ANALISI E DATIAnalisi e Trend

Perché il rischio nasce dalle identità (e dall’AI senza regole)

Nel 2026 la sicurezza torna al centro delle decisioni: identità digitali fragili, AI senza regole e governance diventano i nuovi rischi critici per imprese e board.

Tempo di lettura2 min.
di Mercedes Oledieu

Nel 2026 la cybersecurity non è più una funzione tecnica confinata all’IT. È una variabile di rischio aziendale, con impatti diretti su continuità operativa, reputazione e responsabilità del management. Due fattori, in particolare, continuano a esporre le organizzazioni: la fragilità delle identità digitali e l’adozione accelerata dell’AI senza adeguati modelli di governance.

Il problema non è qundi l’assenza di tecnologia, ma la mancanza di disciplina strutturale nel modo in cui sicurezza, identità e AI vengono governate.

Il punto debole più sfruttato: password e identità

Nonostante anni di investimenti in sicurezza, le credenziali restano il vettore di attacco più efficace. Il credential stuffing continua a essere una delle tecniche più redditizie per i criminali informatici perché sfrutta un comportamento umano ancora diffusissimo: il riutilizzo delle password.

Il rischio è sistemico: una singola violazione può aprire l’accesso a più servizi, interni ed esterni, trasformando un incidente isolato in un account takeover su larga scala. Automatizzazione, bot e strumenti assistiti dall’AI rendono questi attacchi sempre più silenziosi e difficili da individuare.

Cosa fare, in modo concreto

Per i responsabili della sicurezza, il 2026 impone alcune azioni non negoziabili:

  • Eliminare il riutilizzo delle password come possibilità, non come raccomandazione.

  • Rendere obbligatoria l’autenticazione multifattore per tutti gli accessi critici.

  • Monitorare i pattern di login, non solo i tentativi falliti.

  • Ridurre la dipendenza dalla password attraverso modelli passwordless e passkey.

Qui il tema non è più “awareness”, ma controllo. Le identità digitali devono essere trattate come asset critici, con policy, audit e responsabilità chiare.

Quando l’AI amplifica il rischio

Se le identità sono il punto di ingresso, l’intelligenza artificiale rischia di diventare il moltiplicatore di impatto. L’adozione rapida dell’AI sta spesso precedendo la definizione di regole, controlli e responsabilità. Il risultato è un paradosso pericoloso: sistemi sempre più potenti, ma sempre meno governabili.

API non protette, modelli opachi, assenza di tracciabilità su input e output dell’AI: è in questi spazi che si annidano i nuovi rischi. Nel settore pubblico come in quello privato, la questione non è solo la compliance, ma la sovranità decisionale: chi controlla davvero le decisioni prese (o suggerite) da un sistema di AI?

Nel 2026, la governance dell’AI non può più essere demandata a linee guida generiche. Deve diventare parte integrante del framework di risk management aziendale.

Governance significa responsabilità, non burocrazia

Un errore diffuso è considerare la governance come un freno all’innovazione. In realtà è l’assenza di governance a bloccare la scalabilità dell’AI. Senza:

  • tracciabilità delle decisioni,

  • controllo sugli accessi ai modelli,

  • protezione delle API,

  • audit sugli output,

l’AI resta confinata a progetti pilota o, peggio, espone l’organizzazione a rischi non quantificati.

Nel 2026, sicurezza, AI e continuità operativa diventano un unico dominio. La resilienza non è più solo uptime, ma capacità di operare anche sotto attacco, errore o crisi normativa.

Il ruolo del board: dalla delega alla supervisione

C’è un ultimo passaggio, spesso sottovalutato: la sicurezza non è più delegabile solo al CISO. Identità digitali compromesse e AI non governata producono rischi reputazionali e legali che ricadono direttamente sul board.

Riportare la cybersecurity al centro delle decisioni significa:

  • tradurre il rischio tecnico in impatto di business;

  • coinvolgere il management nelle scelte su identità, AI e dati;

  • definire responsabilità chiare, misurabili e verificabili.

La fiducia come asset strategico

Nel 2026, la fiducia non è un concetto astratto. È il risultato di scelte precise su identità, sicurezza e governance dell’AI. Le organizzazioni che sapranno trattare questi temi come leve strategiche – e non come costi inevitabili – saranno anche quelle più resilienti, credibili e pronte a crescere.

Perché la sicurezza non fallisce per mancanza di tecnologia, ma per mancanza di governo.

LEGGI ANCHE

Gli ultimi articoli