La sicurezza informatica aziendale si trova a un punto di rottura: secondo un rapporto pubblicato da Checkmarx, società specializzata nella sicurezza delle applicazioni, quasi la metà del codice in produzione nelle grandi organizzazioni è generato da sistemi di intelligenza artificiale, e chi supera l'81% di codice AI-prodotto distribuisce software con vulnerabilità 3,4 volte più frequentemente rispetto a chi ne utilizza meno del 20%.
Il quadro che emerge dall'indagine — condotta su 2.350 tra Chief Information Security Officer (CISO), responsabili della sicurezza applicativa e sviluppatori in 14 paesi — solleva interrogativi profondi sulla sostenibilità delle pratiche di sviluppo software adottate dalle imprese. Il 93% delle organizzazioni ha subito almeno una violazione direttamente attribuibile ad applicazioni sviluppate internamente, eppure i comportamenti non sembrano cambiare in modo strutturale.
Il meccanismo che alimenta questo paradosso è la normalizzazione del rischio. Tre quarti delle imprese distribuiscono deliberatamente codice vulnerabile sotto la pressione di dimostrare un ritorno sull'investimento (ROI). Circa il 30% degli intervistati ha ammesso di rilasciare software compromesso sperando che la vulnerabilità non venga scoperta. Più di un terzo delle organizzazioni lascia irrisolte almeno la metà delle vulnerabilità note per 90 giorni o più.
Il problema si aggrava nel contesto dell'intelligenza artificiale agentiva, dove i tempi di sfruttamento delle vulnerabilità si comprimono drasticamente. Il modello Mythos di Anthropic — citato nel rapporto come caso emblematico — è risultato capace di identificare falle di sicurezza nei principali sistemi operativi e browser cento volte più velocemente rispetto ai modelli Claude precedenti. Il successivo progetto Glasswing ha portato alla luce migliaia di vulnerabilità precedentemente non identificate in tempi brevissimi. Come sottolinea il rapporto, "modelli della classe Mythos comprimono la finestra tra l'esistenza di una vulnerabilità e la disponibilità di un exploit funzionante da mesi a minuti".
Sul fronte della governance, i dati rivelano un ritardo strutturale: solo il 22% delle organizzazioni dispone di una governance formale sull'intelligenza artificiale, e gli sviluppatori continuano ad affidarsi principalmente a revisioni manuali del codice per garantire la conformità agli standard. Il disallineamento tra velocità di sviluppo e velocità di controllo è sistemico, non accidentale.
Particolarmente critico è il dato relativo alle organizzazioni che si autopercepiscono come "altamente mature" sul fronte AI: il 42% di esse distribuisce frequentemente codice ad alto rischio, con tassi di violazione "appena distinguibili" da quelli di aziende meno strutturate. Un segnale che l'autovalutazione, in assenza di metriche oggettive, produce una falsa sensazione di controllo.
Gli sviluppatori emergono come la categoria più esposta alle contraddizioni del sistema. Il rapporto evidenzia come siano responsabilizzati per i risultati anche quando i processi e gli strumenti non sono calibrati per supportarli. Solo il 18% degli sviluppatori presidia la sicurezza del codice in modo continuativo, nonostante la quasi totalità sia dotata di strumenti dedicati. Il nodo è la qualità dell'integrazione: feedback tardivi e indicazioni ambigue rendono gli strumenti di sicurezza percepiti come ostacoli piuttosto che come supporti.
Le raccomandazioni operative del rapporto puntano alla semplificazione degli stack tecnologici, alla riduzione della frammentazione degli strumenti e all'integrazione della sicurezza nei flussi di lavoro quotidiani degli sviluppatori, abbandonando il modello a "checkpoint" separati dal processo produttivo. Viene suggerito anche un approccio in cui l'AI contrasta l'AI, automatizzando la prioritizzazione e la risoluzione dei rischi senza attendere validazione umana a ogni passaggio.
Resta aperta una domanda di fondo: in un mercato dove la velocità di rilascio del software è diventata un indicatore di performance primario, chi ha il reale potere — e l'incentivo economico — per rallentare il processo e investire in sicurezza strutturale, prima che un incidente di scala sistemica renda inevitabile farlo?