Le imprese italiane stanno investendo sempre più in cybersecurity, ma la gestione dei rischi informatici resta insufficiente. Meno di un’azienda su due effettua controlli periodici e strutturati sui rischi cyber, il 45% svolge valutazioni solo una volta all’anno e una su dieci non ha nemmeno una frequenza definita di assesment. È quanto emerge da una ricerca realizzata da Strategic Management Partners (SMP), la più grande società di management consulting a capitale italiano, su 80 medie e grandi aziende appartenenti ai principali settori industriali e dei servizi.
Lo studio evidenzia come la crescente attenzione dei board ai temi della sicurezza non sia ancora accompagnata da strumenti adeguati di governance, dato che in circa due aziende su tre non esistono KPI per misurare concretamente il livello di sicurezza raggiunto. Particolarmente critica appare la gestione della supply chain: se solo il 12% delle aziende svolge controlli regolari sulla sicurezza dei fornitori, il 25% non effettua alcuna verifica e il 63% procede solo in modo occasionale. La ricerca evidenzia inoltre un ritardo nella percezione dei rischi derivanti dall’integrazione dell’intelligenza artificiale e del cloud nei processi aziendali: tecnologie che accelerano la trasformazione digitale, ma che ne aumentano allo stesso tempo le superfici di attacco, i rischi di perdita dei dati e le problematiche di compliance.
«Con l’uso massiccio di IA e cloud e il conseguente aumento dei rischi informatici, stiamo entrando in una nuova fase», afferma Giampietro Paraboni, cofondatore ed equity partner di SMP. «La cybersecurity non può più essere considerata solo una funzione IT. La sicurezza deve essere integrata a pieno titolo nella governance aziendale, così da arrivare alla business security. Possiamo dire che dopo gli anni della digital transformation ci aspettano quelli della cyber transformation».
Secondo SMP, la trasformazione digitale delle imprese italiane rischia oggi di rallentare non per mancanza di tecnologia, ma per la debolezza della governance cyber lungo le filiere. La cybersecurity non rappresenta più soltanto una questione tecnica, bensì una componente essenziale della resilienza e della competitività delle organizzazioni. Le aziende stanno investendo soprattutto per adeguarsi a normative europee come NIS2, DORA e AI Act; tuttavia, finché la compliance verrà affrontata come un semplice adempimento regolatorio, continuerà a essere percepita come un costo, mentre la sfida è trasformarla in uno strumento di governance e di vantaggio competitivo.
***
La ricerca è stata condotta attraverso interviste strutturate ai CISO e ai responsabili cybersecurity di medie e grandi aziende italiane dei settori manufacturing, utilities, chimico, ICT e telecomunicazioni.
