Zero Trust e AI per la resilienza digitale delle aziende UE

“Se combiniamo l’architettura Zero Trust con la sicurezza dell’intelligenza artificiale, le imprese possono diventare molto più sicure.” Con questa dichiarazione, il CEO di Zscaler, Jay Chaudhry, ha aperto la conferenza stampa di Praga che precede Zenith Live 2025, fissando subito il tema centrale: la convergenza tra Zero Trust e AI come chiave per la resilienza cyber delle aziende in un contesto in cui il cybercrime segue i trend del momento.

In un panorama europeo, segnato da una crescente domanda di sovranità digitale e da nuove sfide regolatorie, la sicurezza informatica non può più fare affidamento su modelli tradizionali: “Zero trust nasce proprio per superare i limiti di firewall e VPN: non bisogna fidarsi di nessuno, bisogna dare accesso solo a ciò che serve. Ora l’AI si aggiunge a questo scenario: è uno strumento potente, ma anche pericoloso, perché consente agli attaccanti di trovare vulnerabilità e aggirare le difese. Per questo, Zscaler punta a integrare i vantaggi del zero trust con la sicurezza AI, così che le aziende possano usare applicazioni AI in cloud pubblico o privato in modo sicuro” sottolinea Chaudhry.

Sovranità digitale e regolamentazione

Proprio la spinta verso la sovranità dei dati parte dai governi europei è stato argomento di dibattito sia da parte del CEO che di Casper Klynge, VP & EMEA Government Partnership. Chaudhry ha evidenziato che la richiesta di sovranità si sta rapidamente estendendo alle imprese: “la spinta verso la data sovereignty arriva principalmente dai governi, ma ora anche le imprese la chiedono. Noi di Zscaler abbiamo sempre avuto attenzione per la privacy, molto prima del GDPR. A differenza di altri provider, non archiviamo i dati dei clienti: siamo un checkpoint che controlla chi può accedere a cosa, ma non conserviamo dati dei clienti. I log di accesso sono conservati solo nell’UE, e se un grande cliente pubblico vuole che siano nei propri data center, la nostra architettura lo consente. È naturale che ogni Paese voglia controllare il proprio destino digitale, e la richiesta di sovranità crescerà ancora”.

Jay Chaudhry, CEO di Zscaler

Chaudhry ha sottolineato poi come la regolamentazione normativa sia necessaria, ma debba essere equilibrata: “un certo livello di regolamentazione è positivo, ma l’over-regulation frena l’innovazione. Spesso i legislatori non comprendono le nuove tecnologie: quando abbiamo certificato il nostro cloud negli USA, ci chiedevano dove fosse il firewall. Ma noi siamo Zero Trust, non usiamo firewall. Serve formazione e confronto, altrimenti si rallenta tutto il settore”.

Casper Klynge ha rafforzato ulteriormente il concetto: “non è l’Europa che ha bisogno della nostra tecnologia, siamo noi che dobbiamo adattare la nostra tecnologia alle esigenze dell’Europa. La sovranità digitale non è solo una questione politica, ma una richiesta concreta che arriva dai nostri clienti. Negli ultimi sei anni abbiamo ricevuto centinaia di richieste di accesso ai dati da parte di Governi, ma non abbiamo mai rivelato un singolo dataset. Il nostro impegno è chiaro: non archiviamo il contenuto dei clienti, e questa è una differenza sostanziale rispetto ad altri provider globali”.

Klynge ha aggiunto che in questo momento Zscaler gestisce “19 data center nell’Unione Europea e 25 in Europa, offrendo ai clienti la possibilità di scegliere dove risiedono i propri dati e garantendo la massima trasparenza, che è fondamentale per rispondere alle esigenze europee di controllo e compliance”.

Sul fronte normativo, il quadro europeo è in rapida evoluzione, soprattutto con l’entrata in vigore dell’AI Act, che “impone nuovi standard di trasparenza e controllo. Anche se Zscaler non sviluppa modelli linguistici propri, la nostra piattaforma Zero Trust è progettata per difendere le organizzazioni dai rischi legati all’uso di AI generativa, che rappresenta sia un’opportunità di produttività sia una nuova superficie di attacco” conclude Klynge.

AI, shadow AI e nuove superfici di rischio

Phil Tee, EVP & Head of AI Innovation, ha portato l’attenzione sulle nuove sfide legate all’adozione accelerata dell’AI: “nella maggior parte dei casi, le applicazioni AI più usate sono anche le più bloccate dalle aziende. Abbiamo registrato un aumento del 3000% nell’uso di AI generativa in azienda in un solo anno, con ChatGPT e OpenAI che rappresentano oltre due terzi del traffico. Tuttavia, le destinazioni più popolari sono anche quelle più bloccate, perché le aziende temono i rischi legati all’uso improprio dei dati”.Phil Tee, EVP & Head of AI Innovation di Zscaler

Si apre quindi lo scenario della Shadow AI, che da rischio è presto diventata realtà: “oggi il 68% dei dipendenti utilizza strumenti AI non autorizzati dalla propria azienda, spesso passando per dispositivi personali non gestiti dall’IT aziendale. Questo fenomeno ricorda la shadow IT di qualche anno fa, ma con rischi ancora maggiori perché i dati possono essere esfiltrati o incorporati nei modelli AI senza controllo” sottolinea Tee.

Tee ha inoltre illustrato i vantaggi di Zscaler rispetto a questi rischi: “la nostra piattaforma offre visibilità completa su chi utilizza l’AI, quali dati vengono inviati e a quali modelli, permettendo di applicare policy granulari fino al singolo prompt. Possiamo bloccare l’accesso, prevenire l’esfiltrazione di dati sensibili e garantire che le interazioni con l’AI rispettino i requisiti di sicurezza e compliance”.

Sul futuro degli agenti AI, Chaudhry ha aggiunto che: “gli agenti AI stanno diventando sempre più importanti, soprattutto nei call center, dove agiscono come utenti. La policy per questi agenti non è molto diversa da quella per le persone. Ma in futuro ogni dispositivo potrà avere decine di agenti che comunicano tra loro, per questo motivo sta emergendo uno standard – MCP gateway – per gestire l’identità e le policy degli agenti AI. È un’area in rapida evoluzione, e noi stiamo lavorando molto su questo fronte”.

Ricerca e percezione della resilienza: il gap tra sicurezza e realtà

Il tema della resilienza è stato affrontato da Brian Marvin, SVP Sales EMEA, che ha sottolineato come la resilienza dei dati non sia più solo una questione di backup, ma di approccio olistico e proattivo alla sicurezza: “Zscaler non è più un’azienda basata su strumenti, ma una piattaforma di sicurezza. La resilienza dei dati riguarda la capacità di prevedere, innovare, imparare e sviluppare strategie di sicurezza che vadano oltre il semplice backup e ripristino. Si tratta di pensare all’azienda in modo olistico, dalla formazione alla protezione degli asset, fino alla capacità di reagire e rinascere dopo un attacco”.

Marvin ha citato uno studio condotto su 1.700 CIO e CISO, dal quale emerge che “l’82% pensa che la propria organizzazione sarà attaccata nei prossimi 12 mesi, ma il 44% non ha una strategia di resilienza e remediation”. Un dato che conferma la distanza tra percezione e realtà: “molte aziende hanno strategie di backup o di integrità del dato, ma non una vera strategia di sicurezza resiliente. Quando vengono colpite da un ransomware, spesso non capiscono cosa sia successo e non sono in grado di apprendere dall’incidente”.

L’approccio è fondamentale: “essere proattivi e non reattivi è fondamentale. Non basta acquistare più firewall o licenze VPN, bisogna cambiare mentalità e adottare una visione sistemica della sicurezza, che coinvolga formazione, processi, tecnologie e cultura aziendale”. La ricerca Zscaler evidenzia che solo il 27% dei 1.700 intervistati ritiene di avere un’infrastruttura resiliente, mentre il 51% non considera la resilienza una priorità fino a quando non subisce un attacco.

Annunci di prodotto

L’innovazione di Zscaler si traduce in soluzioni concrete, come illustrato da Nathan Howe, responsabile Innovation, che ha presentato la nuova soluzione Zscaler Cellular, che “nasce per proteggere una quantità crescente di dispositivi mobili e IoT, come veicoli, sensori industriali e distributori automatici, che spesso non possono ospitare software di sicurezza. Basta inserire una SIM per attivare la connettività sicura su centinaia di reti mobili nel mondo: ogni dispositivo viene segmentato e protetto dalle policy Zero Trust, diventando un’isola controllabile ovunque si trovi. La nostra soluzione offre visibilità completa sul traffico dati, controllo centralizzato e applicazione di policy granulari, portando la sicurezza Zero Trust anche su dispositivi che prima erano fuori portata, senza necessità di agent o configurazioni complesse”.

Sul fronte della sicurezza OT, Chaudhry ha aggiunto poi che: “la protezione delle tecnologie operative è una sfida ancora più dura dell’IT, perché spesso ci sono dispositivi vecchi e non aggiornabili. La nostra soluzione nasconde le fabbriche dietro il nostro cloud, rendendole invisibili agli attaccanti. Grazie all’acquisizione di AirGap Networks, ora possiamo segmentare ogni dispositivo come un’isola indipendente, impedendo la propagazione degli attacchi”.

Zero Trust e cyber insurance

Stephen Singh, Global Vice President, M&A/Divestiture and ITO Strategy, Planning and Implementation, ha affrontato il tema del rapporto tra Zero Trust e cyber insurance: “negli ultimi anni i clienti ci chiedono perché, pur essendo più sicuri con Zscaler, i premi assicurativi continuano a salire anche del 400% all’anno. Due anni fa abbiamo commissionato uno studio indipendente con Marsh McLennan analizzando otto anni di sinistri cyber. Il risultato è stato sorprendente: se il modello zero trust fosse stato applicato correttamente, un terzo dei sinistri e delle perdite globali si sarebbe evitato. Corrisponde a un risparmio di quasi mezzo trilione di dollari l’anno. Mai visti risparmi simili”.

Singh ha aggiunto che ora Zscaler collabora con gli underwriter per integrare questi dati nei processi di rinnovo delle polizze: “abbiamo creato report semplificati con la nostra piattaforma Risk 360, che in 30 secondi quantifica il rischio e aiuta i clienti a ottenere condizioni migliori. Questa collaborazione sta già portando a polizze più favorevoli, premi più bassi e maggiore copertura per i nostri clienti”.