C’è un dato nella ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano che merita di essere letto due volte: il 71% dei CISO italiani ritiene che l’Intelligenza Artificiale acuisca il rischio cyber. Non un rischio ipotetico. Un rischio che nel 2025 si è già tradotto in numeri concreti: oltre un terzo delle grandi imprese italiane, il 34%, ha subito attacchi informatici con costi significativi di ripristino.
Se fino a pochi anni fa gli attacchi informatici richiedevano competenze tecniche avanzate, oggi il panorama è radicalmente diverso. L’AI ha democratizzato l’offensiva: secondo la ricerca del Politecnico, esistono già agenti AI in grado di gestire in autonomia l’80-90% delle catene d’attacco, consentendo anche ad attori privi di esperienza tecnica di orchestrare offensive sofisticate. Non si tratta più di sapere programmare: basta sapere chiedere.
Indice degli argomenti
Mercato della cybersecurity a 2,78 miliardi: chi investe di più e perché
Il mercato italiano della cybersecurity ha risposto a questa escalation raggiungendo i 2,78 miliardi di euro nel 2025, con una crescita del 12% rispetto all’anno precedente. Una cifra che testimonia una presa di coscienza reale, soprattutto se confrontata con il modesto +1,5% della spesa media in digitale nello stesso periodo.
La Pubblica Amministrazione guida l’espansione (+28%), seguita dal settore Finance (+22%) e dalla Logistica (+18%). E sette grandi aziende su dieci prevedono un ulteriore incremento del budget per il 2026.
Incident response e fattore umano: le vere vulnerabilità delle imprese italiane
Eppure, la crescita degli investimenti non basta a garantire sicurezza. Il 57% delle grandi imprese ha dovuto introdurre una revisione strutturale dei piani di incident response, segno che le strategie esistenti non reggono più l’urto di minacce che mutano forma e velocità con una rapidità senza precedenti.
Il vero tallone d’Achille, però, non è tecnologico: è umano. Il 96% dei CISO italiani identifica la gestione del fattore umano come la prima criticità in ambito cybersecurity. Un dato che potrebbe sembrare scontato, ma che acquista una dimensione nuova se letto attraverso la lente dell’AI generativa. Il proliferare di strumenti di AI consumer nelle aziende, quelli che i dipendenti usano spesso senza alcuna governance, sta creando superfici d’attacco inedite. Il 60% dei CISO si dichiara preoccupato per questo fenomeno: non servono più email di phishing grossolane quando un attaccante può generare comunicazioni perfettamente contestualizzate, nella lingua giusta, con il tono giusto, sfruttando informazioni aziendali che un dipendente ha inconsapevolmente condiviso con un chatbot non protetto.
AI offensiva e AI difensiva: solo il 28% delle aziende è davvero resiliente
In questo scenario, la questione non è più soltanto difensiva. Se l’AI è diventata un’arma d’attacco, dev’essere anche un’arma di difesa. Il 56% delle imprese italiane utilizza già l’AI in ambito cybersecurity per potenziare le capacità difensive, ma l’Osservatorio sottolinea che spesso il potenziale non viene colto appieno. Solo il 28% delle grandi organizzazioni ha un approccio realmente orientato alla cyber resilience, integrando monitoraggio capillare, analisi d’impatto, simulazioni realistiche e uso sistematico dell’AI. Una minoranza che ha superato la logica della difesa passiva e che, oggi, è in grado di anticipare l’imprevedibile.
Geopolitica e fornitori tech: perché il 73% delle imprese guarda alla provenienza
Ma c’è un secondo dato che emerge dalla ricerca e che rischia di essere sottovalutato: il 73% delle grandi imprese italiane considera la provenienza geografica nei processi di selezione dei fornitori di cybersecurity. Non è protezionismo: è gestione del rischio. In un contesto geopolitico sempre più frammentato, sapere dove risiedono i propri dati, chi li gestisce e sotto quale giurisdizione operano i fornitori tecnologici è diventata una necessità strategica. Le aziende escludono fornitori di Paesi ritenuti non allineati e privilegiano soluzioni europee, cercando di ridurre le dipendenze critiche.
Questa spinta verso la sovranità digitale non riguarda solo la scelta dei vendor di sicurezza. Riguarda l’intera catena del valore dell’AI. Oggi la stragrande maggioranza delle aziende europee che utilizza modelli di Intelligenza Artificiale lo fa attraverso API fornite da un numero ristretto di operatori, prevalentemente americani. I dati transitano su infrastrutture extra-UE, le politiche di prezzo sono decise altrove, e un cambio nei termini di servizio può alterare dall’oggi al domani la sostenibilità economica di un intero prodotto. Per settori altamente regolamentati come quello bancario, questa dipendenza non è solo un rischio tecnologico: è un rischio di business e di compliance.
BankGPT e sovranità digitale: la risposta europea all’AI delle big tech
Non è un caso che proprio nel settore finanziario stiano emergendo le prime risposte europee concrete. Nell’ambito del programma FFplus, promosso dall’EuroHPC Joint Undertaking attraverso il Digital Europe Programme, abbiamo sviluppato BankGPT: il primo Small Language Model specializzato per il settore bancario europeo, addestrato sul supercomputer Leonardo del CINECA. Un progetto che dimostra come i modelli open e specializzati, addestrati su dati di dominio e calibrati su esigenze verticali precise, possano offrire un’alternativa credibile ai modelli generalisti delle big tech, garantendo al contempo il pieno controllo sul dato e la conformità alle normative europee.
NIS2, AI Act, Cyber Resilience Act: quattro normative che ridisegnano la governance
Il quadro normativo spinge nella stessa direzione. La Direttiva NIS2 sta trasformando la cybersecurity da questione tecnica a priorità strategica per i consigli di amministrazione: il 57% delle grandi imprese registra un aumento dell’attenzione del board sulla sicurezza informatica. E il 56% delle aziende cerca sinergie nella gestione della complessità regolamentare tra NIS2, Cyber Resilience Act, AI Act e Data Act. Quattro normative che, lette insieme, disegnano un ecosistema dove cybersecurity, governance dell’AI e protezione dei dati non possono più essere trattate come silos separati.
Sovranità digitale: da aspirazione a priorità industriale europea
La lezione che emerge dai dati dell’Osservatorio è chiara: l’era in cui la sicurezza informatica poteva essere delegata a un reparto tecnico è finita. L’AI ha reso il campo di gioco asimmetrico, e la risposta non può essere solo tecnologica. Serve una visione integrata che tenga insieme investimenti in cybersecurity, governance dell’AI, formazione delle persone e, soprattutto, una strategia di sovranità digitale che non resti confinata alle dichiarazioni d’intenti.
Lo dico con la consapevolezza di chi questo percorso lo sta facendo. Con FairMind costruiamo piattaforme di governance per agenti AI applicati allo sviluppo software, e con BankGPT abbiamo posato un primo tassello concreto di sovranità nell’AI per il settore bancario europeo, grazie al programma FFplus e alle risorse del supercomputer Leonardo.
Ma sarebbe disonesto presentarlo come un traguardo: è l’inizio di un percorso. Oggi utilizziamo anche modelli di terze parti con infrastruttura europea come soluzione transitoria, perché la piena sovranità tecnologica non si costruisce dall’oggi al domani. Richiede investimenti strutturali e continuativi, sia da parte delle singole aziende sia in termini di ecosistema. Servono programmi di accesso alle risorse HPC che non siano occasionali ma sistematici, e serve che l’Europa smetta di trattare la sovranità digitale come un’aspirazione e inizi a finanziarla come una priorità industriale. Le infrastrutture ci sono, i talenti anche. Quello che manca è la decisione di rendere questo percorso irreversibile.
