La recente flessione del 13% del titolo IBM ha riaperto un tema che nel settore IT non è nuovo: il destino delle applicazioni legacy in COBOL e il ruolo dell’IA nei processi di modernizzazione. A innescare la reazione dei mercati è stato un post pubblicato da Anthropic, in cui si sostiene che Claude Code possa accelerare il refactoring di applicazioni scritte in un linguaggio (COBOL, appunto) percepito come “arcaico”, ma ancora centrale in numerosi sistemi mission-critical.

COBOL continua infatti a sostenere infrastrutture fondamentali in ambito governativo, bancario e nel trasporto aereo. Il problema non è la sua obsolescenza tecnica in senso stretto, quanto piuttosto l’erosione del capitale umano capace di mantenerlo e farlo evolvere. I tentativi di ampliare la base di sviluppatori esperti non hanno invertito la tendenza demografica, e la migrazione verso piattaforme moderne comporta rischi elevati, costi ingenti e una complessità sistemica che raramente emerge nei business case iniziali.

La proposta di Anthropic punta a utilizzare modelli linguistici di grandi dimensioni per analizzare codice legacy, identificarne le componenti migrabili e documentare il debito tecnico prima che si trasformi in criticità durante la transizione. È un approccio che riflette una visione “AI-first” dello sviluppo software, in cui l’agente intelligente diventa acceleratore di assessment, refactoring e reingegnerizzazione.

A un’analisi più attenta, tuttavia, l’idea non rappresenta una discontinuità strategica per IBM. Già tre anni fa l’azienda aveva introdotto strumenti di conversione automatizzata da COBOL a Java, culminati nel lancio di watsonx Code Assistant for Z. L’obiettivo era lo stesso, ovvero ridurre il rischio e il costo della modernizzazione applicativa attraverso l’uso di IA generativa e modelli specializzati sul dominio mainframe.

microsoft database

Crediti: Shutterstock

Inoltre, la narrativa secondo cui l’AI metterebbe in crisi il business dei sistemi Z ignora il fatto che IBM abbia registrato il miglior risultato in termini di ricavi mainframe degli ultimi vent’anni, con il CEO Arvind Krishna che ha attribuito parte del successo proprio agli strumenti di conversione basati su AI.

La realtà è insomma più sfumata rispetto alla reazione istintiva dei mercati. I mainframe continuano a offrire, per determinati workload ad alta intensità transazionale, un costo operativo inferiore rispetto ad architetture distribuite. Al contempo, il peso del codice COBOL rimane significativo per molte amministrazioni pubbliche, come dimostrato dalle lamentele del governo britannico sui costi di manutenzione di sistemi critici. L’AI, in questo contesto, non distrugge il paradigma esistente, ma lo ristruttura, fungendo da ponte tra stabilità legacy e modernizzazione progressiva.

Parallelamente, un’altra dinamica che ha contribuito alla volatilità dei titoli tecnologici è il timore che l’intelligenza artificiale possa comprimere i margini dei modelli SaaS tradizionali. Aziende come Salesforce e Adobe hanno subito contraccolpi borsistici alimentati dall’ipotesi che agenti autonomi possano sostituire o ridimensionare piattaforme applicative consolidate. In questo clima, ogni annuncio legato all’AI inizia ad assumere un valore simbolico molto amplificato.

Il caso si è ripetuto con il lancio di Claude Code Security, una funzionalità che promette di analizzare codebase complesse, individuare vulnerabilità e proporre patch correttive. L’introduzione in anteprima per clienti enterprise ha generato preoccupazione in parte dell’ecosistema cybersecurity, con ripercussioni su titoli di settore. Tra le reazioni più emblematiche c’è stata quella di George Kurtz, CEO di CrowdStrike, che ha ironicamente chiesto a Claude se potesse sostituire le soluzioni della sua azienda, ottenendo una risposta negativa.

Dal punto di vista tecnico, Claude Code Security si distingue per un approccio dichiaratamente “context-aware”. Non si limita infatti alla static code analysis tradizionale basata su regole e pattern, ma tenta di modellare le interazioni tra componenti applicative e i flussi di dati, replicando il ragionamento di un security researcher. Anthropic ha rivendicato la capacità del modello di individuare centinaia di vulnerabilità ad alta severità in progetti open source.

È necessario, però, collocare queste affermazioni nel contesto più ampio della corsa agli agenti di sicurezza AI-driven. Amazon utilizza già agenti interni per l’individuazione automatica di flaw e la generazione di fix suggeriti. Microsoft ha implementato una rete di agenti per la prioritizzazione delle remediation e l’automazione dei processi di patching, mentre Google ha presentato Big Sleep, strumento basato su LLM capace di identificare vulnerabilità di memory safety prima del rilascio ufficiale del codice. Anche OpenAI sta sperimentando Aardvark, un sistema agentico per la gestione scalabile delle vulnerabilità.

Un elemento che accomuna tutte queste soluzioni è l’intervento umano come passaggio imprescindibile. Nessuna patch infatti viene applicata automaticamente senza validazione da parte di uno sviluppatore o di un team di sicurezza. Questo vincolo operativo è determinante, perché il rischio di falsi positivi, di remediation incomplete o di regressioni funzionali non può essere eliminato con l’automazione pura.

La questione cruciale, evidenziata da diversi operatori del settore, riguarda la scalabilità e la trasparenza delle metriche. Le aziende che sviluppano foundation model raramente pubblicano dati dettagliati sui tassi di falsi positivi o sui costi computazionali necessari per ottenere determinati risultati. Senza queste informazioni, è difficile valutare il reale rapporto tra investimento e beneficio in un contesto enterprise.

L’intelligenza artificiale applicata al codice rappresenta un’evoluzione significativa nelle pratiche di software engineering e sicurezza applicativa. Può accelerare attività di audit, migliorare la documentazione implicita nei sistemi legacy e supportare la remediation di vulnerabilità complesse, ma al tempo stesso può generare nuovo codice difettoso o ampliare la superficie d’attacco se utilizzata senza adeguati controlli. Un equilibrio dinamico tra entusiasmo e prudenza nel quale si gioca la partita della modernizzazione dei sistemi critici, tra mainframe, SaaS e agenti autonomi.