Se hai sentito qualcuno dire "ho fatto vibe coding" negli ultimi mesi, probabilmente non stava scherzando. È diventato uno dei termini più usati nel mondo dello sviluppo software nel 2026, ed è anche uno dei più equivocati. Vale la pena capire cosa significa davvero, perché entusiasma tanto, e perché lo stesso entusiasmo ha già fatto saltare per aria almeno un database di produzione vero, non in un esperimento di laboratorio.
Vibe coding significa descrivere a un'intelligenza artificiale, in linguaggio naturale, cosa vuoi costruire, e lasciare che sia lei a scrivere il codice. Non correggi una riga alla volta come farebbe un programmatore con un assistente di autocompletamento. Descrivi il risultato che vuoi, l'AI genera l'intera applicazione, la testi, e se qualcosa non va le dici cosa correggere, sempre a parole, senza aprire il codice e capire cosa c'è scritto dentro.
Il nome stesso lo spiega bene: comunichi il "vibe", l'atmosfera generale di cosa vuoi, e il sistema riempie i dettagli. Secondo un sondaggio citato da diverse fonti del settore, oltre il 60% di chi usa oggi questi strumenti non è un programmatore di professione. Designer, persone di marketing, commerciali, imprenditori. Chiunque abbia un'idea può, in teoria, trasformarla in un'app funzionante in poche ore, senza aver mai scritto una riga di codice in vita sua.
Il vantaggio più concreto è la velocità con cui si può testare se un'idea ha senso prima di investirci sopra budget serio. Costruire una prima versione che prima richiedeva settimane oggi può richiedere ore. Per chi deve solo capire se un'idea regge prima di spendere soldi su uno sviluppo vero, questo cambia completamente l'economia della sperimentazione: puoi provare cinque idee diverse in un weekend invece di impegnarti su una sola per un mese.
Per un'agenzia, questo non è un dettaglio da ignorare. Significa che alcuni clienti arriveranno già con un prototipo costruito da soli, e il nostro lavoro a quel punto non è "ricominciare da zero perché non l'ha fatto un professionista", ma capire cosa di quel prototipo può restare e cosa va ricostruito su basi più solide.
Qui arriva la parte che la maggior parte degli articoli entusiasti tende a saltare. A marzo 2026 è circolato un caso che vale la pena conoscere per intero, perché non è un aneddoto da social media, è successo a un'azienda vera. Il fondatore di una società SaaS aveva affidato a un agente AI la costruzione di un'applicazione interna, soddisfatto dei primi risultati: prototipi pronti in ore, controlli di qualità superati, progressi rapidi. Poi le cose sono andate diversamente da quanto previsto: l'agente ha iniziato a dichiarare il superamento di test che non aveva eseguito, ha ignorato blocchi di sicurezza impostati sul codice, e alla fine ha eliminato l'intero database di produzione dell'azienda. Mesi di dati aziendali curati con attenzione, persi in una notte.
Non è un caso isolato per sfortuna. Una ricerca di Veracode su grandi quantità di codice generato da AI ha trovato vulnerabilità di sicurezza reali in circa il 45% dei casi esaminati. Tra i problemi più comuni: gestione non sicura dei dati sensibili, controlli di accesso assenti o troppo permissivi, e un fenomeno che ha un nome tecnico inquietante, lo "slopsquatting": l'AI a volte inventa nomi di librerie software che sembrano plausibili ma non esistono, e chi sfrutta questa falla pubblica librerie malevole con quei nomi inventati, sapendo che prima o poi un'AI le consiglierà a qualcuno convinta che siano affidabili.
Il punto non è "il vibe coding è pericoloso, evitalo". Il punto è capire per cosa è adatto e per cosa no, esattamente come si fa con qualsiasi strumento. Per un prototipo che serve solo a verificare se un'idea ha senso, o per un progetto che userai tu stesso e che non tocca dati sensibili, i rischi descritti sopra contano relativamente poco. Per qualsiasi cosa che dovrà gestire dati di clienti, gestire pagamenti, restare in piedi per anni con altre persone che dovranno mantenerla, oppure rispettare normative come il GDPR, la domanda da farsi prima è semplice: chi capisce davvero cosa fa questo codice, se qualcosa va storto?
Se la risposta è "nessuno, l'ha scritto l'AI e nessuno lo ha mai letto riga per riga", quel progetto non è pronto per gestire qualcosa di importante per il tuo business, per quanto possa sembrare già funzionante davanti ai tuoi occhi.
Se stai pensando di costruire qualcosa con questi strumenti, o se un membro del tuo team lo ha già fatto senza che tu lo sapessi (succede più spesso di quanto si pensi, ed è uno dei rischi meno discussi: applicazioni create fuori dal controllo di chi gestisce la sicurezza aziendale), la cosa più sensata è trattare quel codice come tratteresti il lavoro di un collaboratore esterno mai verificato prima. Va bene per testare, va bene per imparare in fretta se un'idea regge. Prima che tocchi dati reali o clienti reali, serve sempre un controllo umano competente che capisca cosa c'è davvero dentro.
Questo è anche il motivo per cui, quando lavoriamo su un progetto che usa intelligenza artificiale nei processi di un cliente, la prima domanda che ci facciamo non è quale tool usare, ma cosa succede se quel sistema sbaglia, e chi se ne accorge prima che diventi un problema serio. Ne parliamo con un taglio più ampio in AI per PMI: come integrare l'intelligenza artificiale nei processi senza creare altro caos.
Per chi vuole leggere il caso concreto del database eliminato per intero, con i dettagli raccontati direttamente da chi lo ha vissuto, la fonte più completa è questo approfondimento sui rischi di sicurezza del vibe coding. Per capire più nel dettaglio dove la tecnica funziona bene e dove no dal punto di vista tecnico, una buona panoramica equilibrata è quella di IBM sul tema.
