L’intelligenza artificiale ridefinisce il perimetro operativo dei chief information security officer (Ciso), ma il punto che emerge con più forza dal nuovo The Ciso Report: From Risk to Resilience in the AI Era di Splunk non riguarda soltanto l’adozione di nuove tecnologie. Riguarda piuttosto l cambiamento di status della funzione sicurezza, che da presidio specialistico dell’IT diventa componente della resilienza d’impresa, della governance del rischio e della capacità aziendale di assorbire shock operativi, normativi e reputazionali. È in questo passaggio che si colloca il cuore del report, presentato da Splunk, società Cisco, e costruito su una survey internazionale che ha coinvolto 650 Ciso tra luglio e agosto 2025 in nove Paesi e in un ampio range di verticali, dal manifatturiero ai servizi finanziari, dalla sanità al retail, fino a telecomunicazioni, le utilities ed il settore pubblico.
Il quadro approfondito nelle pagine del report è quello di un ruolo “esteso”, esposto e centrale nelle scelte strategiche. Il 79% dei Ciso dichiara che la propria funzione è diventata più complessa, mentre il 78% afferma di essere preoccupato per la responsabilità personale connessa a eventuali incidenti di sicurezza, in netto aumento rispetto al dato dell’anno precedente richiamato da Splunk. Questa crescita della pressione individuale si accompagna all’estensione del mandato: il 96% dei responsabili sicurezza intervistati afferma di avere oggi responsabilità sulla governance e sul rischio legati all’AI, mentre l’85% indica come parte del proprio perimetro anche lo sviluppo software sicuro, in chiave DevSecOps. Nel report viene inoltre evidenziato come il 67% sia coinvolto anche nell’integrazione della sicurezza in ambienti IoT, OT e Ics, segno di una funzione sempre meno confinata al perimetro cyber tradizionale e sempre più connessa alla continuità operativa dell’organizzazione.

Ciso e AI, rapporto dialettico
È dentro questa estensione del ruolo che va letto il rapporto tra Ciso e intelligenza artificiale. Il report mostra infatti una postura ambivalente, ma ormai chiaramente definita: l’AI non è più una variabile opzionale, bensì un’infrastruttura decisionale e operativa con cui i team di sicurezza devono imparare a convivere. Il 92% dei Ciso sostiene che l’intelligenza artificiale consenta ai propri team di esaminare un numero maggiore di eventi di sicurezza, mentre l’89% riconosce un miglioramento della capacità di correlare dati provenienti da sorgenti diverse. Sono percentuali che spiegano bene perché il rafforzamento delle capacità di rilevamento e risposta alle minacce venga indicato come priorità assoluta dal 92% del campione, davanti al rafforzamento dell’identity and access management, al 78%, e agli investimenti in capacità di cybersecurity basate sull’AI, al 68%.
Il punto, però, non è soltanto la produttività. Nelle pagine dedicate all’impatto dell’AI sulla sicurezza, Splunk chiarisce che la tecnologia viene percepita come leva per ridurre il rumore operativo all’interno dei Soc, accelerare la lettura degli eventi e migliorare i tempi di reporting. Il 65% dei Ciso intervistati associa l’AI a una maggiore velocità di reporting e il 51% a un’accelerazione nell’esecuzione di compiti ripetitivi di base. Questa lettura è rilevante perché suggerisce un cambio di paradigma: l’AI non viene ancora trattata come sostituto dell’analista, ma come strumento per riorganizzare la distribuzione del lavoro, liberando competenze umane verso attività a maggior valore, come l’analisi strategica, il threat hunting e la definizione delle priorità di rischio.
Agentic AI, ancora pochi i Ciso che la usano
La parte più interessante del report riguarda tuttavia l’AI agentica, che occupa un capitolo specifico e che viene trattata con toni meno enfatici rispetto alla narrativa di mercato dominante. Splunk evidenzia che solo il 6% dei Ciso dichiara oggi di utilizzarla, mentre il 39% si trova in una fase di esplorazione. La maturità è quindi ancora iniziale, ma le aspettative sono già elevate. L’82% ritiene che l’AI agentica aumenterà la quantità di dati esaminati dai team di sicurezza e la stessa quota prevede un miglioramento della correlazione dei dati e della velocità di risposta. Tra le organizzazioni che hanno adottato almeno parzialmente l’AI agentica, il 39% afferma con convinzione che essa abbia aumentato la velocità di reporting del team a un livello più che doppio rispetto a chi è ancora nella sola fase esplorativa, dove questa percezione si ferma al 18%.
La cautela resta però molto forte. Il report segnala che l’83% dei Ciso considera gli effetti delle allucinazioni, come falsi positivi o alert mancati, la principale preoccupazione associata agli agenti autonomi. A questo si aggiungono timori legati alla responsabilità etico-legale delle azioni compiute dagli agenti, alla mancanza di trasparenza, all’imprevedibilità del comportamento e al ridotto controllo umano su decisioni che potrebbero avere conseguenze operative e regolatorie rilevanti. È un passaggio importante, perché mostra come l’adozione dell’AI, soprattutto nelle sue forme più autonome, non possa essere separata da un rafforzamento dei meccanismi di governance, audit trail e supervisione umana. Non a caso il 78% dei Ciso dichiara di voler creare team di sicurezza dedicati agli AI agent.
Sul fronte delle minacce, la lettura proposta da Splunk è netta. Il 95% dei Ciso considera la crescente sofisticazione delle capacità degli attaccanti il principale ostacolo alla propria strategia di cybersecurity. Il report dettaglia ulteriormente questo scenario: il 91% vede già nell’AI non agentica un fattore destinato a rendere più efficaci e convincenti gli attacchi di social engineering. Ancora più marcato è il timore che l’AI agentica aumenti velocità di diffusione e complessità dei meccanismi di persistenza, un rischio indicato dall’82% del campione. Il dato che emerge è che i Ciso non temono tanto una creatività radicalmente nuova della macchina, quanto piuttosto la sua capacità di amplificare scala, qualità, precisione e tempi delle minacce già esistenti.

In parallelo, la sicurezza viene descritta sempre più come esercizio di coordinamento interfunzionale. Il report dedica spazio alla collaborazione tra Ciso e resto della C-suite, mostrando che la responsabilità condivisa genera il maggior valore nelle iniziative strategiche di sicurezza, indicata dal 62% degli intervistati, nella definizione di budget e finanziamenti, al 55%, e nell’accesso ai dati rilevanti per la sicurezza, al 49%. Ma è proprio qui che emergono alcuni limiti strutturali. L’85% segnala come primo ostacolo alla collaborazione la bassa alfabetizzazione cyber dei manager non tecnici; il 71% cita la divergenza nell’appetito al rischio e il 66% la mancanza di una comprensione condivisa del ruolo della sicurezza nel successo del business. In altre parole, il Ciso è chiamato non solo a proteggere, ma a tradurre la sicurezza in linguaggio economico e strategico.
La cybersecurity misurabile per il business
È qui che entrano in gioco le metriche. Splunk osserva che i Ciso stanno provando a riposizionare la cybersecurity come abilitatore del business, misurandone il valore attraverso la riduzione degli incidenti, il miglioramento del Mean Time to Detect e del Mean Time to Respond. Nel report, la riduzione degli incidenti emerge come principale modalità con cui i responsabili sicurezza comunicano il Roi al top management, davanti a Mttd e Mttr. Tuttavia, il 41% ammette di non riuscire ancora a correlare direttamente il ritorno degli investimenti alle attività di mitigazione e remediation del rischio. È un dato significativo, perché suggerisce che il problema non è solo tecnologico, ma anche culturale e di rendicontazione: il valore della sicurezza non sempre viene ancora rappresentato con strumenti adeguati alla lettura del board.

L’altro asse decisivo è quello del capitale umano. Nonostante l’accelerazione dell’AI, i Ciso non pensano che la tecnologia sia la risposta principale al gap di competenze. Il report è molto esplicito: gli investimenti tecnologici sono considerati mezzo primario per colmare le carenze di skill da appena l’1% degli intervistati. La priorità va invece all’upskilling della forza lavoro esistente, indicato come prima scelta dal 65%, seguito dall’assunzione di nuovi dipendenti a tempo pieno, al 28%, e dal ricorso a contractor, al 6%. Le competenze più carenti riguardano threat hunting, supporto ingegneristico, sviluppo software e architetture di rete e cloud. È una fotografia che restituisce tutta la distanza tra narrazione dell’automazione e realtà dei team di sicurezza: l’AI aiuta, ma non sostituisce giudizio, esperienza e capacità di interpretare segnali deboli.
Il report chiude poi su un tema che per molte organizzazioni è ormai strutturale: il burnout. Quasi due terzi dei team di sicurezza, secondo Splunk, sperimentano livelli moderati o elevati di esaurimento. Le cause sono molto concrete: il 98% indica gli elevati volumi di alert, il 94% i falsi positivi e il 79% la frammentazione degli strumenti, quella che nel report viene associata alla cosiddetta swivel chair syndrome. Solo il 54% dei Ciso dichiara di avere consolidato i dati di sicurezza in una vista unica, elemento che aiuta a spiegare perché il tema del data sharing e dei layer condivisi di osservabilità venga proposto come prerequisito non solo di efficienza operativa, ma anche di sostenibilità organizzativa.
Il Ciso allora è proprio figura di cerniera tra AI governance, resilienza operativa, budget, compliance, talent strategy e comunicazione verso il board. Ma il messaggio più chiaro del report è un altro: la vera maturità non coincide con l’adozione più spinta della tecnologia, bensì con la capacità di governarla, misurarla e integrarla dentro una visione aziendale condivisa della resilienza.
© RIPRODUZIONE RISERVATA










































