L’85% dei leader intervistati dichiara di essere “abbastanza” o “molto” fiducioso nella propria strategia di cybersecurity.
“La cybersecurity è diventata una priorità strategica nelle agende dei leader delle aziende globali. Eppure, nonostante gli investimenti crescenti, il supporto della C-suite e gli investimenti e la transizione verso modelli tecnologici più avanzati, le organizzazioni si trovano ancora di fronte a una realtà complessa e contraddittoria. La quinta edizione della survey di Deloitte “Global Future of Cyber” – basata sulle risposte di oltre 1.000 leader in 43 Paesi – rivela un fenomeno affascinante: non sono i vincoli di budget o di governance a frenare la maturità cyber, bensì cinque paradossi strutturali che riflettono il divario tra visione strategica ed esecuzione operativa”. Così ha spiegato Matthew Holt, Cyber Leader di Deloitte Central Mediterranean.
Il primo paradosso riguarda il rapporto tra fiducia e capacità di implementazione. L’85% dei leader intervistati dichiara di essere “abbastanza” o “molto” fiducioso nella propria strategia di cybersecurity. Citano, tra gli elementi di forza, architetture di sicurezza moderne (42%), solide capacità di risposta agli incidenti cyber (33%), una governance dei dati efficace (35%) e un forte supporto della C-suite (33%). Il quadro appare rassicurante, ma cambia quando si passa dalla strategia alla sua concreta realizzazione. Solo il 70% degli intervistati dichiara infatti di aver implementato queste misure “in larga misura” o “in misura molto ampia”.
“Un divario di 15 punti percentuali che non rappresenta un semplice scostamento statistico, ma evidenzia una criticità strutturale che le organizzazioni sono chiamate a colmare per raggiungere una reale integrazione operativa”, scrive l’esperto.
Il secondo paradosso emerge osservando come la cybersecurity sia ormai riconosciuta come una priorità strategica, ma non ancora percepita come tale in tutte le aree dell’organizzazione. Il 66% degli intervistati descrive come “forte” la relazione tra Chief Information Security Officer (CISO) e Chief Executive Officer (CEO), una percentuale che sale al 76% se si considera l’intera C-suite. Tuttavia, questa centralità tende a indebolirsi man mano che ci si allontana dai vertici aziendali. Le relazioni del CISO con funzioni strategiche come l’architettura IT (22%) o le risorse umane (57%) restano infatti limitate.
“Un disallineamento di questo tipo rischia di rallentare l’efficacia complessiva delle strategie cyber e conferma la necessità di un approccio più trasversale, capace di coinvolgere l’intera organizzazione”, commenta Holt.
Un terzo elemento di contraddizione riguarda la gestione dell’ecosistema dei fornitori. Da un lato, molte organizzazioni dichiarano di voler ridurre il numero di vendor per semplificare la governance tecnologica; dall’altro, il panorama delle minacce e delle tecnologie rende sempre più necessario ampliare il numero di partner specializzati. Il 38% degli intervistati lavora già con un numero di fornitori compreso tra 11 e 20, mentre il 29% ne utilizza almeno 21. Inoltre, il 74% afferma che il numero di partner di cybersecurity è aumentato nell’ultimo anno e la maggior parte prevede un’ulteriore crescita nei prossimi tre-cinque anni, fino all’85%. Alcune organizzazioni mantengono un elevato numero di fornitori per ridurre il rischio di concentrazione, mentre altre puntano a consolidare il proprio ecosistema per diminuire la complessità operativa. In realtà, non esiste una soluzione valida per tutti.
“La proliferazione dei vendor rappresenta una conseguenza naturale dell’evoluzione delle minacce e della crescente frammentazione delle architetture cyber. Più che consolidare indiscriminatamente, diventa quindi fondamentale razionalizzare il portafoglio di partner attraverso piattaforme integrate in grado di abilitare l’intelligenza artificiale e gli agentic workflows”, spiega l’esperto Deloitte.
Il quarto paradosso riguarda invece il rapporto tra la crescente frequenza degli attacchi e la loro capacità di produrre danni rilevanti. Le violazioni cyber continuano a essere estremamente diffuse e il 78% delle aziende coinvolte nella survey ha reso pubblica almeno una violazione nel 2025, rispetto al 91% registrato nel 2024. Quasi un terzo delle organizzazioni ha segnalato tra sei e dieci violazioni nel corso dell’anno, in calo rispetto al 40% rilevato dodici mesi prima. Parallelamente, diminuisce anche la quota di chi considera gli impatti subiti “significativi”: il 52% contro il 64% del 2024.
“Questo andamento non suggerisce che gli attacchi siano diventati meno pericolosi, ma piuttosto che le organizzazioni abbiano rafforzato la propria capacità di prevenzione, rilevazione e contenimento. Allo stesso tempo, un numero ridotto di breach dichiarati non rappresenta necessariamente un indicatore positivo: in alcuni casi potrebbe essere il sintomo di capacità di detection ancora insufficientemente mature”, scrive Holt.
L’ultimo paradosso riguarda infine il rapporto tra investimenti e incertezza. L’85% delle organizzazioni intervistate dichiara di aver aumentato il budget destinato alla cybersecurity nell’ultimo anno e l’88% prevede un’ulteriore crescita nel prossimo futuro. Se l’incremento degli investimenti rappresenta ormai una costante, il contesto nel quale tali risorse devono essere impiegate evolve con una rapidità senza precedenti.
“Le trasformazioni tecnologiche, a partire dall’intelligenza artificiale e in particolare dalla GenAI, modificano continuamente il panorama delle minacce e richiedono modelli di pianificazione finanziaria sempre più dinamici e flessibili. Investire di più, da solo, non basta: diventa essenziale investire con la capacità di adattarsi rapidamente ai cambiamenti”, spiega l’esperto.
Questi cinque paradossi non rappresentano dei fallimenti, ma descrivono una fase di transizione. Le organizzazioni hanno costruito le fondamenta strategiche della cybersecurity e sono ora chiamate ad affrontare la sfida più complessa: trasformare la visione in un’esecuzione operativa realmente integrata. La domanda non è più se un’organizzazione disponga di una strategia cyber, ma se sia in grado di metterla in pratica in tempo reale mentre il panorama delle minacce continua a evolvere.
“Saranno proprio le organizzazioni capaci di rispondere affermativamente a questa domanda a trasformare la cybersecurity da funzione di controllo a vero abilitatore del business. I paradossi evidenziati dalla Survey non devono quindi essere letti soltanto come elementi di criticità, ma come indicatori delle aree sulle quali concentrare il cambiamento per colmare il divario che ancora separa molte organizzazioni dal livello di resilienza e maturità cyber richiesto dallo scenario presente e futuro”, conclude Holt.