L'adozione dell'intelligenza artificiale generativa cresce rapidamente nelle aziende italiane, ma la capacità di gestire i rischi legati alla sicurezza informatica non procede con la stessa velocità. È quanto emerge dal report 'Lo stato della GenAI Security in Italia', prima indagine congiunta realizzata da Deloitte e Cloud Security Alliance (CSA) su oltre 100 organizzazioni, Chief Information Security Officer (CISO) e responsabili della sicurezza operanti prevalentemente nel mercato italiano nel 2025. Secondo lo studio, quasi due terzi delle organizzazioni non dispongono ancora di una strategia formalizzata di AI Security. Soltanto il 9% dichiara di averne una già definita e implementata, mentre la maggioranza si trova ancora in una fase di progettazione. Ancora più limitato il livello di maturità organizzativa: appena il 3% delle realtà intervistate dispone di modelli strutturati sia sul piano della governance sia su quello dell'esecuzione operativa. La ricerca evidenzia inoltre una forte distanza tra la percezione dei rischi e la reale esposizione delle aziende. Solo il 9% dei Ciso afferma di avere una visione completa delle iniziative basate sulla GenAI sviluppate all'interno della propria organizzazione. Le principali preoccupazioni riguardano la perdita o la diffusione impropria dei dati, i rischi per la privacy e il fenomeno della 'shadow AI', ovvero l'utilizzo non autorizzato di strumenti di intelligenza artificiale da parte dei dipendenti. Al contrario, temi come la compromissione dei modelli, le allucinazioni algoritmiche e i bias vengono percepiti come meno urgenti. "Due terzi delle organizzazioni italiane non dispongono di una strategia strutturata e quasi nove su dieci gestiscono il rischio al di fuori di framework formali", osserva Fabio Battelli, enterprise security leader di Deloitte. Secondo il manager, la sicurezza dell'intelligenza artificiale non rappresenta un ostacolo all'innovazione, ma una condizione necessaria per consentirne una crescita sostenibile e su larga scala. Anche sul fronte degli investimenti emergono ritardi significativi. L'86% delle organizzazioni non ha ancora stanziato risorse specifiche per la sicurezza della GenAI e, laddove presenti, i budget dedicati rappresentano mediamente appena il 2-3% della spesa complessiva in cybersecurity. Tra gli ostacoli principali figurano la limitata comprensione tecnica dei rischi specifici dell'IA, la carenza di personale qualificato, i vincoli di budget e l'assenza di strumenti specializzati. Per Daniele Catteddu, chief technology officer di Csa, il divario tra la rapida diffusione dell'intelligenza artificiale e le capacità di governo delle organizzazioni costituisce oggi "il rischio più concreto e al tempo stesso l'opportunità più significativa per i Ciso". Un tema che assume anche una valenza strategica nazionale. "L'Italia ha colto le potenzialità dell'intelligenza artificiale, ma deve ancora costruire le condizioni per governarla in sicurezza", sottolinea Alessandro Colucci, direttore del Servizio di Polizia Postale e per la Sicurezza Cibernetica evidenziando come sovranità digitale e cloud nazionale rappresentino scelte decisive per la competitività del Paese e la tutela dei cittadini.