// TOM'S HARDWARE ITALIA — INTELLIGENZA ARTIFICIALE
Le aziende entrano nel mondo AI come incoscienti, prendono troppi rischi
Il 93% delle aziende ha già subito incidenti infrastrutturali causati dall'intelligenza artificiale. Il dato emerge dal report 2026 State of Infrastructure Automation di Spacelift e Panterra Group, che ha intervistato 406 decision maker IT nel mese di aprile. Solo il 19% di queste organizzazioni ha una governance adeguata per gestire il codice che l'AI genera — e il 97% di quelle che adottano AI senza controlli ha già pagato il prezzo in produzione.
La cifra del 93% sembra alta al punto da sembrare esagerata. Non lo è: quando si analizza la composizione degli "incidenti", emerge un universo che va ben oltre le violazioni di sicurezza gravi. Il 37% delle organizzazioni ha subito costosi lavori di rework — codice AI-generated che ha richiesto riscrittura significativa dopo il deploy. Il 36% ha trovato configurazioni di sicurezza errate in produzione. Il 35% ha sperimentato infrastructure drift, ovvero divergenza tra l'infrastruttura dichiarata nel codice e quella effettivamente in esecuzione. Questi non sono incidenti drammatici con downtime visibile: sono inefficienze strutturali che erodono la produttività e aumentano il rischio in modo silenzioso.
L'82% delle organizzazioni intervistate usa l'AI per generare codice di infrastruttura — Terraform, Kubernetes manifests, CloudFormation template, pipeline CI/CD. Questo dato è coerente con la tendenza generale: i tool di codice AI come GitHub Copilot, Cursor e Claude Code si sono diffusi rapidamente tra i team di infrastructure e DevOps come tra i developer applicativi.
Il problema non è nel codice generato dall'AI in sé — che spesso è tecnicamente corretto sulla singola istruzione. Il problema è nel contesto che l'AI non ha: non conosce i constraint specifici dell'ambiente di produzione, le policy di sicurezza interne, le limitazioni del cloud account, le dipendenze con i sistemi legacy. Un modello AI addestrato su codice open-source generico non sa che la tua organizzazione ha una policy che vieta certi tipi di security group aperti su internet, o che il tuo ambiente AWS ha quota limits specifici che rendono certi pattern di scaling non applicabili.
Il 86% dei respondent dichiara di governare l'uso dell'AI — ma solo il 30% ha policy formali scritte. Questo gap tra percezione e realtà è il dato più rivelatore dell'intero report. Governare l'AI non significa avere una slide in un deck di onboarding che dice "usa l'AI in modo responsabile." Significa avere policy-as-code integrate nelle pipeline, validazione automatica dell'output AI prima del deploy, audit trail che documenta quale codice è stato generato da AI e quale da umani, e processi di review specifici per il codice AI-generated che tengono conto dei suoi pattern di errore caratteristici.
Un breach di sicurezza su cinque nelle organizzazioni enterprise è causato da codice AI-generated, secondo i dati ITPro aggregati su incidenti documentati nel 2025-2026. Il dato è difficile da verificare indipendentemente, ma è coerente con i pattern di vulnerabilità che i ricercatori di sicurezza hanno identificato nell'output degli LLM per il codice.
I pattern di errore del codice AI-generated nel dominio della sicurezza sono documentati e prevedibili: overexposure di credenziali nei log, configurazioni di autenticazione con default insicuri, permessi IAM eccessivamente permissivi, gestione dei segreti con pattern deprecati. L'AI genera questi pattern non perché sia "malevola" ma perché li ha visti nel codice di addestramento — dove erano comuni prima che le best practice di sicurezza diventassero standard. Il modello replica quello che ha visto, e quello che ha visto include anni di codice con pratiche di sicurezza insufficienti.
Il MIT AI Incident Tracker documenta una crescita degli incidenti legati a codice AI nel settore infrastrutturale del 340% tra il 2024 e il 2025. La maggior parte degli incidenti non è classificata come "attacco AI" ma come "errore di configurazione" o "vulnerability in software" — il che significa che la