La Cybersecurity (sicurezza informatica) rappresenta oggi una delle priorità assolute per qualsiasi organizzazione. Gli attacchi informatici e i relativi rischi aumentano in maniera esponenziale, colpendo tutti i settori senza eccezioni. I dati personali e aziendali sono costantemente esposti a minacce sempre più sofisticate, rendendo la Cybersecurity uno dei principali settori di investimento in tecnologia e formazione. Basti pensare che nel 2024 si sono verificati ben 3541 gravi incidenti a livello globale di dominio pubblico, di cui il 10% solo in Italia.
In questa guida completa sulla Cybersecurity analizzeremo tutti gli aspetti essenziali per una corretta gestione della sicurezza informatica in azienda. Scopriremo cos’è la Cybersecurity, i suoi principi fondamentali, le principali minacce e come proteggersi dagli attacchi informatici. Vedremo inoltre le competenze più richieste nel settore e i trend tecnologici che stanno ridefinendo il panorama della sicurezza informatica.
Affronteremo questo e molto altro con l’aiuto dell’Osservatorio Cybersecurity & Data Protection della POLIMI School of Management, da anni punto di riferimento sul tema per aziende e PA italiane.
La Cybersecurity è il campo dedicato alla protezione dei sistemi informatici, delle reti, dei dati e delle infrastrutture digitali da minacce e attacchi informatici. Queste minacce possono includere virus, malware, attacchi DDoS (Distributed Denial of Service), tentativi di phishing e molti altri tipi di attacchi hacker.
Il concetto di Cybersecurity implica, quindi, la messa in atto di misure e strategie per prevenire, rilevare e rispondere a tutte queste minacce attraverso strumenti come software antivirus, crittografia dei dati, controlli di accesso, monitoraggio delle attività di rete e firewall (sistema di sicurezza che protegge una rete monitorando e controllando il traffico in entrata e in uscita).
Tutto questo è fondamentale in un’epoca in cui la vita quotidiana delle persone è interconnessa attraverso dispositivi digitali e reti, ma non solo. Infatti, la Cybersecurity è cruciale per proteggere le informazioni personali nel privato, ma anche le operazioni aziendali, i sistemi governativi e le infrastrutture critiche.
Ogni strategia di gestione della Cybersecurity si basa su tre principi fondamentali, quali confidenzialità, integrità e disponibilità dei dati. Nei prossimi paragrafi vedremo in maniera approfondita questi tre elementi che caratterizzano la Cybersecurity.
Il primo principio della Cybersecurity è la confidenzialità dei dati. Questo elemento garantisce che dati e risorse siano preservati dal possibile utilizzo o accesso da parte di soggetti non autorizzati. La confidenzialità, quindi, deve essere assicurata lungo tutte le fasi di vita del dato: dalla sua archiviazione, durante l’utilizzo o il transito lungo una rete di connessione.
Il secondo principio della Cyber Security è l’integrità dei dati. Questo secondo elemento della sicurezza informatica è relativo alla capacità di mantenere la veridicità dei dati e delle risorse e garantire che non siano in alcun modo modificate o cancellate, se da soggetti autorizzati. L’integrità, di conseguenza, significa anche prevenire eventuali modifiche da soggetti non autorizzati. Allo stesso tempo, implica che i dati siano identificabili e verificabili nei diversi contesti di utilizzo.
Come terzo e ultimo principio della Cybersecurity troviamo la disponibilità dei dati. Quest’ultimo elemento si riferisce alla possibilità, per i soggetti autorizzati, di poter accedere alle risorse di cui hanno bisogno per un tempo stabilito e in modo ininterrotto. Questo significa prevenire interruzioni di servizio e garantire che le infrastrutture siano sempre pronte per l’erogazione dei servizi richiesti.
Per comprendere meglio la Cybersecurity è necessario distinguere tra Cyber Security e Information Security. Mentre la Cybersecurity si concentra sulla protezione dei sistemi informatici digitali, l’Information Security rappresenta un concetto più ampio che abbraccia la sicurezza del patrimonio informativo nel suo complesso, includendo anche la protezione dei dati in qualsiasi forma (anche non digitale) e aspetti organizzativi e di sicurezza fisica.
Inutile dire che, in un momento della storia in cui il digitale è pane quotidiano, la Cybersecurity e l’Information Security tendono a incontrarsi in un concetto che le comprende entrambe. Questa unione, poi, porta a una sorta di sicurezza digitale, in cui la tecnologia assume un peso sempre maggiore.
Il panorama dei rischi Cyber è ampio e complesso. Per comprenderlo al meglio, è necessario distinguerne le minacce dalle vulnerabilità informatiche:
Tutti i rischi elencati precedentemente vanno a formare quello che è un concetto più ampio, di impatto sia per le imprese che per le singole persone. Infatti, Il rischio Cyber comprende qualsiasi rischio di perdita finanziaria, interruzione di attività o danno alla reputazione di un’organizzazione derivante da violazioni ai dati o ai sistemi informatici aziendali. La gestione del rischio implica l’identificazione, la valutazione e la mitigazione dei rischi attraverso misure di sicurezza appropriate. Per gestire adeguatamente il rischio Cyber, è essenziale adottare o sviluppare all’interno dell’azienda un framework di riferimento, che funga da guida per gli operatori del settore, ed un approccio maturo alla sicurezza informatica, in modo da portare una maggiore consapevolezza su quelli che sono i principali rischi.
Tra le più importanti e pericolose minacce informatiche troviamo diverse tipologie di attacco informatico o Cyber attack. Con questo termine, secondo l’Agenzia Europea per la Cybersicurezza si intendono “tutti gli incidenti informatici scatenati da un intento malevolo, in cui si verificano danni, interruzioni o disfunzioni”.
Gli attacchi informatici, dunque, si verificano quando uno o più elementi della Cyber Security, citati all’inizio di questa guida digitale, vengono violati. L’esempio più rilevante è rappresentato dai data breach che, secondo il Garante per la protezione dei Dati personali (GPDP), costituiscono “violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Le motivazioni dietro ai cyber attack possono essere molteplici. Oltre a quelli economici (con finalità di estorsione), i cybercriminali possono perseguire obiettivi militari (come nell’information warfare), ma anche personali, politici e sociali. Episodi di hacktivism, per esempio, sono attacchi informatici che vengono effettuate per finalità di attivismo sociale o politico (da qui l’unione delle parole “hacking” e “activism”).
Gli attacchi informatici, a prescindere dal fine, possono avvenire mediante diverse modalità. Di seguito approfondiamo le principali pratiche di attacco informatico – e, più nello specifico, di black hat hacker – che minacciano quotidianamente la sicurezza informatica in azienda e nella Pubblica Amministrazione:
I malware, come virus o trojan, sono una minaccia alla Cybersecurity che si identifica con quelle applicazioni dannose dirette ad arrecare danno informatico alla vittima. Il tentativo di accedere di nascosto a un particolare dispositivo senza che l’utente ne sia a conoscenza costituisce l’esempio di un attacco malware per eccellenza. Lo scopo finale di questa minaccia alla sicurezza informatica è quello di raccogliere informazioni, creare malfunzionamenti o criptare i dati.
Un ransomware è un particolare tipo di malware che, dopo aver limitato o impedito del tutto l’accesso al sistema infettato, richiede una somma di denaro da pagare per la sua rimozione. Anche in questo caso esistono diverse best practice di Cybersecurity che possono aiutare a prevenire e a difendersi, almeno in parte, dagli attacchi ransomware, come il backup.
Il social engineering (letteralmente “ingegneria sociale”) è una tecnica di attacco Cyber in grado di colpire direttamente i dipendenti di un’azienda. Il presupposto di base è quello di manipolare le persone per carpirne informazioni confidenziali, sfruttandone debolezza e ingenuità. Negli ultimi anni, i deepfake (contenuti audiovisivi manipolati attraverso algoritmi di Intelligenza Artificiale) hanno reso molto più efficaci questi tipi di attacchi, rendendoli più credibili e realistici. Ciò soprattutto a seguito dello sviluppo dell’AI generativa.
Le APT (Advanced Persistent Threat) sono attacchi informatici sofisticati e prolungati, concepiti per sottrarre dati sensibili, eseguire attività di spionaggio informatico o sabotare sistemi critici. A differenza di altre minacce come i ransomware, gli attacchi APT mirano a restare inosservati mentre si infiltrano e si diffondono all’interno della rete bersaglio.
Il phishing è la pratica di social engineering più diffusa. Questa minaccia informatica consiste in tentativi di frode volti a rubare i dati sensibili degli utenti. Gli attacchi di phishing sono generalmente orchestrati tramite e-mail o SMS, che sembrano provenire da aziende o enti affidabili e riconoscibili, invitando la vittima a fornire informazioni riservate (come password, codici di accesso o dati della carta di credito). Anche in questo caso, l’Intelligenza Artificiale generativa ha reso più verosimili e realistici i testi degli SMS o e-mail di phishing, rendendo quindi più complesso individuare potenziali rischi.
Gli attacchi DoS (Denial of Service) sono attacchi informatici causati da un sovraccarico nel sito web – dovuto ad esempio a un eccessivo numero di richieste – volti a rendere inaccessibili alcuni tipi di servizi. I DDoS (Distributed Denial of Service), invece, sono attacchi DoS distribuiti, cioè, basati sull’uso di una rete di apparati, costituenti in una serie di dispositivi collegati, o botnet (da “bot” o “robot” e “network“) dai quali parte l’attacco verso l’obiettivo.
Lo spamming consiste nell’invio massivo di e-mail, generalmente con contenuti pubblicitari, senza il consenso dei destinatari.
Zero-day, o 0-day, indica tutti quegli attacchi informatici che sfruttano vulnerabilità non ancora conosciute o comunque irrisolte.
Un’altra minaccia per la Cybersecurity è il Dark Web, in quanto facilita numerosi attacchi informatici. Il Dark Web (Web oscuro), è un sottoinsieme del Deep Web (o Web sommerso), che a sua volta indica tutti i contenuti presenti nella rete, anche quelli non visibili (come siti privati o parti di siti non visibili). A differenza del Deep Web, il Dark Web è accessibile solo tramite particolari software, come Tor, che permettono una navigazione anonima.
Il Dark Web è la “casa” di molte minacce Cyber e di attività informatiche illecite riconducibili al Cyber crime, al Cyberattivismo e al Cyberterrorismo. La compravendita di malware, ad esempio, è uno dei principali usi criminali del Dark Web, così come la compravendita di credenziali e il pagamento di riscatti basati su valute digitali (ad esempio Bitcoin) che garantiscono l’anonimato.
Per tutelarsi da eventuali rischi che possono avere origine nel Dark Web, oltre alle buone pratiche già viste in precedenza, occorre evitare password corte e semplici e cambiarle regolarmente (usando se possibile anche l’autenticazione a due fattori); monitorare la propria identità online e le transazioni finanziarie al fine di rilevare anomalie; utilizzare strumenti per proteggere la privacy online (come le VPN) e usare la crittografia per i propri dati sensibili.
Come visto fin dall’inizio di questa guida, la Cybersecurity riguarda ognuno di noi. Del resto, ci sono vari motivi per cui oggi possiamo considerarci esposti ai pericoli degli attacchi informatici. Di seguito le principali:
Anche se è vero che tutti siamo esposti agli attacchi Cyber è da sottolineare un particolare molto rilevante. Le vittime principali dei cyberattacchi sono spesso grandi provider di servizi, detentori di dati sensibili e processi core con cui i cybercriminali possono guadagnare facilmente. Per dare una panoramica, ecco, di seguito, le rilevazioni del Clusit:
Nel 2024 si sono verificati 3541 gravi incidenti di dominio pubblico rilevati a livello globale. Si tratta del maggior numero di incidenti mai registrato, in crescita del 27% rispetto all’anno precedente. L’Italia da sola ha subito 357 attacchi, costituendo il 10% del totale degli attacchi a livello globale.
La maggior parte dei cyber attacchi a livello mondiale avviene contro bersagli multipli e in parallelo. Tuttavia, si rilevano particolarmente rilevanti gli attacchi contro diversi settori specifici, in ordine: sanità (specialmente per gli attacchi ransomware), istituzioni, finanza e ICT.
La protezione efficace contro le minacce informatiche richiede un approccio multi-livello che combina tecnologia, processi e formazione. La strategia di difesa deve essere adattata sia per utenti individuali che per le organizzazioni aziendali.
Le best practice di base per la sicurezza informatica sono valide sia per singoli utenti che per organizzazioni e costituiscono il fondamento di qualsiasi strategia di protezione efficace:
Le organizzazioni aziendali necessitano di strategie più articolate per proteggere asset digitali complessi e garantire la continuità operativa. Di seguito alcune delle principali best practice:
Nonostante tutte le misure preventive, può verificarsi un incidente di sicurezza. In questi casi è fondamentale agire rapidamente e seguire procedure specifiche:
Per le aziende occorre inoltre:
Per accrescere il livello di Cybersecurity nelle aziende e nelle istituzioni, anche gli enti regolatori giocano un ruolo fondamentale, sia a livello europeo che locale. Tra le novità più rilevanti si annoverano:
Approvato il 13 dicembre 2023 ed entrato in vigore il 7 gennaio 2024, il regolamento UE sulla cybersicurezza “stabilisce misure per un livello comune elevato di cybersicurezza nelle istituzioni, negli organi e negli organismi dell’Unione”.
Approvata dal Parlamento europeo il 10 novembre 2022, la Direttiva NIS2 espande la precedente NIS del 2016. Introduce standard minimi di sicurezza e requisiti di segnalazione degli incidenti per gli operatori di servizi essenziali e per i fornitori di servizi digitali (come marketplace o servizi di Cloud Computing). In generale, la nuova direttiva amplia il numero di imprese incluse nel suo perimetro rispetto alla NIS1. In Italia, la Direttiva NIS è stata inclusa nel decreto OSE nel 2018, a cui si è aggiunta nel 2019 l’istituzione di un Perimetro di Sicurezza Nazionale Cibernetica (PSNC) per assicurare un elevato livello di sicurezza per reti, sistemi informativi e servizi informatici di Amministrazioni Pubbliche, enti e operatori pubblici e privati sul territorio nazionale. Dopo una prima fase in cui, per le imprese incluse nel perimetro, è stato necessario registrarsi al portale messo a disposizione dall’Agenzia per la Cybersicurezza Nazionale, a Febbraio 2025 è finita questa fase di registrazione, mentre ad Aprile 2025 sono stati pubblicati i primi obblighi di base.
Entrato ufficialmente in applicazione il 17 gennaio 2025, il DORA (acronimo di Digital Operational Resilience Act) segna un punto di svolta nell’approccio alla gestione della resilienza operativa in Europa. Il regolamento UE impone standard più elevati per la protezione dei servizi finanziari da rischi cyber e minacce sistemiche (ad esempio, mediante stress test a livello cyber per verificare il grado di resilienza delle singole istituzioni finanziarie).
L’AI Act (ossia Artificial Intelligence Act) – approvato all’unanimità dai Paesi UE il 2 febbraio 2024 ed entrato parzialmente in vigore dal 2 febbraio 2025 – vuole creare un quadro comune normativo e giuridico per tutto ciò che riguarda l’utilizzo dell’Intelligenza Artificiale. L’obiettivo è quello di regolamentare le applicazioni dell’AI in base al rischio di danni ai cittadini. Tali rischi si dividono in rischi minimi o trascurabili, rischi limitati, rischi alti e rischi inaccettabili.
In Italia, l’Agenzia nazionale per la Cybersicurezza (ANC) – ossia l’ente pubblico che garantisce la sicurezza e la resilienza cibernetica per lo sviluppo digitale del Paese – ha da tempo attuato una strategia per la sicurezza informatica per far fronte alle minacce informatiche. Attraverso la Strategia Nazionale di Cybersicurezza 2022-2026 l’ente mira a garantire la resilienza del Paese e promuovere lo sviluppo industriale e l’innovazione tecnologica nel dominio Cyber.
Il 25 gennaio 2024 è stato approvato il Ddl Cybersecurity, che contiene contromisure verso i cybercriminali e azioni per l’innalzamento dei livelli di sicurezza del sistema Paese. L’inasprimento delle pene e l’aumento delle misure di sicurezza riguardano soprattutto la Pubblica Amministrazione, che rappresenta il settore su cui è maggiormente necessario investire a protezione del patrimonio informativo.
L’introduzione del GDPR dal 25 maggio 2018 ha richiesto una riconsiderazione radicale delle politiche di gestione dei dati personali. Le aziende e le PA hanno dovuto implementare misure più rigorose per garantire la conformità, con maggiore trasparenza, responsabilità e sicurezza nell’uso dei dati.
Il ruolo del Data Protection Officer (DPO) è diventato centrale per garantire la conformità al GDPR e supervisionare l’attuazione delle politiche di protezione dei dati.
Per comprendere come funziona concretamente la gestione della sicurezza informatica in azienda, è fondamentale identificare le responsabilità e le figure professionali che guidano un team dedicato alla sicurezza informatica. Le due figure chiave sono:
Oltre alle figure dirigenziali, un team completo di Cybersecurity include numerosi specialisti operativi, ciascuno con competenze specifiche e responsabilità ben definite nell’ecosistema della sicurezza informatica:
Dalla Ricerca dell’Osservatorio Cybersecurity & Data Protection emerge una volontà diffusa da parte delle organizzazioni di garantire un adeguato presidio della materia. Tuttavia, risulta difficile aumentare rapidamente il numero di specialisti qualificati a causa della mancanza di professionisti con competenze adeguate.
La tecnologia, come soluzioni di Generative AI e Natural Language Processing, può aiutare a colmare questa lacuna, rendendo più accessibili le piattaforme di sicurezza anche ai meno esperti. Nonostante ciò, la rapida evoluzione delle minacce richiede risposte immediate e professionisti altamente qualificati, spingendo molte aziende a rivolgersi sempre di più a partner esterni specializzati.
La Trasformazione Digitale delle imprese richiede infatti nuove tecnologie, modelli organizzativi, competenze e regole per garantire insieme l’innovazione e la protezione degli asset informativi aziendali.
Una delle innovazioni digitali che interagiscono con la Cybersecurity è l’Internet of Things. La crescita dei dispositivi intelligenti e dell’ utilizzo della tecnologia IoT riguardano sia interi settori come, ad esempio, la Smart City e la Smart Mobility, sia il mondo consumer, con la diffusione dei wearable device. Gli utenti spesso non si preoccupano di quali dati vengano raccolti dai dispositivi e di come vengano trattati, con conseguenze potenzialmente importanti sulla sicurezza e privacy. Molti oggetti IoT offrono servizi di geolocalizzazione che, se compromessi, permettono di tracciare spostamenti, luoghi frequentati e abitudini della persona. È quindi fondamentale implementare la Cybersecurity anche nei dispositivi IoT per proteggere la privacy degli utenti e prevenire violazioni dei dati personali.
Nell’Industrial IoT, le “fabbriche intelligenti” dotate di sensori e macchine connesse in logiche di Industry 4.0 creano nuovi rischi per la sicurezza informatica. Gli attacchi cyber ai robot di produzione possono causare danni fisici, sabotaggio di prodotti o blocco delle linee produttive. E più aumenta il numero di macchinari connessi, più si amplia anche la “superficie di attacco”.
Nell’ambito della Cybersecurity, l’Intelligenza Artificiale può essere vista come un’opportunità. I nuovi strumenti permettono di individuare e contrastare le minacce cibernetiche molto più velocemente, poiché possono rilevare comportamenti sospetti e potenziali violazioni in tempo reale. Dall’altro lato, tuttavia, l’AI ha potenziato le strategie di attacchi di cybercriminali, rendendo le minacce più sofisticate, veloci e personalizzate. Lo spettro di malware AI-enhanced continua a spaventare i responsabili della Cybersecurity, così come gli attacchi di Social Engineering, che grazie all’AI generativa sono sempre più efficaci e facilmente implementabili su larga scala (generando ad esempio deep fake).
Come abbiamo visto, però, oltre allo sviluppo tecnologico anche il panorama normativo appare in fervente evoluzione.
La progressiva diffusione del Cloud Computing ha portato a un’esternalizzazione di porzioni di sistemi informativi, offrendo modelli scalabili di gestione della tecnologia. Tuttavia, in un mondo sempre più connesso e interdipendente aumentano di pari passo anche le minacce da gestire, in un’ottica di Cloud Security.
La disponibilità di grandi moli di dati offre opportunità di innovazione importanti, anche nel mondo della sicurezza. Nelle grandi organizzazioni l’utilizzo dei dati è nella maggior parte dei casi ancora focalizzato ad analisi ex-post in seguito a incidenti, ad attività di audit o alla creazione di una base di conoscenza fondata su serie storiche. Risulta invece ancora limitato lo sfruttamento dei dati in ottica di sviluppo ex-ante di modelli predittivi di monitoraggio delle minacce.
L’escalation degli attacchi informatici costringe le aziende a implementare una difesa su diversi fronti, da quello puramente tecnologico a quello umano.
Secondo la Ricerca dell’Osservatorio Cyber Security & Data Protection, il mercato italiano della cybersicurezza nel 2024 segna un aumento del 15% rispetto al 2023, raggiungendo un valore record di 2,48 miliardi di euro. Di fatto, si è consolidato il tasso di crescita storico del periodo post-covid (dal 2020 in avanti), pari al +16%. L’aumento e l’assestamento del mercato è legato non solo alla delicata situazione geopolitica, ma anche alla necessità da parte delle aziende di introdurre nuove soluzioni tecnologiche e a una maggiore attenzione del board aziendale verso la Cybersecurity.
Che la consapevolezza sul tema della Cybersecurity fosse aumentata lo si sapeva da tempo, almeno dal 2018 con dall‘introduzione del GDPR. Tuttavia, l’avvento della normativa NIS2 ha imposto nuovi standard più elevati di sicurezza informatica e che probabilmente avrà un impatto simile a quello del GDPR. Rispetto al passato, gli investimenti sono trainati sia dall’evoluzione tecnologica delle minacce sia dal nuovo contesto normativo.
Contenuti suggeriti dell’Osservatorio Cybersecurity & Data Protection
