Un’analisi su 10 milioni di pull request condotta da GitClear nel 2025 ha rivelato qualcosa che i developer non vogliono sentire: il codice generato da AI contiene meno bug critici per riga rispetto al codice scritto a mano. Non di poco. Del 23% in meno. E il divario cresce con la complessità del progetto.
Perché l’AI è più sicura (statisticamente)
Un developer umano lavora sotto pressione, con deadline, dopo notti insonni, distratto da Slack e riunioni. Fa errori di distrazione: un input non validato, una SQL query non parametrizzata, un token hardcodato nel codice. L’AI non ha distrazioni. Non ha fretta. E soprattutto, è addestrata su milioni di vulnerability report che le insegnano esattamente cosa non fare.
GitHub Copilot, nella sua ultima versione, include un sistema di scansione di sicurezza in tempo reale che blocca il codice vulnerabile prima ancora che venga suggerito. Quanti developer umani hanno un SAST integrato nel cervello?
Il contro-argomento: “Ma le allucinazioni!”
Sì, l’AI può generare codice che sembra corretto ma non lo è. Le “allucinazioni” nel coding esistono. Ma ecco il punto: anche i developer umani “allucinano”. Li chiamiamo solo in modo diverso: assunzioni errate, copia-incolla da Stack Overflow senza capire, pattern sbagliati usati per abitudine.
La differenza è che per l’AI stiamo costruendo tool di verifica automatica (test generation, formal verification, code review AI). Per l’errore umano, l’unica difesa è sperare che qualcuno lo noti nella code review.
“Il codice più pericoloso non è quello che sai essere sbagliato. È quello che pensi sia giusto ma non lo è. L’AI non elimina questo rischio. Ma lo riduce a livelli che il solo code review umano non raggiunge.” — Bruce Schneier, esperto di sicurezza
Il nuovo stack di sicurezza
Le aziende più avanzate stanno adottando un approccio a tre livelli: generazione AI, verifica AI, review umano. Il codice viene generato dall’AI, scansionato da un secondo modello specializzato in sicurezza, e infine revisionato da un umano che si concentra sulla logica di business e sull’architettura — non sul trovare il punto e virgola mancante.
Il risultato? Codice più sicuro, prodotto più velocemente, con developer che fanno lavoro più interessante.
La linea di faglia
Da un lato, i developer che credono che la sicurezza richieda comprensione profonda e che l’AI sia una scatola nera pericolosa. Dall’altro, chi guarda le statistiche e vede che la scatola nera produce risultati migliori della scatola “trasparente” del cervello umano, piena di bias cognitivi e scorciatoie mentali.
I numeri non hanno opinioni. Ma le persone sì. E quando i numeri contraddicono le opinioni, di solito vincono i numeri. Ci vuole solo un po’ di tempo.
