Allora il Ciso deve comportarsi come un direttore d’orchestra: coordinare tutte le componenti della sicurezza, dalle informazioni sulle minacce ai controlli sugli accessi, fino al monitoraggio dei sistemi. Ma soprattutto deve stabilire procedure chiare che uniscano rilevazione, contenimento e comunicazione, riducendo al minimo i tempi di reazione grazie ad automatismi che limitino il rischio di errore umano.
AI, acceleratore e destabilizzatore
L’AI è insieme la leva che potenzia i difensori e l’arma che rende scalabili phishing mirati, malware adattivo e prompt injection. Il Ciso del futuro si trasforma in curatore del rapporto tra macchine intelligenti, persone, processi e norme: non solo tecnologie, ma regole d’uso, controlli di processo e accountability. In Europa questo significa allineare l’approccio di security by design con la regolamentazione europea di Nis2, Dora, Gdpr e AI Act. Deloitte conferma che i programmi cyber più maturi integrano l’AI per detection e risposta e che la competenza in materia del Ciso è ormai un fattore di valore percepito a livello di board.
Il rovescio della medaglia è la nuova classe di rischi portata da strumenti “agentici”. La raccomandazione di Gartner di bloccare temporaneamente i browser dotati di AI integrata nelle imprese — per il rischio di perdita “irreversibile e non tracciabile” di dati e di transazioni automatizzate errate — è un esempio di come la leadership legata alla sicurezza debba prendere decisioni nette, anche impopolari, in attesa di controlli maturi. Non è un divieto “per sempre”, è un invito a governare l’adozione: regole chiare su cosa può essere condiviso con l’AI, isolare contesti sensibili, verifiche umane su azioni critiche e abilitate per strumenti conformi.
Cultura e processi vs tecnologia
“Non bastano più prodotti e software”. La conclusione operativa non è, però, “meno tecnologia”, ma più metodo. Il responsabile della sicurezza deve essere in grado di costruire una cultura diffusa che renda l’errore umano meno probabile “by design”.
Nerl caso di funzioni sensibili come pagamenti, cambi di Iban o accessi riservati, per esempio, non basta una sola verifica: serve una doppia conferma su canali diversi, così da ridurre il rischio di frodi. In questi casi un’ulteriore autenticazione rappresenta la risposta concreta ai falsi vocali e alle email perfette create dall’AI.
