In uno scenario in cui la sovranit\u00e0 digitale \u00e8 un tema sempre pi\u00f9 rilevante, ogni Paese sta intensificando gli sforzi per difendere i propri asset critici: dall\u2019industria ai sistemi energetici, passando da sanit\u00e0 a molti altri. Parte di questa strategia obbliga le aziende ad adottare processi solidi di cybersecurity e gestione del rischio, pena sanzioni e conseguenze legali. Ma la complessit\u00e0 delle normative sta generando preoccupazione: molte organizzazioni temono di non avere tempo e risorse adeguate.<\/p>\n
La crescita di un\u2019azienda porta maggiori complessit\u00e0 operative e normative. Secondo il MetLife and U.S. Chamber of Commerce Small Business Index del quarto trimestre 2025, il 37% delle imprese considera la compliance una problematica rilevante, cos\u00ec nel manifatturiero (51%) e nei servizi professionali (57%). In particolare, il settore manifatturiero rappresenta un comparto critico dato che \u00e8 direttamente responsabile di una larga parte dell\u2019economia nazionale, della forza lavoro impiegata e di altre industrie (medicale, aerospaziale, chimica, hardware IT\u2026).<\/p>\n
Per quanto riguarda i servizi professionali, vale lo stesso discorso: quando un\u2019azienda non \u00e8 in grado di fornire internamente un servizio, si affida a un partner esterno (ad esempio, per gestire la contabilit\u00e0, i servizi legali o la ricerca). Ed \u00e8 proprio qui che risiede la loro vulnerabilit\u00e0. Queste relazioni richiedono spesso la condivisione di dati sensibili, l\u2019accesso alle reti interne o la fornitura di componenti chiave nella supply chain digitale dell\u2019azienda; se il partner viene compromesso, ne derivano quindi incidenti originati dalle terze parti difficili da monitorare.<\/p>\n
A tal proposito, di recente, un importante sviluppatore statunitense ha sub\u00ecto una violazione di dati a causa di un fornitore di servizi paghe e contributi esterno. Un attacco del gruppo ransomware El Dorado ha colpito, infatti, un partner di questa societ\u00e0 di gestione payroll, causando il furto di informazioni.<\/p>\n
Oggi una stretta di mano e una firma non sono pi\u00f9 una garanzia di relazioni commerciali sicure. Qualsiasi nuova partnership oppure ordine di fornitura dovrebbe essere accompagnato da un audit di sicurezza completo in modo da prevenire problemi futuri, soprattutto quando sono coinvolti dati critici. Nel Regno Unito diverse aziende hanno sub\u00ecto violazioni per la ormai nota vulnerabilit\u00e0 del software di trasferimento file MOVEit utilizzato da parte del loro fornitore di servizi payroll e sfruttato dal gruppo ransomware Cl0p. Si tratta di attacchi alla supply chain definiti di \u2018secondo livello\u2019, causati da un anello debole presente nella catena di fornitura dell\u2019azienda principale che finisce per comprometterne un\u2019altra. Sempre nel Regno Unito, grandi aziende del settore automobilistico, retail e legal sono state prese di mira da gruppi come Scattered Spider, che hanno sfruttato i partner della supply chain, causando perdite per miliardi di sterline. Le supply chain, soprattutto quelle digitali, sono particolarmente esposte agli attacchi a causa dell\u2019elevato livello di interconnessione tra fornitori e appaltatori, basato sulla fiducia e sull\u2019integrazione di nodi critici per una gestione efficiente delle risorse. Se le grandi aziende possono, in qualche caso, resistere a questi attacchi, altre realt\u00e0 non riescono: \u00e8 il caso di una societ\u00e0 di autotrasporti britannica con 158 anni di storia, per la quale \u00e8 bastata una sola password violata per arrivare al collasso.<\/p>\n
La compliance esiste per stabilire standard condivisi: sfruttando le linee guida governative \u00e8 possibile raggiungere un livello di resilienza pi\u00f9 elevato. In assenza di queste indicazioni, le aziende probabilmente agirebbero sulla base di proprie valutazioni del rischio, prendendo in considerazione il settore di appartenenza, le risorse da proteggere e il budget disponibile.<\/p>\n
Si tratta di un approccio piuttosto logico: si investe dove \u00e8 necessario farlo. Andare oltre il necessario e implementare livelli eccessivi di sicurezza, magari con pi\u00f9 fornitori contemporaneamente, pu\u00f2 portare a rendimenti inferiori, dal momento che gli hacker possono comunque trovare un punto di accesso.<\/p>\n
Le aziende, poi, non vogliono complicare eccessivamente la burocrazia interna con attivit\u00e0 che sottraggono tempo alle operazioni quotidiane e non contribuiscono direttamente alla generazione di ricavi. Aggiungere ulteriori incombenze legate alla compliance pu\u00f2 quindi risultare opprimente, soprattutto per le realt\u00e0 pi\u00f9 piccole, che spesso non dispongono delle risorse necessarie per gestirle.<\/p>\n
Lo scenario \u00e8 chiaro anche agli attori malevoli, alcuni dei quali sfruttano la compliance come leva di estorsione, costringendo le aziende a cedere alle loro richieste con la minaccia di essere segnalate alle autorit\u00e0. Gruppi ransomware come BlackCat sono noti per presentare denunce formali alla SEC per fare pressione sulle vittime e indurle a pagare il riscatto. Secondo ENISA non si tratta di casi isolati.<\/p>\n
Il motivo per cui le normative puntano sulla resilienza \u00e8 semplice: intervenire a posteriori \u00e8 inutile. Inoltre, pu\u00f2 sembrare una provocazione, ma i partner non prenderanno mai sul serio un\u2019azienda che ha sub\u00ecto un grave incidente informatico: la diffusione di informazioni sensibili sul dark web rappresenta una ricetta perfetta per ulteriori futuri disastri cyber.<\/p>\n
Seguire un approccio \u201dprevention first\u201d pu\u00f2 aiutare ad alleviare il peso della compliance alla sicurezza, definendo una strategia interna preventiva in grado di soddisfare sia le esigenze normative sia quelle operative e di gestione delle risorse dell\u2019azienda. Per esempio, l\u2019adozione di un prodotto come ESET PROTECT Elite a cui affiancare ESET MDR Ultimate, il servizio in italiano disponibile H24, consente di rispondere contemporaneamente a molteplici requisiti normativi, grazie alle diverse soluzioni della piattaforma ESET PROTECT in grado di coprire aree come gestione delle vulnerabilit\u00e0 e delle patch, crittografia completa dei dischi, ransomware remediation e altro ancora. I veri protagonisti dell\u2019offerta sono i servizi ESET MDR ed ESET MDR Ultimate che, anche attraverso l\u2019introduzione dell\u2019elemento umano nella gestione della sicurezza, aumentano l\u2019efficacia nella risoluzione di minacce complesse. Cos\u00ec, sia che si tratti di normative come GDPR, NIS2 o DORA in Europa, sia di HIPAA e CCPA negli Stati Uniti, queste vengono soddisfatte grazie a un\u2019offerta completa di prodotti e servizi mirati a prevenire qualsiasi potenziale incidente. Per le aziende o le organizzazioni che necessitano di soluzioni di sicurezza personalizzate, l\u2019offerta di ESET Corporate Solutions pu\u00f2 essere declinata e integrata in modo affidabile anche negli ambienti pi\u00f9 sensibili.<\/p>\n
L\u2019attivit\u00e0 messa in campo dalle autorit\u00e0 mira a creare un ecosistema pi\u00f9 sicuro: predisporre un ambiente sicuro consente di dare indicazioni precise al settore privato. Altrimenti, ogni Paese si troverebbe con linee di difesa incomplete, mettendo a rischio non solo i propri settori critici, ma anche la vita dei cittadini.<\/p>\n
Sabrina Curti, Marketing Director di ESET Italia, sottolinea l\u2019importanza per le organizzazioni di adottare un approccio \u201cprevention first\u201d con indicazioni utili al fine di poter alleviare il peso della compliance alla sicurezza e per definire una strategia interna preventiva capace di soddisfare sia le esigenze normative sia quelle operative<\/p>\n","protected":false},"author":1,"featured_media":8168,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[4154,8,1],"tags":[4056],"class_list":{"0":"post-8402","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-featured","8":"category-opinioni","9":"category-speciale-sicurezza","10":"tag-eset"},"yoast_head":"\n