Ho passato anni a sedermi ai tavoli di convegni sulla cyber security, spesso con CISO, responsabili IT, qualche manager e – ogni tanto – un amministratore delegato che aveva deciso di ascoltare, giusto per togliersi il dubbio.
È un’esperienza che si ripete puntuale. Il vero buco nero della sicurezza informatica non è nei server, non è nei firewall. È al piano di sopra.
Quelli che firmano i contratti, approvano i budget, parlano con la stampa e rispondono ai soci sono – in media – le persone meno attrezzate per capire una minaccia digitale. Non è una colpa morale.
È un fatto. Per decenni abbiamo sfornato manager capaci di leggere bilanci e gestire persone, ma incapaci di riconoscere una mail di social engineering o di capire che cos’è una “superficie di attacco”. Figuriamoci fare le domande giuste al consulente IT.
In Italia, poi, il problema diventa sistemico.
Con il 99% delle imprese che sono PMI, la mancanza di cultura cyber del management non è un problema di una singola azienda. È un buco nella sicurezza dell’intero Paese.
Indice degli argomenti
Lo studio EY: il divario che nessuno vuole chiamare per nome
A fine 2024, inizio 2025, Ernst & Young ha intervistato 800 dirigenti di primo livello negli Stati Uniti: 300 CISO e 500 fra CEO, CFO e COO.
Il rapporto si intitola “Bridging the C-suite Disconnect” – colmare il divario ai vertici. E già il titolo dice tutto.
Il risultato? I CISO sono molto più allarmati dei loro colleghi con le sigle più nobili. Quelli che hanno il potere di stanziare i soldi vedono il rischio molto più in basso rispetto a chi ci combatte ogni giorno.
Nelle PMI italiane questa cosa diventa ancora più grottesca: il CISO nemmeno esiste, la cyber security arriva direttamente sul tavolo del titolare che ha già dieci altre emergenze.
E c’è un altro dato, secondo me inquietante: lo studio mostra che l’attenzione dei manager sale solo dopo che hanno subito un attacco.
La preoccupazione è reattiva, non proattiva. Si interviene sempre dopo il disastro. E nelle nostre PMI, spesso, il disastro si riconosce quando è già troppo tardi.
La maggior parte dei CEO e CFO intervistatinon sanno nemmeno quanto spende l’azienda in cyber security. Due mondi che vivono nella stessa impresa, con idee completamente diverse su quanto si spende e quanto si dovrebbe spendere.
“Le aziende devono smettere con la logica della checklist e cominciare a vedere la cyber security come un investimento strategico, non come un costo”, sostiene Jim Guinn II, EY.
Due conferenze a Monaco, un solo messaggio: ma ai manager non piace
A Monaco due eventi meritano attenzione.
Il primo, la Munich Cyber Security Conference (MCSC), il 12 e 13 febbraio, alla IHK – roba tecnica, threat intelligence, risposta agli incidenti. Il secondo, la 62ª Munich Security Conference (MSC), dal 13 al 15 febbraio al Bayerischer Hof, il palcoscenico della politica estera, della difesa, dove la cyber è ormai materia da tavoli di sicurezza nazionale.
Due mondi diversi, pubblico diverso.
Eppure il filo conduttore era lo stesso. Alla MCSC si parlava di vulnerabilità e contromisure. Alla MSC si discuteva dicyber come strumento di guerra ibrida, di supply chain resilienti, di difesa collettiva.
Ma su una cosa erano tutti allineati: i dirigenti d’azienda non possono più delegare la sicurezza informatica al tecnico che passa una volta al mese.
Alla MCSC, il Fraunhofer-Institut AISEC (centro di ricerca applicata tedesco) ha detto che “bisogna colmare il divario di conoscenza tra chi decide e gli effetti della carenza di cyber security. Il passaggio dalla security awareness alla security education è urgente: le persone devono smettere di essere parte del problema e diventare parte della soluzione”.
Tradotto per le PMI italiane: la formazione non è il corso di due ore fatto da quello che “un po’ se ne intende”.
È un percorso strutturato, serio, fatto da professionisti con le carte in regola. Il resto è solo intrattenimento costoso.
E alla MSC, quella grande, ho sentito una frase che dovremmo stampare e affiggere in ogni ufficio di direzione in Italia: se la cyber security è ormai materia da tavoli di sicurezza nazionale, non può essere delegata al tecnico IT part-time che segue anche le stampanti e le password. Il rischio cyber è una variabile strategica. Se un manager non lo capisce, bisogna cambiare manager.
I numeri italiani fanno paura (e sono del 2026)
L’Agenzia per la Cybersicurezza Nazionale (ACN) pubblica ogni mese un report operativo.
I dati del 2025 e dei primi mesi del 2026 sono pesanti: nel secondo semestre 2025, 1.253 eventi cyber in Italia, +30% rispetto all’anno prima.
A febbraio 2026 abbiamo toccato un picco di 436 eventi in un mese, con 174 incidenti confermati.
Il CSIRT Italia ha spedito oltre 3.900 segnalazioni dirette ad aziende e PA solo a gennaio 2026 – più di 130 alert al giorno.
Il problema vero è che molte aziende non sanno cosa fare di questi alert. Non per cattiveria, ma perché non hanno nemmeno le competenze minime per capire un avviso tecnico. Ecco che il gap culturale del management diventa una falla di sistema per l’intero Paese.
I settori più colpiti sono pubblica Amministrazione e telecomunicazioni, come sempre.
Ma la manifattura italiana – quella del Made in Italy – è sempre più nel mirino. Primo posto per i ransomware, secondo per il phishing.
Le tecniche più subdole: compromissione delle mail aziendali e scansione automatica di credenziali deboli. Attacchi che costano zero a chi li fa, e un macello per chi li subisce.
Quando l’impreparazione dei dsirigenti diventa una causa (e una sanzione per le Pmi)
Sento ancora dire in giro: “tanto i cyber attacchi capitano solo alle grandi aziende”. Falso. Ecco qualche caso che è finito nei verbali.
Nel distretto conciario vicentino, nel 2024, un ransomware ha messo a ko sei PMI collegate dallo stesso gestionale. Cinque su sei non avevano un piano di risposta. Produzione ferma per tre settimane in media. Danno stimato oltre 1,2 milioni di euro, più clienti persi per i ritardi.
Invece, nel 2023 nella logistica pugliese, con 60 dipendenti, è stata compromessa la mail del titolare. I criminali hanno aspettato settimane, poi hanno intercettato una fattura da 180.000 euro verso un cliente tedesco, cambiato le coordinate bancarie. Bonifico dirottato ai truffatori.
La perizia ha scoperto che l’autenticazione a due fattori era disattivata da tre anni, nonostante il fornitore IT avesse avvisato più volte.
Sanità privata, 2024. Violazione dei dati di 40.000 pazienti. Il Garante ha aperto un’istruttoria: dati non cifrati, log di accesso inesistenti, notifica fuori tempo massimo. Multa da 750.000 euro, DPO esterno obbligato e infrastruttura da rifare.
Manifatturiero lombardo, 2022-2023. Attacco alla supply chain di un software gestionale. Decine di PMI metalmeccaniche si sono trovate i sistemi bloccati dall’oggi al domani. Nessuno di quei titolari aveva mai sentito parlare di “attacco alla catena di fornitura”. Danno medio per azienda: oltre 150.000 euro tra fermo, ripristino e ordini persi. Alcuni clienti tedeschi e francesi hanno rescisso i contratti.
“Il problema non è che le PMI italiane vengono attaccate. Il problema è che vengono attaccate e non se ne accorgono – finché è troppo tardi”, riporta lo studio.
Le sanzioni già piovono: NIS2, GDPR e la responsabilità personale
C’è un equivoco diffuso: “La cybersecurity è una cosa tecnica, al massimo perdo qualche dato”. Macché. Oggi il quadro normativo è una tagliola. Lo ripetiamo ad ogni occasione.
GDPR: multe fino al 4% del fatturato globale o 20 milioni. In Italia, il Garante ha già multato PMI da 30.000 a 800.000 euro per misure di sicurezza inadeguate.
Direttiva NIS2 (D.Lgs. 138/2024): per i soggetti “importanti” (e molte PMI in settori critici lo sono) multe fino a 7 milioni o 1,4% del fatturato mondiale. Per gli “essenziali” fino a 10 milioni o 2%.
Responsabilità personale dei dirigenti: la NIS2 prevede che i vertici aziendali possano essere chiamati a rispondere personalmente in caso di violazioni gravi per negligenza gestionale. Non vale più dire “non lo sapevo”.
D.Lgs. 231/2001: se un reato informatico viene commesso nell’interesse dell’azienda, l’ente paga insieme alla persona fisica. Oggi non basta più “non essere stati attaccati”. Devi dimostrare di aver adottato misure adeguate.
Un’ispezione dell’ACN può farti passare dei guai, solo perché non hai una policy di sicurezza scritta, o i log di accesso, o un piano di risposta testato. E per molte PMI la risposta è “no”. Quel “no” oggi ha un costo economico e penale concreto.
Il paradosso italiano: più soldi spesi, ma male
I dati europei dicono una cosa curiosa: le imprese investono sempre di più in tecnologia e sempre meno nelle persone.
Il rapporto ENISA 2025 (1.080 organizzazioni in UE) dice che il 76% fa fatica
a trovare profili qualificati. Il mercato dei talenti si restringe, e così le aziende comprano strumenti che non sanno usare.
Per le PMI è ancora peggio: il 63% non ha fatto nessuna valutazione di sicurezza nell’ultimo anno, e più della metà impiega più di tre mesi per applicare una patch critica. Non perché sono stupide, ma perché non hanno il personale.
In Italia c’è un’aggravante, l’indagine CrowdStrike 2025 sulle PMI ha trovato che il 67% mette il risparmio economico al primo posto nella scelta delle soluzioni di sicurezza, e solo il 57% mette al primo posto la protezione reale.
Il risparmio batte la competenza. Il prezzo batte la sicurezza. Non è un caso isolato. Il Cyber Index PMI 2025 (presentato a Roma a marzo 2026) lo conferma, la consapevolezza cresce, la spesa totale ha raggiunto 2,78 miliardi (la PMI contribuisce per il 23%), ma la qualità resta indietro.
Si compra lo strumento a basso costo, non la competenza per usarlo.
Italia, Germania e Francia a confronto
Il confronto con Germania e Francia è impietoso. In Germania le associazioni di categoria hanno reso la certificazione dei fornitori di cyber security un requisito minimo per le gare nella filiera industriale. In Francia l’ANSSI ha un sistema di qualificazione che permette alle PMI di riconoscere subito un professionista da un improvvisato.
Da noi, invece, vince ancora il preventivo più basso. Peccato che un penetration test a 300 euro non sia un test: è una carta straccia. Una policy di sicurezza low-cost non è una policy: è un alibi.
L’Europa ha capito il problema: il progetto SECURE (partito a gennaio 2025, finanziato da Digital Europe) porta supporto professionale certificato alle PMI in sette Paesi, Italia compresa (coordinamento di Cyber 4.0 con ACN). Ma gli strumenti (e l’impegno di ACN) servono a poco se le imprese continuano a scegliere in base al prezzo.
Il pericolo dell’autodidatta (che non sa cosa non sa)
In Italia c’è un fenomeno radicato, il ‘cugino’ che se ne intende di computer, il tecnico tuttofare che ti gestisce rete, stampanti e firewall, il consulente che ti promette “protezione totale” a due spicci.
Poi vai a leggere i report dell’ACN o le multe del Garante e scopri chequei “risparmi” sono costati decine di migliaia di euro. La cyber security professionale costa cara per un semplice motivo: le minacce sono complesse.
Un penetration test fatto da un certificato non è una scansione automatica con uno strumento gratuito. Una policy scritta da chi conosce il contesto normativo italiano non è un documento preso da internet e tradotto male.
Ecco i segnali che il proprio “esperto” non è un vero esperto:
- Non ha certificazioni riconosciute.
- Promette protezione al 100% – se lo fa, mente o non sa.
- Non conosce la NIS2 o il D.Lgs. 138/2024.
- Non parte mai da un assessment formale: comincia subito a vendere roba.
- Tratta la sicurezza come un’estensione del supporto IT generico.
- Non ha mai sentito parlare di NIST CSF, ISO 27001 o CIS Controls.
Il vero risparmio è investire bene
I professionisti qualificati, la formazione continua, i processi documentati costano.
La Commissione Europea stima che un data breach per una PMI europea costa tra 50.000 e 300.000 euro tra fermo, ripristino, notifiche, avvocati e danno d’immagine.
Una cifra che batte di gran lunga il costo di una sicurezza fatta come si deve fin dall’inizio.
La formazione non è un corso di un pomeriggio.
Uno degli errori più comuni consiste nel confondere la cyber security con l’antivirus più due ore di formazione all’anno.
Il messaggio oproveniente da Monaco è chiaro: serve passare dalla “awareness” (consapevolezza generica) alla “education” (che trasforma le persone da problema a soluzione).
Da awareness ad education: cosa comporta per un dirigenti PMI
Per un dirigente di PMI non si tratta di diventare un tecnico. Serve acquisire gli strumenti per:
- riconoscere una mail di phishing o una manipolazione sociale prima di cliccare;
- capire cos’è la “superficie di attacco” e come le proprie decisioni (nuovi fornitori, smartworking, software) la cambino;
- fare le domande giuste al proprio IT o consulente;
- leggere un report di sicurezza e capire le priorità;
- accorgersi che un attacco è in corso e sapere chi chiamare subito.
Oggi in Italia esistono percorsi formativi certificati per il management delle PMI, finanziabili con fondi interprofessionali (Fondimpresa, Fondirigenti) o con i voucher del MIMIT per Transizione 5.0.
Molti coprono fino all’80% del costo. Non c’è scusa economica.
“Un dirigente che prova sulla sua pelle una simulazione d’attacco – una finta mail di phishing che gli ruba le credenziali, una simulazione di ransomware – diventa molto più difensivo di uno che ha solo visto un PowerPoint”.
Tre attività che ogni dirigente PMI può fare già domani
Le simulazioni (phishing simulation, tabletop exercise, red team) non sono lussi da grandi imprese: funzionano anche in aziende da dieci dipendenti.
Ecco tre attività che ogni PMI può fare già domani. Non servono budget da multinazionale, ma serve metodo:
- Fare un assessment da un professionista certificato. Prima di comprare qualsiasi cosa, occorre sapere dove si è fragili. Un vulnerability assessment o una gap analysis su ISO 27001 o NIS2 fornirà una mappa realistica. Stare alla larga da chi vi propone soluzioni senza aver prima capito il proprio contesto.
- Investire in formazione manageriale vera, non in corsi spot. Bisogna verificare se si ha accesso a fondi interprofessionali o voucher Transizione 5.0: molti corsi di cyber per il management sono finanziati fino all’80%. Non è un costo, è un investimento che riduce anche l’esposizione a multe.
- Mettere nero su bianco un piano di risposta agli incidenti e testarlo. Non servono cento pagine. Servono tre risposte: chi chiamo se scopro un attacco? Cosa non si deve fare nelle prime ore? Come notifico Garante e clienti entro 72 ore (come vuole il GDPR)? Chi ha questo piano è già avanti rispetto al 90% delle PMI italiane – ed è molto più tranquillo in caso di ispezione.
La scelta è già stata fatta: o la fa l’azienda o la fanno per lei
Il World Economic Forum recentemente ha detto una cosa intelligente: la cyber literacy dei manager è come la financial literacy imposta dopo Enron. Allora i regolatori dissero: i dirigenti devono capire i bilanci che firmano, e ne rispondono personalmente.
Oggi sta succedendo la stessa cosa con la NIS2 e il nostro D.Lgs. 138/2024.
Per le PMI italiane non c’è più il dubbio “se” questo cambiamento arriverà. È già arrivato.
La domanda è: il proprio management ha già le competenze per gestirlo, o si aspetta che un attaccante, un giudice o il Garante lo ricordino con una bella sanzione?
Le minacce che colpiscono le PMI italiane non sono astratte. Sono email che ogni giorno arrivano nelle caselle dei vostri dirigenti, vulnerabilità nei software gestionali, credenziali dei propri dipendenti già in vendita sul dark web. Scegliere professionisti certificati, investire in formazione manageriale vera, dotarsi di processi documentati: non sono opzioni.
È l’unica risposta razionale a un rischio che è già dentro la vostra azienda, oggi.
La mossa iniziale spetta solo a chi guida.
