzionalità AI, ormai diventate la norma. Ciò significa che ogni giorno uno strumento SaaS approvato potrebbe aggiungere funzionalità AI che non rispettano i requisiti di sicurezza. Questi aggiornamenti “silenziosi” spesso avvengono senza che i team di sicurezza ne abbiano visibilità, impedendo una valutazione preventiva del rischio. Il monitoraggio manuale non è più sufficiente: è necessario adottare lo stesso approccio utilizzato per il rischio cloud. Il Netskope Cloud Confidence Index (CCI) fornisce insight in tempo reale su oltre 83.000 applicazioni cloud e SaaS e valuta il rischio di oltre 10.000 server MCP pubblici, identificando attributi rischiosi, metodi di autenticazione e versioni di protocollo prima della distribuzione. Esternalizzare questo lavoro è fondamentale.
3) Colmare il divario nella governance dell’AI
Due terzi delle organizzazioni valutano la propria governance AI come solo reattiva o in fase di sviluppo, un terzo parla di adozione frammentata e il 38% avrebbe voluto avviare la governance prima di scalare l’adozione. Senza linee guida chiare, le aziende aprono la porta a minacce di sicurezza. È quindi essenziale definire un framework di policy per garantire un uso corretto dell’AI (sia prima sia dopo il deployment).
4) Migliorare competenze e strumenti
È necessario investire in formazione e strumenti per supportare un uso corretto dell’AI, assicurando che tutti comprendano i rischi, le policy approvate e le normative applicabili. Ma non basta. Anche una forza lavoro altamente qualificata ha bisogno di supporto: Gartner prevede che entro il 2028 almeno il 15% delle decisioni aziendali quotidiane sarà preso autonomamente tramite AI agentica, rispetto allo 0% del 2024. Le competenze umane in materia di sicurezza AI sono come una patente di guida: utili per ridurre il rischio, ma più efficaci se affiancate da strumenti di gestione del rischio come cinture di sicurezza e sistemi ABS e forse sempre meno rilevanti con l’arrivo della guida autonoma. È quindi fondamentale investire nella protezione dei modelli AI e dei dati aziendali con cui interagiscono, adottando nuovi strumenti (come gateway di sicurezza AI e guardrail) insieme alle best practice esistenti.
Sicurezza nell’era dell’AI ad alta velocità
Netskope viene in aiuto con la piattaforma Netskope One AI Security, l’unica in grado di proteggere ogni interazione AI mantenendo velocità ed esperienza utente ai livelli richiesti dai team, permettendo ai propri clienti di adottare l’AI su scala enterprise senza aumentare il rischio. La piattaforma protegge utenti, agenti, applicazioni e dati in ambito AI pubblico, privato e agentico con una protezione unificata, dall’hardening dei modelli prima del deployment fino alla prevenzione delle minacce in runtime.
Per saperne di più sulla sicurezza dell’AI in azienda, visita netskope.com/ai
A cura di Rich Beckett, Senior Product Marketing Manager, Netskope
Note
[1] IDC Market Forecast, Worldwide Artificial Intelligence IT Spending Forecast, 2024–2028, Rick Villars et al., October 2024, Doc #US52635424
