Quando l'IA riscrive il codice legacy, la vera battaglia è dimostrare che nulla si è rotto
Negli ambienti regolamentati, l'IA può accelerare il lavoro di modernizzazione, ma la parte difficile non è convertire il codice - è difendere il comportamento, le evidenze e i controlli dietro il cambiamento.
La modernizzazione assistita dall'IA è allettante perché comprime un lavoro che prima richiedeva settimane di lettura, mappatura e documentazione. Ma in ambito bancario, assicurativo e nella pubblica amministrazione, la velocità da sola non è il premio. Nel momento in cui viene toccato un flusso COBOL legacy, la domanda diventa se il nuovo sistema si comporti esattamente come quello vecchio, incluse le eccezioni non documentate che spesso esistono solo nel codice, nei log e nella conoscenza di personale ormai in pensione.
Fatti rapidi
- L'IA può accelerare l'analisi del codice legacy e il refactoring iniziale, soprattutto negli ambienti fortemente basati su COBOL.
- La modernizzazione dei mainframe legacy è un problema di preservazione del comportamento, non solo di conversione del linguaggio.
- DORA è applicabile da gennaio 2025 e sottopone la resilienza operativa, le risorse ICT, la continuità e il rischio di terze parti a controlli formali.
- L'AI Act richiede supervisione umana, documentazione e tracciabilità per i sistemi ad alto rischio, mentre NIS2 aggiunge obblighi di cybersecurity e di segnalazione degli incidenti.
- L'uso non controllato di strumenti IA esterni può creare problemi di riservatezza, rischio fornitore e verificabilità.
Perché il rischio si annida nelle intercapedini
La trappola tecnica è semplice: un modello può produrre Java o Python dall'aspetto pulito, ma un codice pulito non equivale a una logica di business corretta. Negli ambienti legacy, le parti fragili sono spesso la gestione delle transazioni, i calcoli per i casi limite e le dipendenze dei dati che non sono mai state documentate del tutto. Se queste regole vengono ricostruite in modo errato, il guasto potrebbe non sembrare un crash. Potrebbe sembrare una sottile deriva di conformità che emerge solo durante un audit o in una vera controversia con un cliente.
Ecco perché la tracciabilità conta. In una migrazione regolamentata, ogni trasformazione ha bisogno di una traccia: quale input è stato usato, quale output è stato generato, chi lo ha revisionato, quali prove di test esistono e perché il cambiamento è stato approvato. L'AI Act spinge in questa direzione per le implementazioni ad alto rischio, e DORA spinge le organizzazioni a trattare la resilienza e il controllo delle terze parti come obblighi operativi, non come igiene facoltativa. NIS2 aggiunge un ulteriore livello richiedendo gestione del rischio cyber e disciplina nella segnalazione degli incidenti.
Anche la questione dei tempi merita attenzione. Il calendario di conformità dell'IA è cambiato nel contesto dei colloqui europei sulla semplificazione, ma la lezione operativa non cambia con il calendario. Gli obblighi di trasparenza restano rilevanti nel 2026 e la marcatura dei contenuti sintetici arriva poco dopo. Per i difensori, ciò significa che la governance non può aspettare una scadenza finale. Se uno strumento IA sta già toccando il codice sorgente, i documenti di progettazione o i log, l'organizzazione è già entrata in un problema di controllo.
C'è anche un'esposizione più silenziosa: la shadow AI. Se il personale incolla codice sensibile in strumenti non autorizzati, l'organizzazione può perdere il controllo su dove viaggiano quei dati e su come vengono riutilizzati. Dal punto di vista difensivo, il miglior programma di modernizzazione non è quello che vieta l'IA, ma quello che offre ai team un percorso sicuro, regole di approvazione chiare e una firma umana sulle trasformazioni business-critical.
Le informazioni pubbliche non stabiliscono in modo completo la causa tecnica di ogni fallimento di modernizzazione, la portata complessiva dell'impatto a valle o se tutti i sistemi correlati siano interessati. Le evidenze disponibili supportano un'analisi del rischio, non un'affermazione generalizzata che la modernizzazione con IA sia insicura.
Conclusione
La lezione è più netta di uno slogan sulla produttività. L'IA può rendere gli ambienti legacy più facili da comprendere, ma la modernizzazione regolamentata ha successo solo quando ogni cambiamento può essere spiegato, testato e difeso. In questo senso, l'output più prezioso non è il codice più veloce. È la prova.
WIKICROOK
- COBOL: Un linguaggio di programmazione di lunga data ancora ampiamente associato all'elaborazione aziendale sui mainframe.
- DORA: Un regime UE di resilienza per gli enti finanziari che copre il rischio ICT, la continuità, la gestione degli incidenti e il controllo delle terze parti.
- NIS2: Una direttiva UE sulla cybersecurity incentrata sulla gestione del rischio e sulla segnalazione degli incidenti per le organizzazioni rientranti nel perimetro.
- Tracciabilità: La capacità di ricostruire cosa è cambiato, perché è cambiato e chi lo ha approvato.
- Shadow AI: Uso non autorizzato di strumenti IA da parte del personale, che spesso crea rischi nascosti per i dati e la governance.




