Dal prodotto alla cultura di sicurezza, dalla reazione alla fiducia asimmetrica: come cambia il ruolo del Ciso in azienda

Allora il Ciso deve comportarsi come un direttore d’orchestra: coordinare tutte le componenti della sicurezza, dalle informazioni sulle minacce ai controlli sugli accessi, fino al monitoraggio dei sistemi. Ma soprattutto deve stabilire procedure chiare che uniscano rilevazione, contenimento e comunicazione, riducendo al minimo i tempi di reazione grazie ad automatismi che limitino il rischio di errore umano.

L’AI è insieme la leva che potenzia i difensori e l’arma che rende scalabili phishing mirati, malware adattivo e prompt injection. Il Ciso del futuro si trasforma in curatore del rapporto tra macchine intelligenti, persone, processi e norme: non solo tecnologie, ma regole d’uso, controlli di processo e accountability. In Europa questo significa allineare l’approccio di security by design con la regolamentazione europea di Nis2, Dora, Gdpr e AI Act. Deloitte conferma che i programmi cyber più maturi integrano l’AI per detection e risposta e che la competenza in materia del Ciso è ormai un fattore di valore percepito a livello di board.

Il rovescio della medaglia è la nuova classe di rischi portata da strumenti “agentici”. La raccomandazione di Gartner di bloccare temporaneamente i browser dotati di AI integrata nelle imprese — per il rischio di perdita “irreversibile e non tracciabile” di dati e di transazioni automatizzate errate — è un esempio di come la leadership legata alla sicurezza debba prendere decisioni nette, anche impopolari, in attesa di controlli maturi. Non è un divieto “per sempre”, è un invito a governare l’adozione: regole chiare su cosa può essere condiviso con l’AI, isolare contesti sensibili, verifiche umane su azioni critiche e abilitate per strumenti conformi.

“Non bastano più prodotti e software”. La conclusione operativa non è, però, “meno tecnologia”, ma più metodo. Il responsabile della sicurezza deve essere in grado di costruire una cultura diffusa che renda l’errore umano meno probabile “by design”.

Nerl caso di funzioni sensibili come pagamenti, cambi di Iban o accessi riservati, per esempio, non basta una sola verifica: serve una doppia conferma su canali diversi, così da ridurre il rischio di frodi. In questi casi un’ulteriore autenticazione rappresenta la risposta concreta ai falsi vocali e alle email perfette create dall’AI.

Le aziende devono inoltre sapere, in tempo reale, quali parti dei loro sistemi sono visibili e vulnerabili: questo significa monitorare continuamente, dare priorità ai rischi più gravi e chiudere le falle prima che diventino incidenti, un approccio che Gartner indica come chiave per ridurre drasticamente le violazioni.

Nel caso di sviluppo di un software, la sicurezza non va “aggiunta” alla fine, ma deve essere prevista già nella fase di progettazione. Questo vuol dire impostare regole chiare, limitare i privilegi di accesso e segmentare le reti per ridurre i danni in caso di attacco. Anche le identità “digitali” delle macchine vanno gestite con attenzione.

Per quanto riguarda un altro aspetto particolarmente sensibile come tutto il fronte dei dati aziendali, devono essere classificati, protetti e accessibili solo a chi ne ha davvero bisogno, la cifratura deve essere automatica, i registri delle attività completi e la conservazione proporzionata al rischio. Queste precauzioni rappresentano infatti il ponte tra il rispetto delle norme e la capacità di garantire l’operatività anche in caso di crisi.

Tutto questo è orchestrazione: non un catalogo di tool, ma una progettazione coerente in cui le persone sanno cosa fare, quando e con quale responsabilità. Deloitte mostra che dove il Ciso siede stabilmente al tavolo strategico, la probabilità di centrare gli obiettivi di business cresce e la sicurezza diventa abilitante, non frenante.

Il principio della security by design evolve, quindi, in resilience by design: partire dall’assunto che il sistema potrà essere sotto attacco, progettare per isolare, ripristinare rapidamente e comunicare con trasparenza. Nel 2026 vedremo l’AI rendere più rapidi sia gli attacchi sia le difese. A vincere sarà chi saprà ridurre il tempo tra rilevazione e contenimento con un’automazione affidabile, backup protetti e catene di decisione chiare.