Cybersecurity nell'era dell'IA e del calcolo quantistico: chi paga la transizione
C'è uno schema che si ripete ogni volta che una tecnologia cambia le regole del gioco con sufficiente velocità: i primi ad assorbire il costo sono coloro che hanno meno margine per farlo. La convergenza tra intelligenza artificiale e calcolo quantistico sta seguendo quello schema con una precisione scomoda. Gli attaccanti beneficiano di strumenti che riducono il tempo e il costo delle loro operazioni. I difensori, invece, accumulano debiti tecnici e organizzativi che ora devono pagare due volte: una per i rischi che l'IA introduce oggi, e un'altra per la migrazione crittografica che il mondo quantistico esigerà domani.
L'analisi di Michelle Drolet pubblicata nel Forbes Technology Council non è un avvertimento da laboratorio. È una mappa di tensioni già attive nei bilanci, nei consigli di amministrazione e nei team di sicurezza di qualsiasi azienda con un'infrastruttura digitale rilevante. E l'angolazione che interessa di più non è tecnologica: è distributiva. Chi si assume i costi, chi cattura il valore della transizione e quali incentivi strutturali stanno spingendo ogni attore nel sistema.
L'IA comprime il tempo disponibile per chi difende, non per chi attacca
L'asimmetria che l'intelligenza artificiale introduce nella cybersecurity non è nuova in termini concettuali, ma lo è in termini di magnitudo. Gli attaccanti usano l'IA per scoprire vulnerabilità più rapidamente, generare varianti di malware su larga scala, personalizzare messaggi di ingegneria sociale e automatizzare il riconoscimento degli obiettivi. Il costo marginale di lanciare un attacco sofisticato è diminuito in modo sostenuto. Il costo di difendersi, invece, rimane elevato, intensivo in termini di talento e difficile da automatizzare senza introdurre nuovi rischi.
I dati del World Economic Forum e di Accenture documentano tale percezione: il 94% dei leader della sicurezza considera l'IA come il fattore di cambiamento più significativo nella cybersecurity nel corso del prossimo anno, e l'87% indica le vulnerabilità associate all'IA come il rischio in maggiore crescita. Queste cifre non descrivono una preoccupazione futura. Descrivono l'architettura di un problema che è già all'interno delle organizzazioni.
Uno dei vettori meno discussi in questa analisi è quello che Drolet chiama "shadow AI": l'uso non autorizzato di strumenti di intelligenza artificiale da parte di dipendenti che riassumono riunioni, elaborano dati sensibili o generano codice attraverso piattaforme che l'organizzazione non controlla, non verifica e a volte nemmeno conosce. Il problema non è unicamente di sicurezza perimetrale. È un problema di governance interna in cui l'incentivo individuale, la produttività immediata del dipendente, entra in collisione diretta con l'interesse collettivo dell'organizzazione. Quel conflitto di incentivi non si risolve con le politiche, ma con il design: controlli di accesso, tracciabilità dei dati, restrizioni tecniche e supervisione umana sulle azioni di maggiore impatto.
La comparsa di sistemi di IA agentici, capaci di agire in modo autonomo per conto di un utente attraverso molteplici strumenti e flussi di lavoro, eleva quel problema a una categoria differente. Quando un agente di IA può prendere decisioni, eseguire transazioni o condividere informazioni senza intervento umano in tempo reale, il perimetro del rischio non ha più bordi chiari. L'errore, l'abuso delle credenziali e la fuga di dati possono avvenire a una velocità che nessun processo di audit reattivo è in grado di contenere. Il costo di quel rischio non lo assorbe il fornitore dello strumento. Lo assorbe l'organizzazione che lo ha distribuito.
La minaccia quantistica non aspetta che i team siano pronti
Il calcolo quantistico opera su un orizzonte diverso rispetto a quello dell'IA, ma la sua logica di pressione sui sistemi di sicurezza è ugualmente strutturale. Il meccanismo centrale si chiama "harvest now, decrypt later": gli avversari catturano oggi dati cifrati e li archiviano fino a quando i computer quantistici saranno in grado di rompere la crittografia a chiave pubblica che li protegge. L'attacco non avviene oggi. Il danno, tuttavia, è già in corso di semina.
Questo trasforma la migrazione verso la crittografia resistente al calcolo quantistico in una decisione di pianificazione attuale, non futura. Il National Institute of Standards and Technology (NIST) degli Stati Uniti ha già pubblicato i primi standard di crittografia post-quantistica, sostituendo schemi vulnerabili come RSA e la crittografia a curva ellittica. Ma l'adozione di questi standard non è un aggiornamento software. È un intervento profondo nell'architettura di sistemi che, in molti casi, sono stati costruiti per decenni sugli algoritmi che ora devono essere sostituiti.
La scala dello sforzo si riflette nelle proiezioni di mercato: gli investimenti in crittografia post-quantistica passeranno da 1,2 miliardi di dollari nel 2026 a 13,3 miliardi di dollari nel 2035, secondo Juniper Research. Quella crescita non è il riflesso di una tendenza tecnologica positiva. È la misura del deficit accumulato che le organizzazioni dovranno finanziare, in certificati, chiavi, software, hardware, fornitori e processi, per non restare esposte in un momento in cui la finestra di reazione si sarà già chiusa.
La distribuzione di quel costo è il punto in cui l'analisi diventa più interessante. Le organizzazioni grandi, con team specializzati e budget di sicurezza rilevanti, possono avviare programmi di migrazione strutturati, designare responsabili interni, inventariare le dipendenze crittografiche e negoziare con i fornitori da una posizione di forza. Le organizzazioni medie e piccole, che dipendono dagli stessi fornitori di piattaforme e servizi cloud, sono alla mercé del ritmo con cui quei fornitori implementano la transizione. Se il fornitore dà priorità prima ai suoi clienti aziendali più grandi, l'anello più debole della catena impiega più tempo a essere protetto, e l'anello più debole è, spesso, quello che connette l'intero sistema alle sue vulnerabilità più sfruttabili.
Il valore della preparazione non è dove il mercato lo sta misurando
Esiste un disallineamento strutturale nel modo in cui il mercato sta valutando la risposta a questi rischi. I fornitori di piattaforme di sicurezza, dai produttori di infrastrutture di rete ai fornitori di accesso sicuro e architetture zero trust, stanno integrando nei propri prodotti capacità di rilevamento basato sull'IA e cifratura resistente al calcolo quantistico. Questo ha senso dal punto di vista competitivo: chi offre prima una protezione integrata si aggiudica contratti e costruisce dipendenza tecnica.
Ma il valore di quelle capacità dipende da qualcosa che nessuna piattaforma può vendere direttamente: la capacità organizzativa dell'azienda che le adotta per operare con esse in modo coerente. Uno strumento di rilevamento di comportamenti anomali basato sull'IA non sostituisce la necessità di avere visibilità sugli asset, controlli sugli accessi e processi di risposta che funzionino quando l'allarme si attiva. Uno standard di crittografia post-quantistica non migra da solo i sistemi legacy che non vengono aggiornati da anni.
L'articolo di Drolet descrive un processo di preparazione che ha sette fasi. Quello che non descrive, sebbene sia implicito in ognuna di esse, è quanto di quel processo richieda un investimento sostenuto in capacità interne che il mercato delle soluzioni di sicurezza non può sostituire. La valutazione dei rischi deve essere svolta da qualcuno che conosca l'architettura reale dell'organizzazione. L'inventario delle dipendenze crittografiche deve essere costruito da qualcuno con accesso ai sistemi. La governance sugli agenti di IA deve essere progettata da qualcuno che comprenda come lavorano i team. Nessun fornitore esterno dispone di quelle informazioni di partenza.
Il problema distributivo di fondo è questo: la transizione verso una postura di sicurezza che possa essere sostenuta in un ambiente di IA generalizzata e di crescente pressione quantistica richiede che una parte significativa del valore venga generata internamente, sotto forma di capacità, processi e governance. Ma il mercato della cybersecurity è strutturato per vendere prodotti e servizi esterni, non per costruire capacità interna. Questo non significa che i fornitori esterni siano irrilevanti. Significa che la logica della delega totale, il modello in cui un'azienda esternalizza la propria sicurezza e presume che il problema sia risolto, non ha più margine per funzionare quando i rischi si muovono più velocemente dei contratti di servizio.
La migrazione che non si può rimandare senza che il costo si moltiplichi
La preparazione a questi rischi ha una caratteristica finanziaria che i consigli di amministrazione non stanno ancora interiorizzando con sufficiente chiarezza: il costo di agire in ritardo non è lineare. Ogni mese che passa senza avviare l'inventario crittografico, senza stabilire controlli sull'IA interna e senza designare un responsabile del programma di migrazione quantistica, è un mese in cui i sistemi legacy accumulano ulteriore debito tecnico, i fornitori avanzano senza coordinamento con l'organizzazione e gli attaccanti catturano più dati con valore a lungo termine.
La migrazione verso la crittografia post-quantistica è il caso più illustrativo. I sistemi che non possono essere aggiornati rapidamente non sono una minoranza. In settori come quello finanziario, sanitario o delle infrastrutture critiche, ci sono componenti con cicli di vita di decenni che sono stati progettati su presupposti crittografici che il calcolo quantistico invalida. Sostituirli richiede tempo, denaro e coordinamento con catene di fornitori che devono anch'essi aggiornare i propri sistemi. Quanto più tardi inizia quel processo, tanto più compresso diventa il tempo disponibile e tanto più costoso risulta completarlo prima che il rischio si materializzi.
Lo schema che indica Drolet, e che l'analisi degli incentivi conferma, è che le organizzazioni che avviano quel processo ora stanno pagando un costo distribuito nel tempo, gestibile all'interno dei normali budget tecnologici e di sicurezza. Quelle che lo rimandano stanno accumulando un debito che dovranno pagare tutto in una volta, sotto pressione regolatoria, contrattuale o competitiva, in un momento in cui avranno meno capacità di negoziazione e meno tempo per farlo bene.
La cybersecurity non ha cambiato i propri fondamenti con l'IA, né li cambierà con il calcolo quantistico. Ciò che cambia è il costo di ignorare quei fondamenti, e quel costo non ammette più un'ammortizzazione graduale. Le organizzazioni che trattano la preparazione a questi rischi come un investimento presente stanno acquistando tempo e opzionalità. Quelle che la trattano come una spesa rinviabile stanno accumulando un'esposizione il cui prezzo verrà fissato, alla fine, da qualcuno che non ha incentivi a essere generoso.









