Marcus Chen, YuSMP Group
Marcus Chen Staff Engineer (Backend & Cloud), YuSMP Group · SaaS multi-tenant, AWS/GCP, piattaforme web in produzione

La risposta in 60 secondi

Il vibe coding — descrivere ciò che si vuole a un'AI e accettare la maggior parte del codice — è il cambiamento più grande nel modo in cui si costruiscono le web app dai tempi delle guerre tra framework. Nel 2026 è genuinamente trasformativo per il primo 70% di un prodotto. È anche la fonte di un'ondata di lanci bloccati, incidenti di sicurezza e riscritture costose. La versione breve:

  • Vince in: prototipi, MVP di validazione, strumenti interni, scaffolding di UI, script una tantum e il noioso boilerplate di qualsiasi progetto.
  • Si rompe in: autorizzazione, isolamento dei dati multi-tenant, concorrenza, stati di errore, accessibilità, prestazioni sotto carico, sicurezza e gestione normativa (GDPR, CCPA, HIPAA, PCI DSS).
  • Il costo reale: la demo è il 10–20% del lavoro. Una v1 pronta per la produzione su una base realizzata con vibe coding si attesta comunque tra 60.000 e 180.000 EUR in termini USA/UE — l'AI fa risparmiare tempo di discovery, non tempo di ingegneria.
  • Il pattern vincente: l'AI scrive la prima bozza e il boilerplate; gli ingegneri senior governano architettura, sicurezza, dati e le scelte di giudizio. I team che lo fanno rilasciano il 20–40% più velocemente. I team che rilasciano l'output dell'AI senza revisione accumulano difetti che cancellano il guadagno entro un trimestre.

Cosa significa davvero «vibe coding» nel 2026

Il termine è stato reso popolare da Andrej Karpathy all'inizio del 2025: costruire software dicendo a un'AI ciò che si vuole in linguaggio semplice e guidando per risultato anziché scrivere a mano ogni funzione. Verso metà 2026 è diventato un modo mainstream per avviare un progetto. Gli strumenti sono maturati rapidamente:

  • Agenti dentro il repo — Cursor e Claude Code lavorano direttamente in un codebase reale, leggendo e modificando molti file, eseguendo test e iterando sugli errori.
  • Prompt-to-UI — v0 (Vercel), Lovable e Bolt trasformano una frase in un front end Next.js/React funzionante, con componenti e routing.
  • Scaffolder full-stack — gli stessi agenti collegano database, API e auth a partire da una descrizione in pochi minuti.

La capacità è reale e non è hype. Un ingegnere senior con questi strumenti è significativamente più veloce. La trappola è considerare «funziona e sembra giusto» equivalente a «è pronto per i clienti». Sono due affermazioni molto diverse, e nel divario tra le due vive questo articolo.

Dove il vibe coding vince davvero

Siamo onesti con la tecnica. Ci sono categorie in cui il vibe coding non è solo accettabile, ma il default corretto nel 2026:

  1. Prototipi e MVP di validazione. Quando l'obiettivo è capire se la cosa interessa a qualcuno, un prototipo usa-e-getta costruito dall'AI risponde alla domanda in giorni, non settimane. Codice usa-e-getta per un'ipotesi usa-e-getta è una buona economia.
  2. Strumenti interni. Una dashboard di amministrazione usata da dieci dipendenti dietro la vostra VPN ha un raggio d'impatto ridotto. Rilasciatela, iterate, andate avanti.
  3. Scaffolding di UI. Generare la prima versione di una libreria di componenti, di un layout o di un form — per poi rifinirla a mano — è più veloce che partire da un file vuoto.
  4. Boilerplate e codice di collegamento. Endpoint CRUD, definizioni di tipo, fixture di test, file di migrazione, configurazione — il ripetitivo 60% di qualsiasi codebase che l'AI scrive correttamente e instancabilmente.
  5. Esplorazione. Provare tre approcci architetturali in un pomeriggio per vedere quale convince, prima di impegnare un team su uno.

Se il vostro progetto è uno di questi, gran parte della cautela di questo articolo non si applica. Il rischio comincia nel momento in cui un artefatto realizzato con vibe coding smette di essere usa-e-getta e inizia a contenere dati reali dei clienti.

Due ingegneri che revisionano insieme codice di un'applicazione web generato dall'AI
Il pattern del 2026 che funziona: l'AI scrive la bozza, un ingegnere senior revisiona ogni riga che tocca auth, dati e denaro.

Sette punti in cui le web app generate dall'AI si rompono in produzione

Questi sono i modi di fallimento che vediamo più spesso quando un'app realizzata con vibe coding incontra traffico reale, dati reali e regolatori reali. Nessuno di essi compare in una demo. Tutti compaiono alla terza settimana.

  1. Autorizzazione, non autenticazione. L'AI aggiunge in modo affidabile una schermata di login. Dimentica regolarmente che l'utente A non deve poter leggere i record dell'utente B cambiando un ID nell'URL. L'autorizzazione a livello di oggetto rotta (IDOR) è il singolo difetto più comune che troviamo nelle app generate dall'AI.
  2. Isolamento dei dati multi-tenant. «Aggiungi le organizzazioni al mio SaaS» produce una colonna tenant e query che da qualche parte dimenticano di filtrarla. Un singolo WHERE tenant_id = ? mancante è una fuga di dati cross-tenant e, nell'UE, una violazione del GDPR da notificare.
  3. Concorrenza e race condition. L'AI scrive codice read-modify-write che funziona con un utente e corrompe i dati con due. Double-spend, aggiornamenti persi, addebiti duplicati — i bug che compaiono solo sotto carico.
  4. Stati di errore e casi limite. Il percorso felice è impeccabile. Il timeout di rete, la lista vuota, il form inviato a metà, il token scaduto — spesso non gestiti, così l'app mostra una schermata bianca o uno stack trace a un cliente pagante.
  5. Prestazioni sotto carico. Query N+1, indici mancanti, result set senza limiti, nessun caching. Veloce con dieci righe, inutilizzabile con un milione. L'AI ottimizza per «funziona», non per «funziona su scala».
  6. Igiene di sicurezza. Segreti committati nel repo, SQL costruito per concatenazione di stringhe, CSP e header di sicurezza mancanti, dipendenze con CVE note, CORS troppo permissivo. Ognuna è una correzione di una riga che un ingegnere senior intercetta e che l'AI rilascia allegramente.
  7. Accessibilità e conformità. Le UI generate trascurano le basi WCAG 2.2 AA — keyboard trap, label mancanti, contrasto scarso. Nell'UE l'Accessibility Act (EAA) ne ha fatto un requisito legale di base nel 2025; negli USA è esposizione ADA.

Il problema del 70% — l'ultimo miglio che non lo è

C'è un pattern così costante da meritare un nome. L'AI vi porta a circa il 70% di un prodotto funzionante con una rapidità sorprendente. Il guaio è che il restante 30% non è l'ultimo 30% del lavoro — è la maggior parte del lavoro, ed è la parte difficile.

Il primo 70% sono le funzionalità che fanno una bella figura in demo. Il 30% finale è tutto ciò che rende il software affidabile: la matrice di autorizzazione, il modello dei dati che sopravvive al contatto con l'uso reale, la suite di test che permette di modificare il codice senza paura, l'observability che vi dice cosa si è rotto alle 3 del mattino, il budget di prestazioni, la postura di sicurezza, l'accessibilità, le pratiche di conformità. È esattamente il lavoro che richiede giudizio, pensiero a livello di sistema ed esperienza — ed esattamente il punto in cui l'AI di oggi è più debole senza un ingegnere senior che guida ogni passo.

Peggio ancora, il 70% è spesso costruito su assunzioni che il 30% invalida. Un modello dei dati che ha ignorato la multi-tenancy, un approccio di auth che non scala a ruoli e permessi, un front end senza error boundary — correggerli tardi significa riscrivere parzialmente il comodo 70% che credevate fatto. È per questo che «ci siamo quasi» può durare per mesi.

Il costo reale di portare in produzione un'app realizzata con vibe coding

Il modello mentale pericoloso è «l'AI l'ha costruita in un weekend, quindi finirla è un lavoretto». La contabilità onesta è l'opposto. Trattate il prototipo come il 10–20% dello sforzo totale.

Una demo costruita in un weekend richiede tipicamente 8–16 settimane di ingegneria senior per diventare un prodotto lanciabile: un modello dei dati reale, una matrice di autorizzazione, una suite di test, observability, hardening di sicurezza, accessibilità, CI/CD e load testing. In termini di budget USA ed europeo, una v1 pronta per la produzione costruita su una base realizzata con vibe coding si attesta di solito tra 60.000 e 180.000 EUR a seconda dello scope — la stessa fascia di un MVP costruito a mano. Vedete la nostra ripartizione in quanto costa un MVP nel 2026.

Ciò che l'AI fa genuinamente risparmiare è il tempo di discovery — le settimane spese a decidere cosa costruire e a validarlo con gli utenti. Quello è valore reale. Non fa risparmiare l'ingegneria necessaria a rendere la cosa sicura, veloce e manutenibile. I founder che fanno budget come se lo facesse sono quelli che restano senza runway all'80% del «fatto».

FaseVibe codingIngegneria senior
Demo / prototipo funzionanteOre–giorniRevisiona lo scope, conserva le decisioni di prodotto
Modello dei dati & multi-tenancySpesso sbagliatoProgettato per isolamento e scala
Auth & autorizzazioneSolo loginRuoli, permessi, controlli a livello di oggetto
Test & CIScarsi o assentiCopertura sui percorsi critici, CI con gate
Sicurezza & conformitàAd hocOWASP, header, GDPR/CCPA by design
Prestazioni & observabilityNon testate sotto caricoBudget, indici, RUM, alerting

Checklist di production-readiness per web app generate dall'AI

Prima di mettere un'app realizzata con vibe coding davanti a utenti reali, scorrete questa lista. Se non potete spuntare ogni casella, avete un prototipo, non un prodotto.

  • Matrice di autorizzazione — ogni endpoint e ogni accesso a un record verifica chi è autorizzato. Testate esplicitamente l'attacco «cambia l'ID nell'URL».
  • Isolamento dei tenant — se è multi-tenant, dimostrate che nessuna query può restituire i dati di un altro tenant. Row-level security di Postgres o un livello di scoping imposto, non la sola disciplina.
  • Segreti — nulla di sensibile nel repo o nel bundle client; segreti in un manager; storia ripulita se qualcosa è trapelato.
  • Gestione dell'input — query parametrizzate ovunque, validazione su ogni input, output encoding per fermare l'XSS.
  • Stati di errore — timeout, stati vuoti, fallimenti parziali e sessioni scadute tutti gestiti con una UI sensata.
  • Test sui percorsi critici — auth, pagamenti, scritture di dati coperti, in esecuzione in CI, che bloccano i merge in caso di fallimento.
  • Budget di prestazioni — Core Web Vitals (LCP < 2,5s, INP < 200ms, CLS < 0,1), nessuna query N+1, indici in posizione, load testing eseguito.
  • Accessibilità — WCAG 2.2 AA: tastiera, screen reader, contrasto, label. Baseline EAA (UE) e ADA (USA).
  • Observability — log strutturati, error tracking (Sentry), real-user monitoring, alert sui percorsi che contano.
  • Conformità — gestione dati GDPR/CCPA, consenso dove richiesto, DPA con i fornitori, un percorso di cancellazione dati difendibile.

Come i team senior usano davvero l'AI nel 2026

La conclusione non è «non usate l'AI». Il contrario — i team che vincono nel 2026 la usano in modo aggressivo, con disciplina attorno ad essa. Il workflow che funziona:

  1. L'AI scrive la prima bozza. Boilerplate, componenti, CRUD, test, refactor — lasciate che sia l'agente a battere a macchina.
  2. Un ingegnere senior governa l'architettura. Modello dei dati, design dell'auth, confini dei servizi, strategia di tenancy — decisi da un umano prima che l'AI ne riempia il corpo.
  3. Ogni riga che tocca auth, dati o denaro viene letta. L'asticella della revisione non si abbassa perché l'ha scritta una macchina. Semmai si alza — l'AI scrive codice plausibile, sicuro di sé e sbagliato.
  4. Tutto tipizzato. TypeScript dall'inizio alla fine, confini validati da schema. I tipi intercettano gratis una grossa quota di errori dell'AI.
  5. Test e CI come rete di sicurezza. Evals per le modifiche assistite dall'AI, CI con gate, nessun merge sul rosso. I test sono il modo in cui ci si fida di codice che non si è scritto a mano.
  6. Sicurezza e accessibilità nella definition of done — non un ticket per dopo.

Fatto così, l'AI è un genuino acceleratore del 20–40% sui codebase reali. L'accelerazione viene dal togliere la battitura e il boilerplate, non dal togliere il giudizio ingegneristico. È quella la parte per cui state pagando un team senior — e la parte che impedisce che il vostro lancio diventi una notifica di violazione. È esattamente così che lavoriamo negli ingaggi di sviluppo di applicazioni web.

Sviluppatore che revisiona il codice su un laptop prima del rilascio in produzione
Il passaggio di revisione è dove la velocità del vibe coding diventa sicura per la produzione. Non è opzionale e non diventa più rapido perché la bozza l'ha scritta l'AI.

Quando conservare il prototipo e quando riscriverlo

Un prototipo realizzato con vibe coding non è uno spreco — anche se riscrivete il codice. Le due cose che vale la pena conservare sono quasi sempre le decisioni di prodotto (quali schermate esistono, quali sono i flussi, a cosa hanno risposto gli utenti) e la prova che l'idea funziona. Trattate il prototipo come una specifica eseguibile.

Conservate e rinforzate il codice quando: l'architettura è solida, il modello dei dati regge allo scrutinio e le lacune sono additive (test, gestione degli errori, observability). Riscrivete le fondamenta quando: tenancy o auth non sono mai state progettate, il modello dei dati combatte contro il prodotto, o la revisione di sicurezza fa emergere problemi sistemici. In pratica la maggior parte degli ingaggi di produzione è un ibrido — conservare il livello di prodotto front-end, re-ingegnerizzare il nucleo di dati e auth. La decisione va presa deliberatamente da qualcuno che ha rilasciato sistemi in produzione, non per inerzia.

FAQ

Cos'è il vibe coding?

Costruire software descrivendo ciò che si vuole a uno strumento AI (Cursor, Claude Code, v0, Lovable, Bolt) e accettando la maggior parte del codice generato senza leggere ogni riga. Coniato da Andrej Karpathy all'inizio del 2025. Eccellente per i prototipi; rischioso come unica disciplina dietro un sistema in produzione.

Si può portare in produzione un'app realizzata con vibe coding?

Sì, ma raramente così com'è. L'AI vi porta a ~70% in fretta; il restante 30% — autorizzazione, multi-tenancy, concorrenza, errori, accessibilità, prestazioni, sicurezza, GDPR/CCPA — è dove vive la produzione e dove l'AI è più debole senza un ingegnere senior. Conservate le decisioni di prodotto, re-ingegnerizzate le fondamenta.

Il vibe coding è sicuro per un'azienda reale?

Per strumenti interni e MVP di validazione, sì. Per qualsiasi cosa memorizzi dati dei clienti, gestisca pagamenti o comporti un'esposizione normativa, il codice AI non revisionato è una passività — controlli di autorizzazione mancanti, segreti trapelati, SQL non parametrizzato e fughe cross-tenant sono gli incidenti comuni. Un passaggio di revisione senior e test reali sono irrinunciabili.

Quanto costa portare in produzione un prototipo realizzato con vibe coding?

Considerate il prototipo come il 10–20% del totale. Una demo da weekend richiede di solito 8–16 settimane di ingegneria senior — 60.000–180.000 EUR in termini USA/UE, la stessa fascia di un MVP costruito a mano. L'AI fa risparmiare tempo di discovery, non tempo di ingegneria.

Quali strumenti di AI coding sono i migliori per lo sviluppo web nel 2026?

Cursor e Claude Code per il lavoro agentivo dentro il repo; v0, Lovable e Bolt per il prompt-to-UI. Lo strumento conta meno della disciplina: codice tipizzato, test, code review ed evals.

L'AI sostituirà gli sviluppatori web nel 2026?

No — cambia ciò che fanno. L'AI gestisce la prima bozza e il boilerplate; i senior governano architettura, sicurezza, dati e giudizio. I team che la adottano bene rilasciano il 20–40% più velocemente; i team che la rilasciano senza revisione accumulano debito che cancella il guadagno entro un trimestre.

Porta il prototipo in produzione sul serio

Portiamo le web app generate dall'AI da demo impressionante a prodotto di livello produzione — auth, multi-tenancy, prestazioni, sicurezza e GDPR/CCPA — per team USA ed europei. Solo ingegneri senior, scoping onesto, nessun junior nascosto dietro le fatture.

Ultimo aggiornamento: 7 giugno 2026.