Secondo un nuovo studio dell’IBM Institute for Business Value, realizzato su 2.000 CIO, CTO e altri responsabili tecnologici C-level, l’intelligenza artificiale sta entrando in una fase molto più delicata: non più quella della semplice sperimentazione, ma della distribuzione su scala aziendale. È qui che emerge il vero problema. Due terzi dei leader tecnologici intervistati dichiarano di essere ritenuti responsabili di sistemi AI che non controllano completamente, mentre la governance fatica a tenere il passo con la velocità di adozione.
Il dato fotografa una tensione crescente nelle imprese. Da un lato, l’AI agentica viene spinta verso processi sempre più autonomi, continui e distribuiti. Dall’altro, molte organizzazioni continuano a gestirla con architetture, controlli e modelli di investimento progettati per un’IT più lenta, prevedibile e governabile con processi manuali.
IBM mette in evidenza proprio questo scarto. Il 70% dei responsabili tecnologici afferma che i team aziendali stanno distribuendo tecnologie più rapidamente di quanto l’IT riesca a tracciarle. Allo stesso tempo, entro il 2027 gli intervistati prevedono un aumento del 38% nel numero di agenti AI distribuiti, mentre solo l’11% si considera pienamente pronto alla scala di adozione prevista nei prossimi dodici mesi.
Matt Lyteson, CIO di IBM, sintetizza così il cambio di scenario: “Per CIO e CTO, la sfida ora è scalare sistemi AI che operano in modo continuo e autonomo, spesso dentro modelli di governance e architetture progettati per un ambiente molto più lento e prevedibile. Non si tratta più soltanto di distribuire AI più rapidamente. Si tratta di riprogettare il modo in cui le organizzazioni la controllano, la governano e vi investono, incorporando controllo e visibilità fin dall’inizio, così da poter scalare con fiducia.”
Il vecchio modello di controllo manuale non regge l’AI su scala
L’adozione dell’AI agentica introduce un problema di scala che i tradizionali processi IT non possono gestire. Un agente AI non si limita a rispondere a una richiesta. Può avviare attività, coordinare passaggi, accedere a sistemi, generare output, attivare workflow e produrre effetti su processi aziendali reali. Quando questi agenti diventano centinaia o migliaia, il numero di decisioni autonome cresce a un ritmo incompatibile con la supervisione manuale.
Il rischio non è teorico. Le organizzazioni intervistate hanno registrato in media 54 incidenti legati ad agenti AI nell’ultimo anno, cioè eventi non intenzionali o potenzialmente dannosi che hanno richiesto una correzione umana. Il 17% di questi incidenti è stato classificato ad alta gravità, con tempi di contenimento superiori alle quattro ore. Tra gli impatti segnalati, il 37% ha comportato esposizione di dati o violazioni di sicurezza, il 33% ha generato guasti a cascata nei sistemi e il 17% ha innescato problemi di compliance.
Questi numeri spiegano perché sicurezza e conformità siano indicate dal 59% dei responsabili tecnologici come i principali ostacoli alla scalabilità degli agenti AI. Ma spiegano anche un limite strutturale: aggiungere più controlli manuali non basta. Anzi, può produrre l’effetto opposto, rallentando la sperimentazione senza garantire un controllo effettivo.
Il punto è distinguere tra governance come processo e governance come sistema. Nel primo caso, l’organizzazione approva, verifica, corregge e documenta. Nel secondo, definisce in anticipo ciò che un agente può fare, quali dati può usare, quando deve fermarsi, come deve essere monitorato, chi ne è responsabile e come può essere isolato in caso di errore. È questa la direzione verso cui si sta spostando il ruolo dei CIO.
La governance by design diventa il nuovo requisito dell’AI enterprise
Il concetto centrale è quello di governance by design. In un ambiente AI-first, i controlli devono diventare parte dell’architettura: registri dei modelli, log, telemetria, controlli di accesso, soglie di escalation, meccanismi di rollback, kill switch e procedure di contenimento non possono essere opzionali. Devono essere condizioni preliminari per portare un agente AI in produzione.
Il modello emergente non è quello del comando centralizzato, ma di una governance federata con guardrail condivisi. I team di piattaforma gestiscono elementi comuni come registri, identità, logging e controlli runtime. Le funzioni di rischio e compliance definiscono soglie, requisiti di evidenza e regole di escalation. Gli architetti stabiliscono pattern di riferimento e punti di controllo. I team di business restano responsabili dei risultati dei casi d’uso e dell’integrazione nei processi. La risposta agli incidenti, infine, deve essere già prevista, testata e attivabile rapidamente.
È qui che la differenza tra le organizzazioni mature e quelle ancora legate alla governance manuale diventa evidente. Le aziende che incorporano il controllo dentro i sistemi distribuiscono un numero di agenti AI 16 volte superiore rispetto a quelle che dipendono da processi manuali, spendono quattro volte meno del proprio budget AI e registrano margini operativi superiori del 18%. Il dato va letto con attenzione: il controllo progettato bene non rallenta necessariamente la scalabilità. Può renderla più efficiente.
In altre parole, il trade-off classico tra velocità e sicurezza non è inevitabile. Lo diventa quando l’azienda tenta di scalare l’AI con processi pensati per un’altra epoca tecnologica.
L’infrastruttura deve essere adattabile, non solo ottimizzata
Accanto alla governance, lo studio individua un secondo pilastro: l’adattabilità dell’infrastruttura. Per anni, la preparazione IT è stata associata alla stabilità, alla standardizzazione e all’ottimizzazione dei costi. Nell’era dell’AI agentica, questa definizione non basta più. Un’architettura stabile ma rigida può diventare un vincolo strategico.
La nuova metrica di readiness è l’opzionalità: la capacità di spostare workload, sostituire modelli, integrare nuove funzionalità e modificare dipendenze senza dover riprogettare l’intero sistema. Questo vale in particolare per ambienti cloud e multicloud, dove molte aziende hanno costruito efficienza, ma anche lock-in.
Il problema è già misurabile. I costi cloud hanno superato le previsioni iniziali in media del 48%, mentre l’80% dei responsabili tecnologici segnala costi di trasferimento dati superiori alle attese. Inoltre, se l’88% delle organizzazioni sta tentando o pianificando lo spostamento di workload verso un altro cloud provider, solo il 25% di questi workload è considerato facilmente portabile.
È un punto rilevante perché l’AI accentua il problema. Se i modelli cambiano rapidamente, se emergono nuove piattaforme e se i costi di inferenza o di trasferimento dati variano, un’infrastruttura poco portabile limita la capacità dell’azienda di reagire. Non si tratta solo di pagare di più. Si tratta di adottare più lentamente modelli migliori, perdere leva negoziale verso i fornitori e trasformare decisioni tecniche del passato in vincoli di business.
Le organizzazioni che hanno progettato fin dall’inizio maggiore opzionalità, mantenendo workload portabili e modelli sostituibili, hanno riportato nel 2025 un ritorno sugli investimenti AI superiore del 10%. La lezione è piuttosto diretta: nell’AI enterprise, la flessibilità architetturale non è un lusso, ma una forma di protezione strategica.
L’AI cambia anche la logica degli investimenti IT
Il terzo pilastro riguarda la disciplina di portafoglio. L’AI introduce una classe di asset diversa dal software tradizionale. I modelli hanno cicli di vita brevi, rendimenti disomogenei e traiettorie difficili da prevedere. Secondo lo studio, la vita utile media di un modello AI è di circa 14 mesi. Molti modelli non vengono sostituiti perché smettono di funzionare, ma perché diventano disponibili soluzioni migliori o perché cambiano le esigenze aziendali.
Questo rende insufficiente la logica tradizionale del business case pluriennale. Se un modello va aggiornato, ritirato o sostituito in tempi molto più brevi, i meccanismi di budgeting annuale non sono abbastanza rapidi. Il CIO deve quindi gestire l’AI come un portafoglio: alcuni investimenti sono operativi e richiedono rigore sul costo totale di proprietà; altri sono strategici, sperimentali o ad alto potenziale e devono essere valutati in base a apprendimento, scalabilità, ritorno atteso e capacità di riallocare capitale.
La spesa AI sta diventando troppo rilevante per essere gestita in modo approssimativo. È prevista una crescita dal poco meno del 15% dei budget IT nel 2025 a quasi il 25% nel 2027, con un aumento del 71% in due anni. Ma la maturità finanziaria non tiene il passo: l’84% dei responsabili tecnologici non ha ancora pienamente operativizzato la gestione finanziaria dell’AI e l’85% non dispone ancora di piena visibilità in tempo reale sulla spesa AI.
Questo è un problema serio. Senza visibilità su costi, owner, modelli, casi d’uso, obiettivi di business e ritorni attesi, la gestione dell’AI torna a essere una somma di iniziative isolate. E quando i costi crescono, il rischio è reagire con tagli orizzontali, invece di riallocare capitale verso ciò che funziona.
Le organizzazioni con forte disciplina finanziaria distribuiscono 2,4 volte più agenti AI senza avere un budget AI o IT più alto e sono tre volte più propense a dichiararsi pienamente preparate alla crescita dell’AI. Anche qui il messaggio è chiaro: non vince necessariamente chi spende di più, ma chi misura meglio, decide più rapidamente e interrompe prima gli investimenti che non producono valore.
Il mandato dei leader tecnologici si sposta dal supporto alla strategia
Il quadro complessivo mostra un cambiamento profondo nel ruolo di CIO e CTO. La tecnologia non si limita più a supportare la strategia aziendale. In molti casi, ne definisce i confini. Un’organizzazione con architetture rigide, governance manuale e scarsa visibilità sui costi AI potrà anche sperimentare molto, ma faticherà a scalare in modo sicuro ed efficiente. Al contrario, un’impresa che combina infrastruttura adattabile, governance integrata e disciplina di portafoglio può trasformare l’AI da pressione operativa a leva competitiva.
Il punto non è inseguire ogni novità. È costruire una base tecnologica che permetta di cambiare strada quando serve, controllare l’autonomia dei sistemi e investire con criteri più dinamici. L’AI agentica rende tutto questo più urgente perché porta l’automazione dentro processi continui e ad alta frequenza, dove gli errori possono propagarsi rapidamente e dove la mancanza di visibilità diventa un rischio operativo.
In questo scenario, la readiness non coincide più con la quantità di strumenti AI adottati. Coincide con la capacità di governarli. Le aziende che trattano l’AI come una serie di progetti rischiano di accumulare complessità, costi e incidenti. Quelle che la trattano come una trasformazione dell’architettura, della governance e del modello di investimento hanno maggiori possibilità di scalarla senza perdere controllo.
La frase più utile, in fondo, è anche la più scomoda: l’AI non mette in crisi solo i processi esistenti, ma il modo stesso in cui le imprese hanno costruito l’IT negli ultimi anni. Per CIO e CTO, il mandato non è più portare l’intelligenza artificiale in azienda. È rendere l’azienda abbastanza adattabile, controllabile e disciplinata da poterla usare davvero su scala.
