L’articolo è realizzato dall’Osservatorio Cybersecurity & Data Protection e affronta i principali temi della sicurezza informatica aziendale: dall’importanza strategica di una cultura della sicurezza alla tipologia di attacchi più diffusi, fino alle misure per la protezione dei dati e allo stato di maturità della Cybersecurity nelle imprese italiane, incluse le PMI.
La sicurezza informatica, o Cybersecurity, è il campo dedicato alla protezione dei sistemi informatici, delle reti, dei dati e delle infrastrutture digitali da minacce e attacchi informatici. Queste minacce possono includere virus, malware, attacchi DDoS (Distributed Denial of Service), tentativi di phishing e molti altri tipi di attacchi hacker.
Non è un tema riservato solo agli specialisti IT. Si tratta di una questione strategica che riguarda l’intera organizzazione, dal board operativo fino al singolo dipendente. Ogni persona che accede a un sistema aziendale apre un’email o utilizza un dispositivo connesso è un potenziale punto di ingresso per una minaccia informatica.
Ogni organizzazione è esposta in modo diverso alle singole minacce informatiche e ha una capacità differente di fronteggiarle. Dimensione, settore, struttura organizzativa e livello di digitalizzazione determinano il profilo di rischio specifico di ciascuna impresa.
Il rischio Cyber comprende qualsiasi rischio di perdita finanziaria, interruzione delle attività e danno alla reputazione derivante da violazioni ai dati o ai sistemi informatici aziendali.
I numeri sulla rilevanza di questa tematica parlano da soli. Nel 2025, secondo il rapporto del Clusit, si sono verificati 5265 gravi incidenti di dominio pubblico rilevati a livello globale, il numero di incidenti più alto mai registrato. L’Italia da sola ha subito 507 attacchi, quasi il 10% del totale.
Sempre nel 2025, secondo la Ricerca dell’Osservatorio Cybersecurity & Data Protection, oltre un terzo delle grandi imprese italiane ha subito attacchi che hanno comportato costi significativi di ripristino. Il 3% ha registrato un impatto diretto anche sull’operatività.
Per gestire adeguatamente il rischio Cyber è essenziale adottare un framework di riferimento che funga da guida, e sviluppare un approccio maturo alla sicurezza informatica in azienda. Questo significa non limitarsi agli strumenti tecnici, ma costruire consapevolezza a tutti i livelli dell’organizzazione su quali siano le minacce e le vulnerabilità informatiche e come affrontarle. Mentre le prime rappresentano un potenziale evento dannoso (come un virus), le seconde rappresentano debolezze presenti nel sistema informatico (come un bug). Nella maggior parte dei casi, però, la vulnerabilità informatica è legata agli errori (involontari e non) dovuti al fattore umano.
Le aziende sono bersagli particolarmente attraenti per i Cybercriminali. I motivi sono strutturali:
Per difendersi efficacemente, bisogna prima capire da cosa ci si deve difendere. Le tipologie di attacco alla sicurezza informatica più comuni includono:
Molti degli attacchi descritti sopra hanno un obiettivo comune: provocare un data breach. Si tratta di una violazione della sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali o aziendali.
Il data breach non è solo un problema tecnico, ma un evento con conseguenze legali, economiche e reputazionali immediate. Per le aziende che trattano dati personali, scatta l’obbligo di notifica al Garante Privacy entro 72 ore dalla scoperta. I costi di un breach includono il ripristino dei sistemi, le eventuali sanzioni normative, le azioni legali da parte degli interessati e la perdita di fiducia di clienti e partner.
Non esiste una singola soluzione che garantisca la sicurezza. Una difesa efficace è sempre il risultato di un sistema: tecnologia, processi, persone e cultura organizzativa che lavorano insieme. Nelle aziende, questo significa operare su più fronti in modo coordinato e continuativo.
Prima ancora di scegliere strumenti o policy, un’azienda deve sapere cosa ha. Questo significa costruire un inventario aggiornato di tutti gli asset digitali: hardware, software, account, dati critici e connessioni con fornitori esterni.
La Cybersecurity non può essere delegata al solo reparto IT. Le decisioni strategiche devono coinvolgere il vertice aziendale, che è chiamato a definire i livelli di rischio accettabili e ad allocare risorse adeguate. È necessario stabilire con chiarezza le responsabilità: chi approva le policy, chi gestisce gli accessi, chi risponde in caso di incidente. La mancanza di responsabilità formalizzate è una delle vulnerabilità più comuni nelle aziende italiane.
Uno dei principi fondamentali della sicurezza aziendale è il least privilege: ogni utente, sistema o applicazione deve avere accesso solo alle risorse strettamente necessarie alla propria funzione. In pratica, questo significa:
La rete aziendale va segmentata in zone distinte: separare i sistemi produttivi da quelli amministrativi, isolare i dispositivi IoT (Internet of Things) e OT (Operational Technology), limitare la comunicazione tra segmenti diversi. Questo riduce drasticamente la capacità di un attaccante di muoversi lateralmente una volta entrato. Su ogni dispositivo vanno installati e mantenuti aggiornati antivirus, EDR (Endpoint Detection and Response) e firewall. Le patch di sicurezza devono essere applicate attraverso processi centralizzati e tempestivi. Molti attacchi, infatti, sfruttano vulnerabilità già note per le quali esisteva una correzione disponibile da mesi.
Il backup non è solo una buona pratica: è l’ultima linea di difesa contro il ransomware. La regola 3-2-1 è il punto di partenza – tre copie dei dati, su due supporti diversi, una conservata off-site – ma nelle aziende strutturate è fondamentale anche testare regolarmente il ripristino. Un backup che non è mai stato verificato non offre garanzie reali. La continuità operativa richiede inoltre piani di disaster recovery documentati, con tempi di ripristino definiti e responsabilità assegnate.
Il fattore umano è la vulnerabilità più difficile da gestire con la tecnologia. I programmi di formazione devono essere continui: simulazioni di phishing, aggiornamenti sulle minacce emergenti, procedure chiare per segnalare comportamenti sospetti. L’obiettivo è rendere i dipendenti parte attiva della difesa aziendale. Anche le policy comportamentali contano. Infatti, regole chiare sull’uso dei dispositivi aziendali, sulla gestione delle password e sull’accesso a reti esterne riducono concretamente la superficie di attacco.
Una difesa statica non è sufficiente. Le aziende devono essere in grado di rilevare anomalie in tempo reale, prima che un attacco si consolidi. I sistemi SIEM (Security Information and Event Management) aggregano e correlano i log di tutti i sistemi aziendali, segnalando comportamenti fuori dalla norma. Sempre più aziende integrano anche fonti di threat intelligence esterne, per anticipare tattiche e vettori di attacco in uso nel proprio settore.
Oltre a implementare le difese, bisogna testarle. I penetration test simulano attacchi reali per verificare se e come un attaccante riuscirebbe a entrare nei sistemi aziendali. I vulnerability assessment mappano sistematicamente le debolezze presenti nell’infrastruttura. Entrambe le attività dovrebbero essere condotte con cadenza regolare, non solo a seguito di incidenti o cambiamenti infrastrutturali.
Un elemento chiave per garantire la riservatezza delle informazioni è la crittografia. I dati, sia in transito sia in archiviazione, dovrebbero essere cifrati tramite protocolli robusti per impedirne la lettura anche in caso di violazione. La cifratura dei dispositivi, dei database e dei backup rappresenta una barriera essenziale contro la perdita di informazioni sensibili e riduce sensibilmente le conseguenze di eventuali incidenti di data breach.
Anche le organizzazioni più preparate possono subire attacchi con impatti economici rilevanti. Per questo motivo, molte aziende valutano strumenti di trasferimento del rischio come lepolizze di assicurazione cyber, che coprono aspetti come i costi legati al ripristino dei sistemi, alle notifiche di data breach, alle consulenze legali e ai danni reputazionali. L’assicurazione non sostituisce le misure di sicurezza, ma le integra come parte di una strategia di resilienza complessiva.
Nessuna difesa è infallibile. Tuttavia, la differenza tra un incidente gestito e una crisi che travolge l’organizzazione si gioca quasi sempre appena l’attacco avviene. Le aziende che affrontano meglio gli attacchi non sono necessariamente quelle con le difese più sofisticate, ma quelle che hanno preparato e testato un piano di risposta prima che l’emergenza si verificasse.
Appena rilevata un’anomalia, la priorità è limitare i danni. I sistemi compromessi vanno isolati dalla rete il prima possibile, per impedire che l’attacco si propaghi lateralmente ad altri asset aziendali. Questo può significare disconnettere fisicamente dei dispositivi, bloccare account sospetti o disabilitare connessioni VPN attive. La velocità di reazione è determinante: nei casi di ransomware, ogni minuto di propagazione può significare interi segmenti di rete cifrati e inaccessibili.
Il piano di incident response deve definire in anticipo chi viene coinvolto e in quale ordine. Tipicamente: il responsabile IT o il CISO, il management, il team legale e – se disponibile – un fornitore esterno di servizi di incident response.
Dall’inizio dell’incidente, ogni azione va registrata con precisione, da cosa è stato rilevato a quali sono state le misure adottate. Questa documentazione è indispensabile per l’analisi forense successiva e costituisce la base per adempiere agli obblighi di notifica previsti dalla normativa. Non documentare correttamente un incidente può tradursi in sanzioni, anche nei casi in cui l’azienda si sia comportata in buona fede.
I sistemi vanno riattivati solo dopo aver eliminato la minaccia e verificato l’integrità dei backup. Riportare online un sistema ancora compromesso è un errore comune che può vanificare l’intero lavoro di contenimento. Il ripristino deve seguire un ordine di priorità basato sulla criticità dei processi aziendali: prima i sistemi che garantiscono la continuità operativa essenziale, poi gli altri. I tempi di ripristino devono essere stati definiti in anticipo nel piano di disaster recovery.
Questa è la fase in cui gli obblighi di legge entrano in gioco con forza. Le aziende devono conoscere in anticipo quali normative si applicano al proprio caso e rispettare scrupolosamente le scadenze previste:
Sul fronte della comunicazione esterna, clienti, partner e stakeholder vanno informati con messaggi chiari, tempestivi e coerenti, seguendo un piano di comunicazione di crisi preparato in anticipo. Una comunicazione trasparente e responsabile limita i danni di immagine, una comunicazione tardiva o contraddittoria li amplifica.
Una volta ristabilita la normalità operativa, va analizzato come è avvenuto l’attacco, quale vulnerabilità è stata sfruttata, quanto tempo è passato tra l’intrusione e la rilevazione, cosa ha funzionato nel piano di risposta e cosa no. Questa analisi deve tradursi in azioni concrete: patch applicate, policy aggiornate, controlli rafforzati, formazione mirata. Ogni incidente, anche quando gestito bene, è un’occasione per rendere l’organizzazione più resiliente.
Due figure professionali sono centrali nella gestione della sicurezza informatica aziendale:
Il CISO è il responsabile strategico della Cybersecurity. Definisce la visione aziendale, identifica i rischi legati all’adozione delle tecnologie digitali e guida il team di sicurezza. Richiede competenze tecnologiche trasversali, capacità relazionali e doti di leadership. Nonostante la sua importanza crescente, rimane una figura ancora scarsamente diffusa nelle aziende italiane.
In molti casi obbligatorio per legge, il DPO garantisce il rispetto dei requisiti previsti dal GDPR e supervisiona le politiche di protezione dei dati personali. Svolge un ruolo fondamentale nella tutela del patrimonio informativo aziendale.
Attorno a queste due figure si costruisce un team di specialisti operativi, ciascuno con un perimetro di responsabilità preciso:
Il quadro che emerge dalla ricerca dell’Osservatorio Cybersecurity & Data Protection descrive un mercato in crescita, ma con vulnerabilità strutturali ancora marcate.
Nel 2025, la spesa italiana in Cybersecurity ha raggiunto 2,78 miliardi di euro, con un incremento del 12% rispetto all’anno precedente, in netto contrasto con la crescita media della spesa digitale, ferma a +1,5%. Sette grandi aziende su dieci prevedono un aumento del budget per il 2026.
Sotto la spinta della Direttiva NIS2, il board aziendale ha assunto un ruolo sempre più attivo nella definizione dei livelli di esposizione al rischio. Sempre nel 2025, l’83% delle grandi imprese italiane presidia stabilmente il rischio Cyber.
Eppure, i problemi restano. Quasi 9 grandi organizzazioni su 10 soffrono di carenza di talenti specializzati. Il 96% dei CISO indica la gestione del fattore umano come la criticità principale, e il 71% ritiene che l’AI amplifichi il rischio Cyber, grazie ad agenti autonomi in grado di gestire l’80-90% delle catene d’attacco senza intervento umano.
Come specificato da Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Cybersecurity & Data Protection, “Nel corso del 2025, che ha rappresentato un vero punto di rottura nelle relazioni geopolitiche, nel progresso tecnologico e nell’evoluzione normativa, le minacce per la Cybersecurity sono diventate sempre più sofisticate e complesse da gestire. In questo scenario ‘immaginare l’imprevedibile’ diventa l’imperativo strategico per chi guida la sicurezza. Oggi il CISO deve farsi interprete di segnali deboli che arrivano dall’esterno e saper affrontare rapidamente rischi mutevoli di diversa natura. L’Intelligenza Artificiale ha portato all’automazione e al potenziamento delle attività offensive e da ora in avanti sarà normale attendersi minacce Cyber autonome, anche senza governo da parte dell’uomo.”
Sul fronte della Cyber resilience, la situazione è ancora parziale:
Solo il 28% delle grandi organizzazioni ha integrato tutte e quattro queste leve, superando la logica della difesa passiva per anticipare le minacce.
A causa delle loro dimensioni ridotte, le PMI (acronimo di Piccole e Medie Imprese) tendono a focalizzarsi principalmente sul miglioramento dei processi produttivi e sul mantenimento di un alto livello di servizio per restare competitive, sottovalutando la loro esposizione ai rischi Cyber.
Per identificare le criticità e lo stato di maturità delle PMI italiane, è stato promosso da Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection e la partnership con l’Agenzia per la Cybersicurezza Nazionale, il Rapporto Cyber Index PMI.
Il Cyber Index PMI 2025, condotto su un campione di 1.582 imprese, restituisce un punteggio medio di 55/100, un valore che segnala un ritardo strutturale persistente.
I dati più preoccupanti dicono che:
Sul fronte positivo, si registrano segnali di miglioramento. La quota di imprese che costruisce un inventario degli asset è passata dal 48% al 70% in un solo anno e gli audit di sicurezza sono aumentati, arrivando al 44%.
Resta però un divario netto tra intenzioni e operatività. Solo l’11% delle PMI gestisce attivamente le vulnerabilità. Appena il 30% adotta la cifratura dei dati. Una PMI su tre non dispone di competenze interne adeguate, un vuoto che spinge verso il ricorso a partner esterni (salito al 29%).
La sfida che hanno davanti le piccole e medie imprese italiane è chiara, ed è quella di costruire una preparazione reale e verificabile.
Contenuti suggeriti dell’Osservatorio Cybersecurity & Data Protection
