Post di Gianluca Pellegrini, Direttore Generale smeup ICS
Immagine di freepik
Un file che non si apre più, un gestionale che si blocca, un cliente che segnala comunicazioni anomale: è spesso così che la sicurezza informatica entra davvero in agenda nelle imprese. Fino a quel momento, tutto sembra funzionare e il rischio resta sullo sfondo, percepito ma non misurato. Una normalità silenziosa, che regge finché non viene messa alla prova.
È in questo scarto – tra la percezione di controllo e ciò che accade sotto la superficie – che si inserisce lo spaccato del Cyber Index PMI 2025. È vero, l’indice cresce e raggiunge quota 55 su 100, segnale che il tema è ormai entrato stabilmente nelle aziende. Ma la fotografia cambia se si osserva la distribuzione: sette imprese su dieci restano in una terra di mezzo, dove il rischio è riconosciuto ma non ancora governato, mentre una su tre ammette di non avere le competenze per gestire nemmeno le attività più elementari.
Nel frattempo, il contesto evolve più rapidamente delle capacità di risposta, con gli attacchi che si diffondono e diventano parte della quotidianità operativa. Non a caso, quasi una PMI su quattro ne ha già fatto esperienza, spesso con impatti che vanno oltre il solo ambito informatico e con conseguenze anche difficili da comprendere e sottovalutate.
Eppure, nella maggior parte dei casi, la tecnologia per difendersi c’è: sistemi di protezione, backup e strumenti di controllo sono presenti. Il punto non è la disponibilità, ma l’utilizzo, perché senza una visione d’insieme anche una dotazione completa rischia di essere inefficace. È come avere serrature su tutte le porte e lasciare aperta una finestra: l’attacco non forza ciò che è più protetto, ma passa da dove trova meno resistenza. Non perché il sistema sia privo di difese, ma perché non è stato davvero governato. Una volta superata la prima barriera, infatti, l’attacco segue semplicemente il percorso più accessibile.
È qui che il tema delle competenze assume un significato diverso. Non riguarda solo la presenza di specialisti, ma la capacità diffusa di leggere e interpretare il rischio: riconoscere un’anomalia, comprendere il valore reale delle misure adottate, distinguere tra ciò che protegge davvero e ciò che dà solo una percezione di sicurezza. È su questo piano che si costruisce la differenza.
Per questo, oggi, la formazione non può più essere considerata un passaggio accessorio. Non più momento informativo isolato, ma condizione operativa che consente alle aziende di passare da una difesa formale a una reale. È un passaggio che rende evidente anche un altro punto: la tecnologia, da sola, non basta. Considerarla una risposta automatica al rischio porta spesso a sovrastimarne l’efficacia. Nella pratica, la differenza si costruisce nella gestione quotidiana: nel modo in cui vengono configurati gli accessi, nella capacità di isolare gli ambienti, nell’attenzione a ciò che accade nella rete.
Il tema assume un peso ancora maggiore se si guarda alla struttura produttiva italiana. Quando un attacco informatico attraversa la rete aziendale e arriva agli impianti, il problema cambia natura. Non riguarda più solo i dati, ma la capacità stessa di produrre, fermando macchine, accumulando ritardi e interrompendo catene di forniture. Il rischio digitale, di conseguenza, diventa rischio industriale.
È proprio questa evoluzione che spiega anche il cambio di passo sul piano normativo, introdotto negli ultimi anni. Con la direttiva NIS2, la sicurezza esce dal perimetro tecnico e viene ricondotta alla responsabilità di chi guida l’impresa. Non si tratta più solo di rispettare obblighi, ma di integrare il rischio informatico nelle scelte aziendali, perché è lì che ormai si gioca una parte della capacità di restare operativi.
È a questo livello che si gioca la vera differenza tra le imprese: non tanto nella tecnologia di cui dispongono, quanto nella capacità di governarla, collegando strumenti e processi in modo coerente. Quando questo passaggio manca, la sicurezza resta un insieme di soluzioni isolate e poco efficaci; quando invece si realizza, diventa parte integrante del funzionamento dell’azienda e della sua capacità di affrontare il rischio. Una distanza meno visibile, ma decisiva, che si colma solo quando la sicurezza smette di essere un tema tecnico e diventa un elemento strutturale del modo di fare impresa.
