Quale minaccia emergente identifica il rapporto Kordia 2026 oltre al furto di dati?

Il rapporto segnala l'uso improprio dell'IA da parte dei dipendenti come una delle minacce emergenti più urgenti, come il personale che inserisce dati sensibili in strumenti di IA esterni o utilizza piattaforme di IA non approvate.

L'uso improprio degli strumenti di IA da parte dei dipendenti è generalmente considerato intenzionale o accidentale?

Secondo il rapporto, l'uso improprio dell'IA da parte del personale non è generalmente motivato da intento doloso, ma piuttosto dalla comodità che prevale sulla cautela.

Perché i dati personali tendono a essere esposti in una così alta percentuale di incidenti informatici riusciti?

Le informazioni personali sono archiviate in più sistemi, condivise ampiamente e consultate regolarmente a molti livelli organizzativi, il che significa che qualsiasi intrusione riuscita ha buone probabilità di toccare dati personali prima di essere rilevata.

Quali tipi di organizzazioni vengono analizzate nel rapporto Kordia?

Il rapporto Kordia analizza le imprese neozelandesi attraverso settori e dimensioni diverse, rendendolo un panorama regionale di come gli incidenti informatici si sviluppano effettivamente nella pratica.

Rapporto Kordia 2026: Il 17% degli incidenti informatici in Nuova Zelanda si conclude con furto di dati

Un rapporto di settore appena pubblicato mette un numero preciso su un problema che la maggior parte delle organizzazioni sa esistere ma fatica a misurare: gli incidenti informatici con furto di dati personali rappresentano ora una quota significativa di tutti gli eventi di sicurezza. Secondo il Rapporto Kordia 2026 sulla Sicurezza Informatica delle Imprese della Nuova Zelanda, il 17% degli incidenti informatici — circa uno su sei — si conclude con l'accesso non autorizzato o il furto di informazioni personali. Accanto a questa cifra, il rapporto segnala l'uso improprio dell'IA da parte dei dipendenti come una delle minacce emergenti più urgenti che le organizzazioni si trovano ad affrontare oggi.

Nel loro insieme, questi risultati delineano un panorama di minacce che si evolve più rapidamente di quanto molte difese convenzionali siano state costruite per gestire.

Cosa ha effettivamente rilevato il Rapporto Kordia 2026

Il rapporto Kordia analizza le imprese neozelandesi attraverso settori e dimensioni diverse, rendendolo uno dei panorami regionali più concreti su come gli incidenti informatici si sviluppano effettivamente nella pratica. Il dato principale — il 17% degli incidenti che si conclude con l'esposizione di dati personali — è degno di nota perché cattura un risultato specifico piuttosto che limitarsi al volume o alla tipologia degli attacchi.

Molti rapporti sulla sicurezza informatica si concentrano su come iniziano gli attacchi: e-mail di phishing, credenziali compromesse, software senza patch. Questo rapporto richiama l'attenzione su dove gli attacchi finiscono, e per una quota significativa, quel punto finale è la fuoriuscita di informazioni personali dal controllo dell'organizzazione. Questa distinzione è importante per comprendere il rischio in termini concreti per i quali si interessano regolatori, clienti e consigli di amministrazione.

Il rapporto evidenzia inoltre l'uso improprio dell'IA da parte del personale come una sfida emergente. Questo si riferisce a dipendenti che inseriscono dati sensibili in strumenti di IA esterni, utilizzano piattaforme di IA non approvate, o condividono informazioni riservate nel tentativo di automatizzare il proprio lavoro. Nella maggior parte dei casi non si tratta di intento doloso. È la comodità che prevale sulla cautela.

Perché uno su sei incidenti si conclude con una violazione dei dati

Il dato del 17% riflette alcune realtà strutturali relative al modo in cui le organizzazioni moderne gestiscono i dati. Le informazioni personali tendono a essere archiviate in più sistemi, condivise ampiamente all'interno delle organizzazioni e consultate regolarmente da dipendenti a molti livelli. Questa distribuzione significa che qualsiasi intrusione riuscita ha buone probabilità di toccare dati personali prima di essere rilevata e contenuta.

Riflette inoltre l'elevato valore delle informazioni personali come obiettivo. Gli aggressori che riescono ad accedere a una rete cercano spesso specificamente nomi, dettagli di contatto, registri finanziari e informazioni sull'identità. Questi dati hanno un valore diretto di rivendita e possono essere utilizzati in attacchi di frode e ingegneria sociale successivi.

Anche il divario tra il verificarsi di un incidente e la conferma della compromissione dei dati personali è un fattore rilevante. I ritardi nel rilevamento danno agli aggressori più tempo per localizzare ed esfiltrare i record più preziosi. Le organizzazioni che mancano di registrazione, segmentazione o monitoraggio adeguati hanno maggiori probabilità di scoprire una violazione solo dopo che i dati hanno già lasciato l'organizzazione.

Questo schema non è esclusivo della Nuova Zelanda. Si allinea con quanto i ricercatori hanno documentato a livello globale: le entità regolamentate e le organizzazioni ben dotate di risorse gestiscono ancora abitualmente in modo inadeguato i dati personali, come esplorato nel caso dell'app europea per la verifica dell'età violata in pochi minuti dal lancio, dove le assunzioni progettuali sulla sicurezza si sono rivelate fatalmente ottimistiche quasi immediatamente.

La minaccia interna legata all'IA che le VPN da sole non possono risolvere

Il risultato relativo all'uso dell'IA merita particolare attenzione perché rappresenta una categoria di rischio per cui la maggior parte degli strumenti di sicurezza esistenti non è stata progettata. Quando un dipendente incolla i dati dei clienti in un assistente IA pubblico o utilizza uno strumento di produttività non approvato per elaborare dati delle risorse umane, nessun firewall si attiva, nessun flag VPN scatta e nessun sistema di rilevamento delle intrusioni lancia un allarme. I dati fuoriescono attraverso un canale perfettamente legittimo.

Questo è il problema centrale dell'esposizione guidata dall'interno: spesso appare identica al lavoro normale. Una VPN protegge la connessione tra un dispositivo e una rete aziendale. Non governa ciò che un dipendente fa con i dati una volta che vi ha accesso legittimo. La crittografia protegge i dati in transito tra endpoint fidati; non protegge i dati che un utente autorizzato sceglie di inviare a una destinazione non autorizzata.

Le organizzazioni che hanno investito molto in strumenti di sicurezza perimetrale — tra cui VPN, protezione degli endpoint e firewall — possono comunque essere esposte se non hanno affrontato il livello umano e quello delle policy. I risultati di Kordia suggeriscono che questo divario si sta ampliando man mano che gli strumenti di IA diventano più economici, più capaci e più integrati nei flussi di lavoro quotidiani.

La sfida è aggravata dalla rapidità con cui cambia il panorama degli strumenti di IA. Una policy scritta sei mesi fa potrebbe non coprire le piattaforme che i dipendenti stanno utilizzando oggi.

Costruire una difesa della privacy che vada oltre le VPN

Affrontare sia il tasso di furto dei dati sia la minaccia interna legata all'IA richiede un approccio a più livelli che combini controlli tecnici con policy organizzative e formazione degli utenti.

Sul fronte tecnico, gli strumenti di prevenzione della perdita di dati (DLP) possono essere configurati per rilevare quando categorie sensibili di informazioni vengono inviate a piattaforme esterne, inclusi i servizi di IA. Il monitoraggio della rete che registra i trasferimenti di dati in uscita può aiutare a identificare modelli insoliti. I controlli degli accessi che limitano quali dipendenti possono raggiungere quali dati riducono il raggio d'azione di qualsiasi singolo incidente.

Sul fronte delle policy, le organizzazioni necessitano di linee guida chiare e aggiornate sugli strumenti di IA approvati, su quali categorie di dati possono essere elaborate esternamente e quali siano le conseguenze delle violazioni delle policy. L'ambiguità è una passività. I dipendenti che non sono sicuri se uno strumento sia approvato tenderanno spesso a utilizzarlo comunque, soprattutto se rende il loro lavoro più semplice.

La formazione degli utenti rimane fondamentale. La maggior parte dei dipendenti che creano incidenti di esposizione dei dati legati all'IA non agisce con intento doloso. Stanno cercando di lavorare in modo efficiente. Una formazione che spieghi specificamente perché certi dati non possono essere inseriti in strumenti di IA esterni — piuttosto che limitarsi a dire che non possono esserlo — tende a produrre una conformità migliore rispetto ai generici promemoria sulla sicurezza.

Per i singoli individui, il rapporto è un utile promemoria per verificare quali dati personali le organizzazioni detengono su di loro e come vengono protetti. Leggi come il California Consumer Privacy Act conferiscono ad alcuni consumatori diritti formali sui propri dati, sebbene l'applicazione del CCPA presenti lacune significative nella pratica, e l'esercizio di tali diritti richieda uno sforzo attivo.

Cosa significa per te

Il rapporto Kordia 2026 è uno studio incentrato sulla Nuova Zelanda, ma i suoi risultati riflettono schemi riconoscibili in tutti i settori e aree geografiche. Uno su sei incidenti che si conclude con il furto di dati personali è un tasso significativo, e l'emergere dell'uso improprio dell'IA come minaccia interna aggiunge una nuova dimensione a cui molti programmi di sicurezza stanno ancora cercando di adeguarsi.

Per i singoli individui, questo è uno spunto per riflettere su quali dati personali si condividono con le aziende, quanti di essi potrebbero essere esposti in una violazione e se si stiano esercitando i diritti disponibili per minimizzare tale esposizione. Per le organizzazioni, il rapporto rappresenta un argomento a favore dello spostamento delle conversazioni sulla sicurezza al di là degli strumenti perimetrali e verso una governance dei dati completa.

Le difese tecniche sono necessarie ma non sufficienti. Il dato del 17% suggerisce che, anche dopo che gli incidenti si verificano, contenere l'impatto sui dati personali richiede rapidità, visibilità e policy chiare che la maggior parte delle organizzazioni sta ancora cercando di sviluppare. Rivedere la propria impronta digitale, comprendere quali diritti si possiedono in base alle leggi sulla privacy applicabili e rimanere informati su come si verificano effettivamente le violazioni sono primi passi pratici che chiunque può intraprendere oggi.