All’ex Conservatorio Sant’Anna di Lecce, il panel “Business & Finance – La cybersecurity e le nuove sfide dell’AI” ha messo intorno allo stesso tavolo ingegneri, accademici, consulenti legali e specialisti di innovazione per affrontare il nodo più sensibile del momento: come tenere insieme sicurezza, competitività delle imprese, intelligenza artificiale e tutela dei diritti in un contesto economico che corre più veloce delle norme. A moderare l’incontro è stato Livio Varriale, direttore di MatriceDigitale.it, giornalista e autore de “La Prigione dell’Umanità”, che ha guidato un confronto serrato tra Nicola Fiore, vicepresidente dell’Ordine degli Ingegneri della provincia di Lecce e segretario del Comitato Italiano Ingegneria dell’Informazione (C3i), Antonella Longo, professore associato di Big Data Management and Governance all’Università del Salento, Francesca Felline, ingegnere e senior researcher presso CETMA – Centro di progettazione, design & tecnologie dei materiali, Anna Perut, consulente in materia di protezione dati, cybersecurity, contratti ICT e gestione documentale e Arianna Crepaldi, esperta di cybersecurity e delegata territoriale ANORC. I relatori hanno testimoniato quanto la sfida dell’IA in ambito sicurezza sia ormai diventata un tema trasversale tra pubblica amministrazione, imprese e professioni tecniche. Quello che è emerso, in modo netto, è che le nuove sfide dell’intelligenza artificiale non riguardano solo gli algoritmi, ma ridefiniscono il ruolo dell’ingegnere, i modelli di business delle pmi, le strategie di formazione e la stessa grammatica della cybersecurity aziendale.
Cosa leggere
Il ruolo dell’ingegnere dell’informazione come garante di coscienza nell’era degli agenti IA
In apertura, Nicola Fiore ha posto una questione che è al tempo stesso tecnica e politica: il riconoscimento pieno della figura dell’ingegnere dell’informazione come soggetto centrale nel governo delle nuove tecnologie. In un momento in cui le professioni sono oggetto di revisione normativa e il legislatore prova a colmare i vuoti nelle aree non ancora presidiate, il settore dell’informazione e della sicurezza digitale si trova in una posizione paradossale: da un lato, è chiamato a garantire la protezione dei cittadini di fronte alle “derive tecnologiche”; dall’altro, la sua valutazione normativa e sociale è ancora lontana dal potenziale effettivo che esprime. Fiore ha insistito sulla necessità di riconoscere formalmente il ruolo dell’ingegnere dell’informazione com negli uffici, nelle fabbriche e nelle piattaforme finanziarie, non basta più avere “qualcuno che capisce i computer”: serve una professionalità certificata che unisca competenze tecniche e responsabilità etica. Da qui, la riflessione sugli agenti di intelligenza artificiale. Fiore ha distinto tra sistemi che rispondono in modo superficiale alle domande e agenti dotati di memoria di lungo periodo, capaci di perseguire obiettivi complessi e di orchestrare azioni autonome su più servizi. L’esempio del “vacation agent” – un agente IA che, a partire da pochi parametri, è in grado di cercare offerte, confrontare hotel, valutare trasporti e arrivare persino a effettuare la prenotazione utilizzando i dati della carta di credito forniti dall’utente – ha mostrato quanto sottile sia oggi il confine tra assistenza intelligente e deleghe pericolose. Ancora più rilevante l’applicazione in ambito industriale: agenti IA che possono coordinare un “esercito” di micro-servizi, generare o verificare parti di codice per applicazioni su smartphone, ottimizzare processi produttivi, impostare parametri di macchine e impianti. In questi scenari, i margini per l’errore umano o per la manipolazione malevola aumentano esponenzialmente. Per Fiore, il punto è chiaro: l’efficienza degli agenti IA va sfruttata, ma la coscienza resta saldamente in capo all’essere umano. L’ingegnere non è più solo progettista o manutentore di sistemi, diventa il garante di coscienza nell’uso dell’intelligenza artificiale, chiamato a stabilire fino a dove può arrivare la macchina e dove deve intervenire il giudizio umano per prevenire abusi, derive e rischi sistemici.
Shadow AI e “ombre digitali”: quando l’IA entra in azienda dalla porta sbagliata
La seconda parte del panel, con l’intervento di Antonella Longo, ha spostato il fuoco su un fenomeno già presente nelle aziende ma spesso ignorato: la shadow AI, cioè l’uso di strumenti di intelligenza artificiale fuori da qualsiasi perimetro di governance aziendale. Longo ha spiegato come, in pratica, molti dipendenti e collaboratori utilizzino quotidianamente servizi di IA generativa – dalle interfacce web ai plugin integrati nei browser – per creare presentazioni, sintetizzare documenti, tradurre testi, elaborare contenuti per la didattica o la ricerca, senza alcun controllo da parte dell’organizzazione. Il risultato è che documenti aziendali riservati, informazioni sensibili, file interni e contenuti protetti finiscono copiati e incollati in chat e prompt di strumenti esterni, spesso legati ad account personali, gratuiti, non soggetti a policy di sicurezza aziendale. In questo modo, ciò che nasce come supporto al lavoro si trasforma in un canale permanente di esfiltrazione dei dati, in aperto contrasto con la compliance privacy e con le basi minime di protezione del know-how. Ancora più insidiosi sono i plugin IA integrati nei browser: strumenti che, con un semplice clic, sono in grado di leggere ciò che appare sullo schermo, accedere ai contenuti delle pagine, interagire con piattaforme di terzi. In alcuni casi – ha ricordato Longo – questi plugin sono sviluppati nel rispetto delle regole di sicurezza; in altri, possono diventare dei veri e propri veicoli di attacco, aprendo varchi verso attori malevoli senza che l’azienda ne abbia la minima consapevolezza. Il problema non è confinato a un singolo settore. Longo ha citato sanità, finanza, education e ricerca come ambiti in cui l’uso disinvolto dell’IA può esporre i dati più preziosi: cartelle cliniche, posizioni finanziarie, materiali d’esame, progetti industriali. Il punto centrale è che l’uso dell’IA generativa è comodo, fa risparmiare tempo, migliora la produttività percepita. Ma se non viene incanalato in policy chiare, strumenti certificati e percorsi di formazione, trasforma le aziende in sistemi porosi, in cui ogni dipendente diventa un potenziale punto di fuga di dati. Da qui la proposta di Longo di affiancare alla sensibilizzazione anche strumenti concreti: all’Università del Salento è stato sviluppato un plugin sperimentale che si integra nel browser, intercetta l’uso di piattaforme IA e, quando vengono digitati o incollati contenuti potenzialmente sensibili, avvisa l’utente e, in logica aziendale, potrebbe segnalare al responsabile della compliance i rischi in corso. Sul piano normativo, Longo ha ricordato che dal febbraio 2025 tutte le organizzazioni pubbliche e private saranno tenute a svolgere formazione specifica sull’IA e sui dati, un obbligo che si innesta nella più ampia architettura europea su AI e data governance. Il paradosso è che esistono già percorsi gratuiti, sportelli e strumenti sul territorio, ma spesso mancano gli utenti: le imprese non li conoscono, o non li considerano una priorità.
La conclusione è netta: non si tratta di demonizzare l’IA, ma di riconoscere che senza una cultura della consapevolezza e senza strumenti di controllo, la shadow AI rischia di diventare la nuova frontiera del rischio cyber, invisibile alle misure tradizionali.
Gli European Digital Innovation Hub come presidio di frontiera
Il passaggio di parola a Francesca Felline ha messo a fuoco il lato più industriale e territoriale del problema:
come possono le micro, piccole e medie imprese usare l’IA per restare competitive senza diventare bersagli facili dei cybercriminali?
Felline ha ricordato che l’intelligenza artificiale è ormai uscita dai laboratori di ricerca ed è entrata nel cuore dei processi produttivi. Le aziende la utilizzano per la manutenzione predittiva, per l’ottimizzazione delle linee di produzione, per il controllo qualità, per i chatbot di assistenza clienti, ma anche in settori apparentemente “tradizionali” come l’agricoltura, dove sistemi di supporto alle decisioni aiutano a gestire coltivazioni, irrigazione, logistica. Il problema è che il tessuto produttivo europeo, e ancora di più quello pugliese, è composto in larga parte da micro e piccole imprese che non dispongono né di competenze interne né di risorse economiche sufficienti per strutturare una vera strategia di cybersecurity. L’IA viene adottata come leva di innovazione e competitività, ma gli investimenti in difesa restano spesso marginali o affidati a soluzioni di base. Qui si colloca il ruolo degli European Digital Innovation Hub (EDIH), una rete di poli finanziati dalla Commissione Europea per accompagnare le imprese nella transizione digitale. In Europa sono oltre 150, in Italia diversi hub operano sul territorio; tra questi, Felline ha citato il 3D MEDIS, attivo in Puglia, che riunisce università, centri tecnologici come CETMA, enti di ricerca come ENEA e attori dell’ecosistema dell’innovazione e delle startup. Il compito degli EDIH è fungere da punto di accesso unico per le imprese interessate a tecnologie avanzate come intelligenza artificiale, cybersecurity, robotica, realtà virtuale. I servizi vanno dalla formazione del personale ai test before invest, veri e propri progetti dimostrativi che permettono alle aziende di toccare con mano l’impatto di una tecnologia su processi, prodotti o servizi, fino al supporto nella ricerca di bandi e finanziamenti per passare dal prototipo all’implementazione reale. Un elemento decisivo è che, per pmi e liberi professionisti, molti di questi servizi sono gratuiti, perché coperti dal finanziamento europeo: la Commissione ha riconosciuto che senza un supporto dedicato, le imprese di piccole dimensioni non avrebbero la capacità di affrontare da sole costi e complessità della trasformazione digitale. Felline ha sottolineato come gli EDIH non si limitino a proporre tecnologia, ma partano da un’analisi della maturità digitale dell’impresa, per poi costruire una roadmap personalizzata che includa formazione, sperimentazione e, quando necessario, servizi di valutazione del rischio cyber e penetration test su applicazioni e infrastrutture. Questo approccio si inserisce nella strategia del Digital Decade europeo, che punta a far sì che entro il 2030 almeno il 75% delle imprese utilizzi in maniera strutturata tecnologie come cloud, IA e supercalcolo. Perché questo obiettivo non resti uno slogan, occorre che l’innovazione non sia solo adottata, ma anche protetta, e che la cybersecurity diventi una componente naturale – e non accessoria – dei progetti di trasformazione digitale.
Tra detection avanzata e controllo sui lavoratori
L’intervento di Anna Perut ha riportato la discussione dentro il perimetro, spesso sottovalutato, del rapporto tra IA, sicurezza informatica, protezione dei dati personali e diritti dei lavoratori. Perut ha riconosciuto che l’intelligenza artificiale, se integrata nei sistemi di sicurezza, può rappresentare un potente alleato. Le soluzioni IA–driven permettono di analizzare quantità di log e segnali che un team umano non riuscirebbe a gestire, individuando tentativi di accesso anomali, spostamenti sospetti di dati, comportamenti fuori standard. Strumenti come i sistemi SIEM di nuova generazione, arricchiti da motori di machine learning, non si limitano più a correlare eventi sulla base di regole statiche, ma sono in grado di imparare il comportamento abituale di utenti e sistemi e di segnalare in tempo quasi reale deviazioni significative, come accessi fuori orario, download massivi di documenti, utilizzo anomalo di credenziali condivise. Queste capacità permettono di superare una visione puramente reattiva della sicurezza e di avanzare verso un modello predittivo e proattivo, in cui è possibile intervenire prima che un incidente diventi catastrofico. Ma ogni passo avanti sul piano tecnico apre domande sul piano giuridico e lavoristico. Per mettere in funzione questi sistemi, le aziende devono necessariamente raccogliere e trattare grandi quantità di dati personali dei dipendenti, log di accesso, cronologie di azioni, informazioni su orari, postazioni e strumenti utilizzati. Questo significa che l’implementazione di soluzioni IA–based in ambito sicurezza non può essere affrontata solo come un progetto IT: richiede valutazioni d’impatto ai sensi del GDPR, analisi dei rischi per i diritti e le libertà degli interessati, definizione di policy chiare su chi vede cosa, per quanto tempo i dati vengono conservati, con quali garanzie di minimizzazione. Perut ha richiamato anche il diritto del lavoro e in particolare lo Statuto dei lavoratori: quando strumenti di sicurezza permettono, di fatto, un controllo potenziato dell’attività dei dipendenti, il datore di lavoro non può utilizzarli liberamente per finalità diverse da quelle strettamente legate alla protezione di beni e infrastrutture. Sono necessari accordi con le rappresentanze sindacali o, in alternativa, autorizzazioni degli organi competenti, oltre a una informativa chiara ai lavoratori sull’esistenza e sul funzionamento di tali strumenti.
In questo quadro, le indicazioni delle autorità di controllo – come il Garante per la protezione dei dati personali – offrono linee guida che spingono le aziende a non confondere la sicurezza legittima con il monitoraggio generalizzato.
L’intelligenza artificiale applicata alla cybersecurity, ha concluso Perut, deve essere vista come uno strumento potente, ma non neutrale: può aumentare la resilienza dell’organizzazione, ma se non governata in modo corretto rischia di comprimere diritti fondamentali e di creare un clima di sorveglianza permanente sul luogo di lavoro, incompatibile con i principi europei di tutela della dignità del lavoratore.
Professioni, imprese e cittadini: la nuova frontiera tra efficienza e responsabilità
A chiudere il cerchio, sotto la regia di Livio Varriale, è stata la consapevolezza che la cybersecurity nell’era dell’IA non è più un capitolo tecnico destinato agli addetti ai lavori, ma il luogo in cui si incontrano – e si scontrano – interessi economici, diritti individuali, politiche industriali e trasformazioni del lavoro. Da un lato, l’intelligenza artificiale promette efficienza, competitività, velocità: agenti intelligenti che automatizzano processi, strumenti che prevedono guasti, algoritmi che ottimizzano investimenti e relazioni con i clienti. Dall’altro, la stessa intelligenza artificiale apre nuove superfici d’attacco, amplifica la portata degli errori umani, ridefinisce il perimetro di ciò che è controllabile e di ciò che sfugge alle policy aziendali. Gli interventi di Fiore, Longo, Felline e Perut hanno mostrato che nessuno di questi fronti può essere affrontato da solo. Servono professionisti riconosciuti, come gli ingegneri dell’informazione, capaci di tenere insieme tecnica e coscienza; servono accademici e centri di ricerca che trasformino concetti come la shadow AI in strumenti concreti di governance; servono poli di innovazione che permettano alle pmi di sperimentare tecnologie avanzate senza esporsi a rischi insostenibili; servono giuristi e consulenti in grado di tradurre le potenzialità dell’IA in soluzioni che rispettino privacy, lavoro e diritti fondamentali. In mezzo, restano i cittadini e i lavoratori, spesso esposti a tecnologie che usano tutti i giorni senza conoscerne davvero il funzionamento, convinti che l’IA sia solo una scorciatoia per risparmiare tempo, senza percepire quanto ogni click, ogni copia–incolla, ogni plugin attivato possa spostare equilibri di potere, di trasparenza e di sicurezza. La vera sfida, è emerso dal dibattito di Lecce, non è decidere se usare o meno l’intelligenza artificiale, ma scegliere come e con quali garanzie. In un contesto in cui la cybersecurity diventa il fondamento invisibile del business, la differenza tra chi saprà governare questa trasformazione e chi la subirà si giocherà sulla capacità di costruire ecosistemi di fiducia, in cui efficienza e responsabilità procedano nella stessa direzione.
