Fondato nel 1996 da Angelo Maria Perrino
Direttore responsabile Marco Scotti

Home » Economia » Agenti IA, violazione dei dati e incidenti informatici: ecco quanto rischiano le aziende italiane

Agenti IA, violazione dei dati e incidenti informatici: ecco quanto rischiano le aziende italiane

Ecco perché gli agenti di intelligenza artificiale, software autonomi che operano nei sistemi aziendali con credenziali proprie, sono già considerati la principale minaccia interna dalle imprese

Agenti IA, violazione dei dati e incidenti informatici: ecco quanto rischiano le aziende italiane

4,24 milioni di euro: il costo di ogni violazione da insider threat legata agli agenti AI. Fratocchi: “Il prezzo del non sapere”

Incrociando i costi noti delle violazioni informatiche con la diffusione già massiccia degli agenti di intelligenza artificiale nelle imprese, l’esposizione economica per le aziende italiane critiche può stimarsi, in via prudenziale, nell’ordine delle centinaia di milioni di euro l’anno. Il calcolo nasce dal Cost of a Data Breach Report 2025 di IBM, secondo cui una violazione causata da un insider threat costa in media 4,24 milioni di euro in Italia, aggravata di ulteriori 161.541 euro in presenza di un uso non governato di sistemi AI (shadow AI); applicando queste cifre alle circa 20mila aziende del perimetro NIS2 e all’88% di organizzazioni che secondo Gravitee ha già avuto un incidente legato agli agenti AI, il rischio aggregato assume una scala che nessuna azienda può più ignorare. È una proiezione illustrativa, non una stima ufficiale.

Gli agenti di intelligenza artificiale, software autonomi che operano nei sistemi aziendali con credenziali proprie, sono già considerati la principale minaccia interna dalle imprese. Lo rileva il 2026 Agentic AI Security Report di Arkose Labs, secondo cui l’87% dei dirigenti ritiene gli agenti AI un rischio insider superiore a quello dei dipendenti umani, e il 97% si aspetta un incidente di sicurezza grave riconducibile a questi sistemi entro un anno. A fronte di ciò, solo il 6% dei budget di sicurezza è destinato al problema.

Agenti IA, violazione dei dati e incidenti informatici: ecco quanto rischiano le aziende italiane

Secondo un’analisi di Claudio Fratocchi, Managing Director di Scientia Consulting ed esperto di cybersecurity e infrastrutture critiche, il fenomeno riguarda direttamente le imprese italiane soggette alla direttiva NIS2, che impone a migliaia di soggetti essenziali e importanti – energia, trasporti, sanità, telecomunicazioni, pubblica amministrazione – di censire e governare la propria superficie di attacco. Le ispezioni dell’Agenzia per la Cybersicurezza Nazionale su circa 20mila aziende italiane partiranno dal 31 ottobre 2026, con sanzioni fino a 10 milioni di euro.

“L’insider threat del 2026 non ha un badge, non timbra il cartellino e non compare nell’organigramma” – dichiara Fratocchi -. “Le aziende stanno immettendo nei propri sistemi centinaia di identità non umane con privilegi elevati, che si creano e distruggono in millisecondi e nel 25% dei casi possono generare altri agenti. Senza un inventario e un titolare per ciascuno, in caso di incidente l’azienda non sa nemmeno quanti sistemi ha esposto”.

Per Fratocchi un agente AI non censito è “superficie di attacco non governata”, una condizione che espone le imprese NIS2 a una posizione difficilmente difendibile davanti all’autorità in caso di incidente. Il settore più colpito a livello globale da incidenti legati agli agenti AI è quello delle telecomunicazioni (67% dei casi secondo Gravitee), uno dei pilastri del perimetro NIS2.

Il tema si inserisce in un quadro nazionale già critico: secondo il Rapporto Clusit 2026 l’Italia ha subito 507 incidenti informatici gravi nel 2025 (+42%), pari al 9,6% del totale mondiale, mentre gli investimenti in cybersicurezza restano allo 0,13-0,14% del Pil, meno della metà della media dei Paesi G7 (0,3%). L’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano colloca da anni l’Italia all’ultimo posto nel G7 su questo indicatore.

Il calcolo del rischio aggregato citato in apertura si basa su un incrocio di fonti finora inedito per il mercato italiano: il costo medio di una violazione dei dati in Italia è di 3,31 milioni di euro (Cost of a Data Breach Report 2025, IBM), e il 97% delle violazioni che hanno coinvolto sistemi di intelligenza artificiale è avvenuto senza controlli di accesso adeguati. Si tratta di una proiezione di ordine di grandezza, non di una stima ufficiale: a oggi nessuna fonte quantifica in modo specifico il costo degli incidenti legati agli agenti AI in Italia.

“Non abbiamo nemmeno un numero preciso su quanto ci costerà tutto questo, e questo la dice lunga sul punto cieco di cui parliamo – dichiara Fratocchi -. Ma incrociando i costi noti di una violazione da insider threat con l’adozione già massiccia degli agenti nelle imprese italiane, l’ordine di grandezza è quello delle centinaia di milioni di euro l’anno. Le aziende devono iniziare a considerare gli agenti non censiti come un costo nascosto in bilancio, prima che diventi una voce di perdita reale”.

Fratocchi indica tre priorità per le aziende: censire ogni agente AI attivo con titolare e permessi definiti; trattare ogni agente come identità digitale a sé, con credenziali dedicate e a privilegio minimo, mai condivise; introdurre l’approvazione umana obbligatoria per le azioni ad alto impatto e il log completo di ogni azione agentica.

“La finestra per agire è adesso” – conclude Fratocchi -. “Chi costruisce oggi l’inventario e la governance degli agenti si troverà tra un anno con un vantaggio competitivo e regolatorio. Chi aspetta, scoprirà i propri agenti nel modo peggiore: leggendone le azioni nel report di un incidente”.

LEGGI LE NOTIZIE DEL CANALE ECONOMIA