L'IA aziendale è operativa da anni e appena uno su cinque dirigenti sa cosa ha in casa
Più della metà delle grandi organizzazioni nel mondo ha già l'intelligenza artificiale generativa attiva in qualche parte del proprio business. Questo è un fatto documentato. Ciò che non si documenta con la stessa facilità è quello che accade sotto quella statistica: sistemi che elaborano dati sensibili senza che nessuno abbia definito chi li supervisiona, agenti autonomi che prendono decisioni all'interno di flussi di lavoro che nessun team di sicurezza ha mai verificato, e livelli di governance arrivati in ritardo o semplicemente mai arrivati.
Uno studio pubblicato da OpenText Cybersecurity in collaborazione con il Ponemon Institute riporta un dato che merita attenzione prolungata: solo uno su cinque dirigenti può affermare che i propri sistemi di IA sono completamente distribuiti con i rischi di sicurezza valutati. Non è una maggioranza scomoda. È l'ottanta per cento delle organizzazioni che ha avanzato nell'adozione senza risolvere le domande più basilari su controllo, accesso e responsabilità.
Questo è il problema di maturità di cui nessuno vuole parlare onestamente nella sala del consiglio, perché nominarlo implica ammettere che la pressione ad adottare è stata più rapida della capacità di governare.
Adozione senza architettura è un'altra forma di improvvisazione
La narrativa predominante attorno all'intelligenza artificiale aziendale continua a funzionare come se il problema centrale fosse l'accesso alla tecnologia. Come se bastasse implementare il modello giusto, collegarlo ai sistemi corretti e aspettarsi che i risultati arrivino da soli. Quella narrativa ha qualcosa di comodo per il C-Level: permette di misurare il progresso in numero di progetti pilota, in strumenti distribuiti, in reparti che "usano già l'IA".
Quello che quella narrativa nasconde è più costoso. Secondo i dati dello stesso studio, la maggioranza delle organizzazioni riferisce che l'IA ha reso più complesso, non più semplice, il rispetto dei propri requisiti di privacy e sicurezza. Eppure, una proporzione significativamente inferiore ha stabilito le politiche e i controlli necessari per gestire quei rischi. Il divario non è tecnico. È una questione di priorità.
Sanjay Srivastava, che da Genpact ha costruito uno dei framework più precisi per pensare alla maturità dell'IA aziendale, lo formula senza ambiguità: il percorso verso la maturità nell'intelligenza artificiale passa direttamente per i dati. Non per i modelli. Non per il budget dell'innovazione. Per l'architettura dei dati, per la governance incorporata nelle operazioni, per la chiarezza su chi è responsabile di cosa e in quali condizioni. Quando un'organizzazione salta quel passaggio, non adotta l'IA con maturità: distribuisce capacità senza controllo.
Il problema non è unicamente tecnico perché i sistemi di IA non operano nel vuoto. Operano all'interno di organizzazioni dove i team più vicini al business raramente parlano con i team di sicurezza prima che qualcosa si guasti. Operano in ambienti dove gli agenti autonomi possono interagire con dati finanziari, legali o di clienti senza che esista un inventario aggiornato di chi ha accesso a cosa. E operano sotto pressione direttiva che premia frequentemente la velocità di distribuzione rispetto alla solidità dell'architettura.
L'analista Jason Snyder lo chiama "teatro del coordinamento": quella scena organizzativa in cui esistono comitati sull'IA, dashboard di adozione e presentazioni trimestrali che mostrano trazione, mentre i flussi di lavoro reali rimangono non ridisegnati, i dati non integrati e la governance non definita. Il risultato è un'adozione che si misura in metriche di attività, non in impatto operativo o finanziario. E quando arriva l'audit, o l'incidente, l'organizzazione scopre di aver adottato senza costruire.
La sicurezza che arriva tardi non può più arrivare in tempo
Esiste una dinamica specifica che caratterizza le organizzazioni con bassa maturità nell'IA: la sicurezza e la governance vengono trattate come livelli da aggiungere dopo la distribuzione, non come condizioni di progettazione. È uno schema che i team di sicurezza conoscono bene, ma che il C-Level tende a sottovalutare fino a quando non ha un costo diretto.
I dati del Forbes Research AI Survey 2025 quantificano la portata del problema con una precisione che dovrebbe preoccupare qualsiasi consiglio di amministrazione: il 62% dei leader aziendali riconosce che l'IA complica il mantenimento delle proprie difese di cybersecurity, e il 63% afferma che le minacce potenziate dall'IA possono rendere obsolete le loro difese attuali nel giro di mesi. Un anno prima, quella seconda percentuale era del 29%.
Non si tratta di una tendenza graduale. È un'accelerazione brusca della percezione del rischio, che coincide con l'accelerazione della distribuzione dell'IA nelle operazioni. Le organizzazioni stanno inserendo più IA nei propri sistemi proprio quando la loro esposizione alle minacce abilitate dall'IA cresce a una velocità maggiore rispetto alla loro capacità di risposta.
La soluzione che propone questa analisi non è ridurre la velocità di adozione, ma cambiare la sequenza delle decisioni. La sicurezza e la governance non possono funzionare come audit successivi alla distribuzione; devono essere incorporate nel ciclo di vita completo del sistema, dalla progettazione del modello fino alla sua integrazione con le applicazioni di business, passando per la formazione, la distribuzione e il monitoraggio continuo.
Ciò implica, in termini concreti, diverse cose che le organizzazioni con bassa maturità rimandano frequentemente. In primo luogo, un inventario reale di quali sistemi di IA operano nell'ambiente e a cosa possono accedere. Senza quella visibilità, non esiste alcuna governance possibile. In secondo luogo, un'estensione della gestione delle identità e degli accessi per includere gli agenti non umani: ogni agente di IA deve avere un ruolo definito, permessi delimitati e tracciabilità delle proprie azioni. In terzo luogo, un modello di monitoraggio continuo che identifichi comportamenti anomali in tempo reale e che abbia protocolli di risposta definiti prima che si verifichi l'incidente, non dopo.
Nessuno di questi passaggi è tecnologicamente sofisticato. Ciò che richiedono è qualcosa di più difficile: la volontà di rallentare la distribuzione quanto basta per costruire l'architettura che la sostenga. E quella volontà scarseggia quando gli incentivi direttivi sono allineati con la velocità di adozione, non con la qualità della governance.
Cosa rivela l'ottanta per cento su come decidiamo di adottare
La cifra del venti per cento di organizzazioni con vera maturità nell'IA non è solo un indicatore di gestione tecnologica. È un sintomo di qualcosa di più profondo nel modo in cui le grandi organizzazioni prendono decisioni sotto pressione di mercato.
Quando l'ottanta per cento adotta senza aver valutato i propri rischi di sicurezza, non è perché manchino di informazioni sulla necessità di farlo. I team di tecnologia, sicurezza e conformità normalmente sanno cosa serve. Il problema si trova un livello sopra: nella conversazione che non è avvenuta tra lo slancio all'adozione e le condizioni per sostenerla con responsabilità.
In molte organizzazioni esiste una conversazione implicita che nessuno ha in modo esplicito: quella che dovrebbe avvenire tra il CEO che vuole mostrare trazione nell'IA al consiglio, il CISO che sa che l'architettura di sicurezza non è pronta, il CFO che deve approvare un investimento aggiuntivo in governance che non era nel budget iniziale, e il team legale che non ha ancora definito i limiti di utilizzo dei dati sensibili da parte degli agenti autonomi.
Quella conversazione non avviene in tempo perché ha un costo politico interno. Frenare o condizionare la distribuzione dell'IA in un momento in cui il mercato spinge nella direzione opposta richiede che qualcuno nel C-Level sia disposto a sostenere quella posizione di fronte al consiglio, di fronte agli azionisti, di fronte al team commerciale che vuole risultati. E in assenza di un incidente che forzi quella conversazione, l'inerzia istituzionale si inclina sempre verso l'avanzamento.
Il problema di maturità dell'IA aziendale, quindi, non si risolve solo con strumenti di governance migliori o con più budget per la sicurezza. Questi sono strumenti necessari. Ma la condizione preliminare è che qualcuno nella direzione sia disposto a nominare quello che il sistema evita di nominare: che la velocità della distribuzione ha superato la capacità di controllo, che questo ha conseguenze reali e che correggerlo ha un costo a breve termine.
Le organizzazioni che riescono a varcare quella soglia non lo fanno perché hanno scoperto una metodologia più elegante. Lo fanno perché qualcuno ha avuto quella conversazione prima che l'incidente la forzasse.
La maturità non è uno stato, è una decisione che si ripete
La ricerca del Ponemon Institute stabilisce che raggiungere la maturità nell'IA implica che i sistemi siano completamente distribuiti con i rischi di sicurezza valutati. È quella congiunzione a definire la soglia. Non la distribuzione da sola. Non la valutazione da sola. Entrambe le cose simultaneamente.
Ciò che rende difficile quella soglia per la maggioranza delle organizzazioni non è la complessità tecnica del problema, ma la struttura degli incentivi attorno alla decisione. Gli incentivi attuali premiano la distribuzione. Le metriche di successo che vengono riportate ai consigli di amministrazione sono metriche di adozione: quanti reparti usano l'IA, quanto tempo fanno risparmiare gli strumenti, quanti processi sono stati automatizzati. Le metriche di governance, di inventario degli accessi, di valutazione del rischio per ogni sistema distribuito, raramente hanno lo stesso peso in quella conversazione.
Cambiare questo non è un problema di cultura organizzativa in astratto. È un problema di progettazione di incentivi concreti. Finché i leader vengono valutati per la velocità di adozione e non per la qualità dell'architettura di controllo, l'ottanta per cento continuerà a essere ottanta per cento, e gli incidenti continueranno a essere il principale meccanismo di apprendimento.
Le organizzazioni che stanno varcando quella soglia stanno facendo qualcosa di specifico: stanno incorporando criteri di governance e sicurezza nella definizione stessa di cosa significa che un sistema di IA è "pronto per operare". Non come un passaggio aggiuntivo alla fine del processo, ma come condizione di chiusura di ogni fase della distribuzione. Stanno estendendo la gestione delle identità per includere gli agenti non umani con la stessa rigore con cui gestiscono gli accessi dei dipendenti. Stanno monitorando il comportamento dei propri sistemi di IA in tempo reale e dispongono di protocolli definiti per rispondere alle anomalie prima che si escalino.
Nulla di tutto ciò è rivoluzionario. Ciò che è insolito è la volontà di farlo prima che l'incidente lo esiga.
Esiste una differenza significativa tra le organizzazioni che imparano dai propri errori e quelle che imparano da quelli altrui. L'ottanta per cento che non ha ancora valutato i propri rischi di sicurezza sta ancora scegliendo in quale di quelle due categorie vuole stare.









