Hf blog ai security 06
Prospettiva della rana

L'IA non aspetterà che le aziende mettano in ordine le proprie policy

All'evento KCDM "Copyright e sicurezza digitale nell'era dell'IA" al MAO Ljubljana, abbiamo aperto due temi che le aziende ancora troppo spesso affrontano separatamente: l'uso dell'intelligenza artificiale e la sicurezza digitale. L'evento si è concentrato su come l'IA può aiutare le aziende in termini di sviluppo, innovazione e produttività, senza diventare una nuova fonte di incertezza, dilemmi legali o rischi per la sicurezza.

Questioni legali e organizzative sull'uso dell'intelligenza artificiale generativa 

Nella prima parte dell'evento, Eva Gostisa e Nejc Setnikar dello studio legale Jadek & Pensa hanno presentato il quadro giuridico dell'AI Act, dei diritti d'autore e della protezione dei dati personali, sottolineando che l'AI Act non sostituisce la normativa esistente, ma la integra. 

L'uso di uno strumento di AI non implica automaticamente un uso conforme dei dati. Le aziende spesso non sanno con precisione quali dati vengano inseriti nei modelli, dove vengano archiviati, chi ne sia responsabile e se possano poi riapparire come parte dei contenuti generati. 

Con l'intelligenza artificiale generativa si aprono rapidamente questioni di responsabilità, titolarità dei contenuti e possibilità di riprodurre dati o opere coperte da diritto d'autore. È stato menzionato il caso GEMA contro OpenAI in Germania, dove è in corso una controversia legale sull'uso di testi protetti dal diritto d'autore per l'addestramento dei modelli. 

Ed è proprio qui che emerge il maggiore divario tra le aspettative delle aziende e la realtà della tecnologia. Le aziende desiderano risposte chiare su uso dei dati, responsabilità e titolarità dei contenuti, mentre l'AI spesso risponde soltanto: »dipende«. 

La discussione sull'intelligenza artificiale quindi si sposta molto rapidamente dall'ambito regolatorio a una questione ben più pratica: quanto controllo hanno effettivamente le aziende sul proprio ambiente digitale e se abbiano impostato correttamente processi di base, accessi e prassi di sicurezza. 

Il rischio maggiore non è l'AI, ma un ambiente digitale opaco 

Nella seconda parte dell'evento ho parlato soprattutto di ciò che l'intelligenza artificiale significa già oggi per la sicurezza digitale e delle informazioni delle aziende. 

E qui emerge rapidamente un interessante paradosso. Le aziende si occupano di strategie AI, policy e produttività, ma molte non hanno ancora in ordine nemmeno i processi di sicurezza di base. 

Infatti, i maggiori problemi non sono ancora causati da attacchi tecnici avanzati, ma da cattive pratiche, improvvisazione e mancanza di visibilità sul proprio ambiente digitale. 

In pratica questo significa accessi poco trasparenti, condivisione di password tra dipendenti, un'infrastruttura costruita secondo il principio »purché funzioni«, e un controllo insufficiente su domini, server e sistemi chiave. Un tale ambiente non è problematico solo dal punto di vista della sicurezza, ma anche da quello della responsabilità aziendale. Quando un'azienda perde visibilità su accessi, dati e responsabilità, di norma perde anche la capacità di reagire efficacemente a un incidente. 

L'AI consente agli attaccanti di condurre attacchi più rapidi e mirati 

L'intelligenza artificiale per lo più non crea nuove tipologie di attacco, ma rende gli attacchi esistenti più economici, li automatizza e li accelera. I messaggi di phishing non sono più pieni di errori grammaticali e cattive traduzioni. I modelli generativi consentono di preparare comunicazioni molto convincenti in uno sloveno corretto, spesso anche nel tono di una specifica azienda o di un collega. 

Lo stesso vale per la raccolta di informazioni sulle aziende. Dai siti web aziendali, da LinkedIn, dagli annunci di lavoro, da contenuti pubblicamente accessibili e dalle notizie dei media è oggi possibile preparare molto rapidamente un profilo dei dipendenti, delle strutture organizzative, dei fornitori e delle tecnologie utilizzate dall'azienda. Ciò che un tempo richiedeva giorni di ricerca, oggi l'AI lo svolge in pochi minuti. 

È importante comprendere anche il contesto più ampio della sicurezza digitale: 

  • la stragrande maggioranza degli attacchi inizia ancora dall'e‑mail,  

  • le piccole e medie imprese sono bersagli significativamente più frequenti,  

  • il tempo medio di rilevazione di una violazione spesso supera diversi mesi. 
     
    (Fonte: Verizon Data Breach Investigations Report 2025 e IBM Cost of a Data Breach Report 2024.) 

Pertanto, la domanda non è più se le aziende utilizzino l'AI. La maggior parte già lo fa. La questione chiave diventa soprattutto se le aziende abbiano processi sufficientemente strutturati da poter effettivamente controllarne l'uso in modo sicuro. 

La sicurezza digitale fallisce più spesso sulle basi 

Quando si parla di sicurezza digitale, molte persone immaginano ancora principalmente attacchi tecnicamente sofisticati e intrusioni hacker complesse. In pratica, però, la maggior parte degli incidenti deriva ancora da carenze di sicurezza di base e da cattive pratiche organizzative. 

Gran parte degli attacchi inizia ancora dall'e‑mail. Non per via di tecnologia avanzata, ma per un clic errato, un allegato non verificato o un messaggio convincente che appare legittimo. Proprio per questo la protezione della posta elettronica, l'autenticazione a più fattori e la consapevolezza di base sulla sicurezza dei dipendenti stanno diventando lo standard minimo. 

Gli accessi rimangono anch'essi un problema rilevante. Le aziende spesso sanno bene come concedere l'accesso a un sistema, ma riflettono molto meno su come e quando revocarlo correttamente. In caso di turnover di dipendenti, agenzie o fornitori esterni, nei sistemi restano spesso attivi account di cui nessuno sa più nemmeno l'esistenza. 

Lo stesso vale per la gestione di domini, server e infrastrutture. Molte aziende non hanno ancora una visione chiara di chi: 

  • sia il registrante del dominio,  

  • gestisca i record DNS e  

  • abbia diritti amministrativi sui sistemi chiave. 

Finché tutto funziona, di norma non è un problema. Il problema emerge solo in caso di incidente, cambio di fornitore o perdita di accesso. 

Per la sicurezza, dunque, il problema più spesso non è la tecnologia, ma l'organizzazione. 

La sicurezza non è una funzione tecnica, ma una cultura organizzativa 

Una delle idee più sbagliate sulla sicurezza digitale è che si tratti soprattutto di un ambito tecnico, di competenza del reparto IT. In pratica, però, le differenze maggiori tra le aziende emergono soprattutto nell'organizzazione, nei processi e nella cultura della responsabilità. 

La tecnologia, di per sé, non garantisce ancora la sicurezza. Anche i sistemi migliori servono a poco se l'azienda non ha visibilità sugli accessi, se i dipendenti usano le stesse password per più servizi diversi o se i processi chiave vengono eseguiti senza regole e responsabilità chiare. 

Come per la sicurezza in montagna, anche nella sicurezza digitale non basta avere una buona attrezzatura. Conta soprattutto come l'azienda ragiona, come prende decisioni e quanto è preparata a situazioni impreviste. 

Un grande problema restano anche i backup. Molte aziende credono di avere i backup in ordine, ma molte meno verificano effettivamente se i dati possano essere ripristinati con successo. Una copia di sicurezza che l'azienda non ha mai verificato o ripristinato in test spesso fallisce proprio quando serve di più.  

Lo stesso vale per gli aggiornamenti e la gestione delle vulnerabilità. Oggi gli attaccanti spesso non cercano nuove falle nei sistemi, ma sfruttano vulnerabilità vecchie e ben note che le aziende non hanno corretto per tempo. L'aggiornamento regolare dei sistemi non è più un dettaglio tecnico, ma un'igiene digitale di base. 

Alla fine emerge quasi sempre lo stesso schema. Le maggiori difficoltà non derivano dalla mancanza di tecnologia, ma dalla mancanza di visibilità, responsabilità e processi chiaramente definiti. 

Ed è proprio per questo che oggi la sicurezza digitale non è più solo un tema IT. Sta diventando una questione di responsabilità aziendale dell'intera organizzazione. 

Conclusione 

Oggi l'AI non è più solo un tema di innovazione, produttività o sviluppo di nuovi servizi. Sempre più sta diventando un tema di responsabilità. 

Legale. Organizzativa. Di sicurezza. 

La maggior parte delle aziende utilizza già l'intelligenza artificiale, spesso molto più di quanto pensino. Non è quindi più una questione di futuro, ma di gestione responsabile di dati, accessi e processi aziendali. 

Il rischio maggiore oggi non è che le aziende non utilizzino l'AI. Il rischio maggiore è che la utilizzino più velocemente di quanto la comprendano, mentre gli attaccanti sapranno sfruttarne molto bene le potenzialità. 

La tecnologia non rallenterà. Le aziende dovranno invece definire molto più rapidamente regole chiare, responsabilità e un'igiene digitale di base, se vorranno usare l'intelligenza artificiale in modo sicuro, responsabile e sostenibile nel lungo periodo. 

Ed è proprio per questo che oggi la sicurezza digitale non è più solo un tema IT. Sta diventando parte della governance aziendale, della cultura organizzativa e della responsabilità dell'intera organizzazione. 

Studi di caso correlati

Tosidos

Progettazione, design e sviluppo del sito web e gestione dell'infrastruttura IT

Tosidos cover1
Intra Lighting

Progettazione, sviluppo, aggiornamenti e hosting di siti web e applicazioni

Intra lighting naslovna Humanfrog
Junai

Sviluppo del marchio, piattaforma e-commerce e marketing

Junai cover 01
Sberbank banka

Trasformazione digitale completa della banca

Hf sberbank cover banking 01
Alfa SP

Servizi MSP: gestione delle apparecchiature e delle reti, hosting dei server e supporto in patria e all'estero.

Alfasp case 02

Articoli correlati

Hf blog ai ads 01
Tutti vedono i risultati dell’AI. Nessuno vede il cockpit. (Parte 1)

Tamara Žnidar Česnik

Oggi ci imbattiamo nell’AI a ogni passo. C’è chi pubblica un annuncio che fa dire “wow”, e chi un annuncio che mette un po’ a disagio già al primo scroll. Poi spesso sentiamo: “L’AI è scarsa.” L’AI, di per sé, non è né buona né cattiva.
Hf blog wp plugins 06
Meno plugin: più sicurezza, velocità e scalabilità del Suo sito WordPress

Tomaž Favai

Alla popolarità globale di WordPress contribuisce in modo significativo anche il suo ricchissimo ecosistema di plugin. Nel repository ufficiale di WordPress sono disponibili oltre 59.000 plugin gratuiti e, insieme alle risorse premium, probabilmente più di 70.000, il che consente di aggiungere quasi qualsiasi funzionalità con pochi clic. Questa flessibilità è uno dei motivi principali per cui WordPress alimenta circa il 40 % di tutti i siti web nel mondo.
Hf blog cover copywriting 05
L'importanza di testi e istruzioni chiari sui siti web

Sebastijan Pregelj

Si è mai trovato su un sito web in cui non sapeva dove fare clic per raggiungere i contenuti che cercava, come inviare una richiesta di preventivo e se l'ordine fosse stato inviato con successo oppure no, perché non ha ricevuto alcuna notifica?
Hf domen proxmox blog1
Migrazione da VMware a Proxmox con Veeam

Domen Česnik

Negli ultimi dieci anni molte aziende hanno costruito la propria infrastruttura di virtualizzazione sull'hypervisor VMware ESXi, principalmente grazie alla disponibilità della versione gratuita. Questa ha consentito alle organizzazioni piccole e medie di allestire un ambiente stabile e performante per le applicazioni aziendali senza elevati costi di licenza.
Hf blog msp
Perché il Suo IT costa più di quanto pensa e come l'MSP riduce subito i costi

Nejc Žurej

In molte piccole e medie imprese, l'ambiente IT si sviluppa in modo organico, senza un piano chiaro e una strategia di lungo periodo. Si utilizzano programmi diversi, versioni non uniformi degli strumenti d'ufficio e delle soluzioni antivirus; le postazioni non sono standardizzate e gli accessi ai sistemi informativi sono spesso gestiti singolarmente e senza un'adeguata documentazione.