La nuova frontiera dello shadow IT non arriva da gruppi di hacker organizzati, ma da qualcosa di molto più insidioso: il cosiddetto vibe coding, quella pratica sempre più diffusa in cui persone senza competenze tecniche profonde usano strumenti di intelligenza artificiale per creare applicazioni e moduli software in totale autonomia. E il problema è che sta aprendo una falla enorme nella sicurezza aziendale, spesso senza che nessuno se ne accorga.
Quando il product manager diventa sviluppatore nel weekend
Lo scenario è tanto banale quanto preoccupante. Un product manager che durante il fine settimana decide di costruire un modulo di raccolta dati usando un tool basato su intelligenza artificiale, come Lovable o Replit. Lo collega a un database attivo, lo pubblica su un URL pubblico che finisce indicizzato da Google, e il lunedì mattina torna in ufficio senza aver detto una parola al reparto IT. Nessuna revisione del codice, nessun controllo sulla sicurezza, nessuna validazione dei permessi di accesso ai dati.
Il vibe coding rende tutto questo incredibilmente facile. Bastano pochi prompt, qualche ora di lavoro e un minimo di familiarità con questi strumenti per mettere in piedi qualcosa che funziona. Che sembra professionale. Che raccoglie dati reali, magari dati sensibili, senza alcun livello di protezione adeguato. Ed è proprio qui che si annida il pericolo: non si tratta di software malevolo creato con intento criminale, ma di progetti nati con le migliori intenzioni e la peggiore delle implementazioni dal punto di vista della sicurezza.
Shadow IT potenziato dall’intelligenza artificiale
Il fenomeno dello shadow IT esiste da anni. Dipendenti che usano servizi cloud non autorizzati, fogli di calcolo condivisi su piattaforme personali, strumenti di messaggistica non approvati dal dipartimento tecnologico. Ma il vibe coding porta tutto questo a un livello completamente diverso. Non si parla più di usare un’app non autorizzata: si parla di creare da zero applicazioni funzionanti che interagiscono con infrastrutture aziendali reali.
Gli strumenti di intelligenza artificiale generativa dedicati alla programmazione hanno abbattuto la barriera tecnica che prima impediva a chi non sapeva scrivere codice di costruire software complesso. Questo è, in un certo senso, una conquista. Ma diventa un rischio enorme quando queste applicazioni vengono sviluppate al di fuori di qualsiasi protocollo di sicurezza. Database esposti, API senza autenticazione, endpoint pubblici che chiunque può raggiungere: il risultato è un perimetro aziendale pieno di buchi che il team di cybersecurity non sa nemmeno che esistano.
Dati sensibili a rischio senza che nessuno lo sappia
La parte più critica riguarda proprio la natura dei dati coinvolti. Quando qualcuno costruisce un modulo di raccolta informazioni e lo collega a un database live, i dati che finiscono lì dentro possono essere di qualsiasi tipo. Informazioni personali, dati finanziari, dettagli sui clienti. Tutto esposto su un URL pubblico, senza crittografia, senza controlli di accesso, senza nemmeno un log che tenga traccia di chi vi accede.
Il vibe coding trasforma ogni dipendente con un po’ di curiosità e un abbonamento a uno strumento AI in un potenziale punto di vulnerabilità. Non per cattiveria, non per negligenza consapevole, ma semplicemente perché la facilità con cui si possono creare queste soluzioni fa perdere di vista la complessità della sicurezza informatica. E il reparto IT, nel frattempo, continua a proteggere un perimetro che ormai ha più porte aperte di quante ne conosca.
