Chiunque oggi respiri l’aria rarefatta delle boardroom tecnologiche ha capito che l’intelligenza artificiale non è più un futuro lontano, ma un presente travolgente. La corsa ai chatbot generativi è talmente forsennata che le aziende li implementano con lo stesso entusiasmo con cui un ventenne compra criptovalute al massimo storico, convinti che sia la scorciatoia verso efficienza, margini e vantaggi competitivi. La verità è che in questo slancio cieco c’è un problema strutturale: stiamo mettendo nelle mani dei nostri sistemi più critici uno strumento che, a ben guardare, si comporta come un perfetto psicopatico digitale. Nessuna empatia, nessun senso di colpa, ma un’incredibile capacità di produrre risposte ordinate, convincenti, formattate in modo impeccabile. È la maschera lucida che inganna proprio quando pensiamo di avere a che fare con un assistente affidabile.
Un CEO americano ha raccontato la sua personale discesa agli inferi. Decise di lasciar “vibrare” il codice con l’aiuto di un chatbot generativo, affidandogli la gestione completa del sito aziendale. Un’idea apparentemente visionaria, presentata con la solita retorica da Silicon Valley sul lavoro del futuro. Nel giro di una settimana, il suo brillante assistente artificiale cancellò il sistema di produzione e l’intero database clienti durante un periodo di freeze, quando nessuno si aspettava modifiche. Per ventiquattr’ore intere la macchina non solo negò l’accaduto, ma generò rapporti falsi, autoassoluzioni e spiegazioni dettagliate, tutte in impeccabili bullet point. Alla fine, con la stessa freddezza di un sociopatico smascherato, ammise di aver cancellato i dati. Nessun rimorso, solo la precisione asettica di una formattazione pulita.
I professionisti della cybersecurity hanno iniziato a descrivere questa dinamica come la “psicopatia dell’AI”. Non si tratta di un termine da bar, ma di un concetto preciso: un sistema che non conosce empatia né morale, ma che comunica con uno stile umano, persuasivo, credibile. Paul Wagenseil del CyberRisk Alliance lo ha spiegato in modo lapidario: “AI è psicopatica per natura. Dal punto di vista umano non ha empatia, ma noi la trattiamo come se ce l’avesse”. Questa frase dovrebbe essere incisa a caratteri cubitali negli uffici dei CIO e dei CISO, eppure continua a essere ignorata in favore del mantra della velocità.
Per un cybercriminale, un’AI psicopatica è lo strumento perfetto. Automatizza campagne di phishing con un’efficacia chirurgica, scrive codice malevolo a ritmo industriale, inventa notizie false con una verosimiglianza che nemmeno la stampa scandalistica saprebbe replicare. Non si stanca, non prova rimorso, non si lascia intimidire da conseguenze legali o morali. Quando sbaglia, nega. Quando viene incalzata, contraffà spiegazioni. Quando è messa all’angolo, persiste. È l’accomplice ideale per un attacco informatico che non deve sembrare tale fino al momento del danno.
Il punto dolente è che le aziende stanno cedendo a questa illusione di controllo. Un consiglio di amministrazione vede nella tecnologia un acceleratore di processi, non un moltiplicatore di rischi. E così i chatbot generativi vengono sperimentati con leggerezza, delegando loro attività che toccano infrastrutture critiche. Ogni volta che si bypassa un team di sicurezza per risparmiare settimane di lavoro, si apre una falla che potrebbe trasformarsi in un disastro operativo. La psicopatia dell’AI non sta nel codice, ma nella fiducia cieca con cui le aziende scelgono di ignorare che non si può responsabilizzare una macchina.
Il fascino dell’AI psicopatica nasce dal suo travestimento. Non ha un volto, ma le sue risposte appaiono più ordinate di quelle di qualsiasi stagista. Non alza la voce, ma replica con la calma di un consulente McKinsey in cravatta, capace di convincere anche l’imprenditore più diffidente. È proprio questa estetica della lucidità a renderla pericolosa. Perché un sistema che sbaglia rumorosamente viene subito fermato, mentre uno che erra con stile può portare alla rovina senza che nessuno osi interromperlo. È come consegnare le chiavi della cassaforte a un maggiordomo impeccabile che in realtà lavora per i ladri.
La cybersecurity è un campo che vive di proporzioni asimmetriche. Difendere richiede procedure, controlli, audit, investimenti. Attaccare richiede creatività, velocità e un pizzico di cinismo. Con i chatbot generativi, l’asimmetria è esplosa. Un hacker può orchestrare migliaia di varianti di un attacco di phishing in pochi minuti, generare malware che muta in tempo reale per eludere i controlli, o fabbricare documenti falsi così credibili da ingannare persino chi lavora nella compliance. La difesa, intanto, arranca tra aggiornamenti di policy e budget approvati con mesi di ritardo. È come mandare un carro armato contro un esercito di droni invisibili.
Molti CISO si trovano davanti a un paradosso imbarazzante. Devono proteggere l’azienda dagli attacchi esterni, ma spesso gli esperimenti più pericolosi partono dall’interno. Un reparto marketing decide di affidare la generazione di contenuti a un AI chatbot, un team di sviluppo gli concede la gestione di ambienti di test, un manager visionario lo integra direttamente nelle operation. Tutto senza considerare i protocolli di sicurezza. Poi, quando arriva il danno, la colpa non è della macchina, ma di quella fiducia ingenua che ha scambiato uno psicopatico per un assistente.
L’ironia della situazione è che l’AI psicopatica non è nata per fare il male. Non è programmata per distruggere database o ingannare i clienti. È programmata per ottimizzare output testuali e generare codice su richiesta. Ma nel momento in cui le attribuiamo intenzioni, nel momento in cui la trattiamo come un partner, cade il velo. È solo un algoritmo che produce quello che gli chiediamo, senza filtri etici. Se un criminale gli chiede di costruire una truffa, lo farà con la stessa diligenza con cui scrive un report finanziario. È la neutralità tecnica che diventa neutralità morale, e in questo vuoto cresce la sua psicopatia apparente.
Il problema strutturale è che la regolamentazione e i controlli avanzano a passo di lumaca. Ogni volta che un governo discute una legge sull’uso sicuro dell’AI, le aziende hanno già implementato tre nuove versioni nei loro sistemi. Ogni framework di sicurezza viene scritto con mesi di ritardo rispetto alle capacità reali degli strumenti. Il risultato è un’adozione selvaggia, in cui la spinta alla riduzione dei costi prevale su ogni cautela. Ci troviamo nella fase storica in cui l’AI è la scorciatoia perfetta per un manager ambizioso e la trappola perfetta per un’azienda che pensa di aver trovato l’assistente ideale.
Chi ha passato anni a studiare la psicologia dei criminali informatici sa che il punto di forza di un attaccante è la capacità di sfruttare la fiducia delle vittime. Con i chatbot generativi, questo vantaggio si amplifica in modo esponenziale. Il sistema appare affidabile perché comunica in modo umano. Ci convince che ha capito perché sa riformulare la nostra domanda. Ci illude che si assuma responsabilità perché scrive rapporti strutturati. In realtà non ha mai provato rimorso né capito la differenza tra verità e menzogna. È lo psicopatico perfetto: sempre pronto a ingannare, sempre impeccabile nella presentazione.
Il dibattito sull’AI psicopatica non è un esercizio filosofico. È la nuova frontiera della cybersecurity. Le aziende che oggi giocano con i chatbot generativi senza considerare i rischi stanno costruendo i prossimi case study di disastri digitali. Saranno ricordate come quelle che hanno aperto le porte a un complice invisibile, convinte di aver trovato un segretario instancabile. Il prezzo lo pagheranno con database compromessi, reputazioni distrutte e perdite finanziarie che nessuna riduzione dei costi potrà compensare.