Sophos ha pubblicato i risultati di uno studio globale indipendente dai vendor che si è avvalso delle risposte fornite da 5.000 aziende di 17 Paesi per esaminare una delle più urgenti e sottovalutate necessità della cybersicurezza: la fiducia.
Il report, dal titolo Cybersecurity Trust Reality 2026, rappresenta uno degli studi più completi sul tema della fiducia nell’ambito della cybersicurezza e del relativo impatto sul rischio operativo e sui processi decisionali del management aziendale. La ricerca evidenzia come i CISO si trovino di fronte a una sfida critica: la fiducia nei confronti dei produttori di cybersicurezza è fragile, difficile da misurare e sempre più importante nel definire la postura del rischio a livello sia operativo che decisionale.
In un’epoca di ininterrotte cyberminacce, crescenti vincoli normativi e continua diffusione della AI, la fiducia è divenuta un fattore determinante nelle decisioni inerenti la cybersicurezza. Eppure lo studio rivela come quasi tutte le realtà intervistate non abbiano piena fiducia nei rispettivi fornitori di cybersicurezza, e come molte di esse facciano addirittura fatica a determinare per prima cosa l’affidabilità dei vendor.
Lo studio ha scoperto che:
- il 95% degli intervistati non ha piena fiducia nei rispettivi fornitori di cybersicurezza
- il 79% non riesce a determinare l’affidabilità dei nuovi fornitori di cybersicurezza, e oltre sei intervistati su dieci (62%) non riescono a farlo nemmeno sui fornitori già presenti
- oltre la metà (51%) segnala crescenti preoccupazioni circa la possibilità di cyberincidenti significativi come diretta conseguenza di questa mancanza di fiducia
Questi dati disegnano un’importante verità: l’efficacia della cybersicurezza non può essere misurata solamente dalle performance tecnologiche, ma anche dalla fiducia che le aziende ripongono nei partner che ne difendono le attività. Per i CISO, la mancanza di fiducia crea frizioni operative, rallentamenti decisionali e un maggior turnover dei fornitori. La presenza di partner affidabili riduce invece il rischio e dà vita a organizzazioni più resilienti.
I DATI ITALIANI
Il processo di valutazione dei nuovi fornitori e partner di sicurezza informatica rimane una sfida significativa per la maggior parte delle aziende italiane:
- Quasi il 70% delle organizzazioni italiane trova difficile o abbastanza difficile valutare nuovi fornitori o partner.
- Solo il 26% afferma che non sia particolarmente complesso.
La difficoltà principale per le aziende italiane non riguarda solo l’accesso alle informazioni sui fornitori, ma soprattutto la loro qualità, chiarezza e interpretabilità, elementi che rendono complessa la valutazione del rischio nella supply chain;
- il 43% afferma che le informazioni sui fornitori sono difficili da interpretare o comprendere.
- il 49% segnala che le informazioni disponibili non sono sufficientemente dettagliate o affidabili.
- il 32% indica che le informazioni sui fornitori sono difficili da reperire
- il 41% afferma che la propria azienda non dispone delle competenze o conoscenze necessarie per valutare efficacemente possibili partner di cybersecurity
- il 40% evidenzia che le informazioni disponibili risultano spesso contrastanti.
Tra i fattori chiave che influenzano la fiducia nei confronti dei vendor di cybersecurity, le aziende italiane indicano:
- 43% – Prove verificabili della maturità in cybersecurity, come programmi di bug bounty, con cui le aziende premiano ricercatori ed esperti di sicurezza che individuano e segnalano vulnerabilità nei loro sistemi digitali, advisory di sicurezza, certificazioni o valutazioni di terze parti.
- 43% – Trasparenza e comunicazione tempestiva durante incidenti o vulnerabilità di prodotto.
- 32% – Commenti rilasciati dal vendor dopo grandi incidenti informatici, ad esempio interventi sui media o analisi pubbliche.
- 37% – Capacità di fornire in modo costante prodotti e servizi di cybersecurity di alta qualità.
I dati mostrano inoltre che le aziende italiane basano la fiducia nei vendor di cybersecurity soprattutto su evidenze concrete e verificabili della maturità in sicurezza, seguite dalla trasparenza nella gestione degli incidenti e dalla credibilità tecnica dimostrata nel settore.
“Nella cybersicurezza la fiducia non è un concetto astratto, è un fattore di rischio misurabile”, ha dichiarato Ross McKerchar, CISO di Sophos. “Quando le aziende non possono verificare in modo indipendente la maturità della sicurezza, la trasparenza e il modo di gestire gli incidenti di un fornitore, quella incertezza si trasmette direttamente alle strategie di sicurezza e ai decisori aziendali”.
La ricerca identifica una serie di elementi verificabili, come valutazioni indipendenti, certificazioni e dimostrata maturità operativa, quali principali fattori di fiducia nei confronti dei fornitori di sicurezza. La trasparenza nel corso degli incidenti e la continuità delle performance tecniche sono le priorità dei CISO, mentre a livello di management sono importanti le verifiche indipendenti, le certificazioni e le performance degli analisti.
Il filo conduttore è chiaro: le aziende esigono trasparenza supportata da prove, non semplici assicurazioni generiche.
Con l’intelligenza artificiale che si fa sempre più strada nei tool, nei servizi e nei workflow della cybersicurezza, le aziende non si interrogano solamente sull’efficacia delle relative soluzioni, ma anche sulla responsabilità, sulla trasparenza e sulla governance che caratterizzano il deployment della AI. La fiducia non è più un’opzione, bensì un elemento fondamentale.
“Ai CISO viene richiesto di provare la fiducia, non di presumerla”, ha aggiunto McKerchar. “I provider di cybersicurezza debbono fare lo stesso. Gli intervistati hanno sottolineato come la mancanza di informazioni accessibili e sufficientemente dettagliate sia l’ostacolo principale per poter valutare il grado di fiducia. La fiducia deve essere guadagnata continuamente mediante trasparenza, responsabilità e verifiche indipendenti”.
Questi risultati trasformano la fiducia da attributo di un brand a imperativo strategico.
