Il Cisco Data and Privacy Benchmark Study 2026 mostra, dati alla mano, che investire in privacy genera ritorni economici concreti e rafforza la fiducia nell’uso dei dati e dell’intelligenza artificiale.
Nel contesto italiano, dominato da PMI che spesso vivono la compliance solo come un costo crescente, questi risultati sollevano una domanda essenziale: il problema è davvero la privacy o il modo in cui continuiamo a gestirla?
Indice degli argomenti
Il report Cisco 2026 sulla privacy
Il report si basa su una survey condotta su oltre 5.000 professionisti tra responsabili IT, sicurezza e privacy e dati raccolti prevalentemente presso organizzazioni che operano in 12 Paesi (tra cui l’Italia) in settori differenti, esposte a flussi di dati complessi e a requisiti normativi eterogenei (su privacy, AI e cloud).
Ha l’obiettivo di analizzare come le imprese stiano adattando politiche, investimenti e modelli organizzativi alla crescente centralità del dato.
Si tratta, pertanto, di un documento che offre una lettura avanzata della governance dei dati in contesti strutturati e sempre più segnati dall’uso intensivo dell’intelligenza artificiale.
Il valore degli investimenti privacy e l’IA
Il primo elemento che emerge riguarda il valore economico degli investimenti in privacy, in quanto la quasi totalità delle organizzazioni intervistate dichiara di ottenere benefici misurabili dai programmi di protezione dei dati, con ritorni economici che superano la spesa sostenuta e che, oltre a ridurre i rischi derivanti da violazioni della normativa, includono maggiore efficienza operativa, una riduzione delle frizioni commerciali e un rafforzamento delle relazioni con clienti e partner.
Un secondo asse centrale del report è l’impatto dell’intelligenza artificiale, in particolare dei sistemi di AI generativa, sulla governance privacy: l’adozione dell’AI sta spingendo le aziende ad ampliare l’ambito delle proprie iniziative di gestione dei dati, aumentando gli investimenti e rivedendo processi e controlli.
Allo stesso tempo, il report evidenzia come solo una minoranza delle organizzazioni ritenga di avere strutture di governance dell’AI realmente mature, mettendo alla luce una distanza significativa tra utilizzo tecnologico e capacità di controllo.
L’integrazione privacy-cyber e la localizzazione dei dati
Il report analizza poi la crescente integrazione tra privacy e cybersecurity, dal momento che, in molte organizzazioni, i team che si occupano di protezione dei dati personali e quelli che si occupano della sicurezza delle informazioni operano ormai in modo coordinato o, addirittura, all’interno di strutture comuni.
Questa integrazione rappresenta un fattore chiave per migliorare la gestione degli incidenti, ridurre i tempi di risposta e rafforzare la protezione dei dati lungo tutto il loro ciclo di vita.
Un ulteriore tema riguarda la localizzazione e la sovranità dei dati. Nonostante la natura globale delle infrastrutture digitali, aumenta infatti il numero di aziende che considerano la residenza dei dati un criterio rilevante nella scelta dei fornitori tecnologici.
Il report evidenzia tuttavia come i requisiti di localizzazione imposti da normative nazionali o regionali contribuiscano ad aumentare i costi operativi e la complessità nella gestione dei flussi informativi transfrontalieri.
Trasparenza e fiducia
Infine, lo studio dedica ampio spazio al tema forse più interessante, cioè quello della fiducia, che porta con sé quello della trasparenza.
Dalle informazioni raccolte, la trasparenza su come i dati vengono raccolti, utilizzati e condivisi rappresenta il principale fattore per mantenere e rafforzare la fiducia degli utenti, soprattutto nel contesto dell’AI, dove dati personali e aziendali vanno ad alimentare modelli sempre più complessi da spiegare con chiarezza agli utenti finali.
Si delinea pertanto un quadro in cui privacy, gestione dei dati e uso dell’intelligenza artificiale risultano sempre più interconnessi, da cui è possibile trarre importanti considerazioni di carattere operativo e strategico utili per imprese e professionisti della sicurezza e della governance digitale.
Privacy: dalla conformità al ritorno economico
Uno degli aspetti più rilevanti del report è la conferma empirica che, per il 99% delle organizzazioni globali considerate, investire in privacy produce risultati economici tangibili.
Per tali organizzazioni i programmi di protezione dei dati non sarebbero più legati esclusivamente al rispetto degli obblighi normativi, ma sarebbero strumenti in grado di migliorare il funzionamento complessivo dell’impresa. Il 90% di esse dichiara inoltre di aver ampliato i propri programmi a causa dell’AI, con il 93% che prevede ulteriori risorse nei prossimi due anni.
Il ritorno sull’investimento si manifesta in diversi ambiti, a partire da quello commerciale, con la presenza di politiche di gestione dei dati chiare e documentate in grado di ridurre i ritardi nei processi di vendita, soprattutto nei rapporti business-to-business, dove le richieste di garanzie sul trattamento dei dati sono ormai sempre più frequenti.
Sul piano operativo, una governance strutturata consente una riduzione delle duplicazioni, delle inefficienze e, di conseguenza, degli interventi correttivi successivi, con effetti diretti sui costi.
Per i professionisti della cybersecurity e della privacy, questo dato è confortante: parlare di privacy in termini di ritorno economico e continuità operativa consente di superare una visione difensiva e di collocare questi temi all’interno delle decisioni strategiche dell’organizzazione, parlando finalmente la stessa lingua del business.
Privacy, ROI e PMI: quando il ritorno sembra ancora invisibile
Trasporre l’evidenza che emerge dal report Cisco in termini di misurabilità economica della compliance privacy (e cybersecurity) nel contesto italiano richiede tuttavia alcune precisazioni, soprattutto alla luce del tessuto produttivo nazionale, composto in larga parte da piccole e medie imprese che operano con margini limitati, strutture organizzative ridotte e una capacità di investimento fortemente condizionata da costi immediati e ritorni a breve termine.
In questo contesto, la privacy continua a essere percepita prevalentemente come un costo imposto dall’esterno e GDPR e normative correlate vengono vissuti come un insieme di obblighi formali da soddisfare al minimo livello possibile, spesso attraverso consulenze episodiche e interventi correttivi successivi, piuttosto che come elementi strutturali di un modello organizzativo.
La conseguenza è che il ritorno economico degli investimenti in privacy, pur rilevato dal report Cisco su scala internazionale, resta in larga misura invisibile alle PMI italiane.
La privacy per molti è ancora (solo) un costo
In assenza di economie di scala, il costo della compliance privacy (che cresce nel tempo, alimentato da aggiornamenti normativi) e gli oneri legati alle richieste contrattuali sempre più complesse e alle aspettative crescenti da parte di clienti e fornitori più strutturati, incidono in modo sproporzionato rispetto alle dimensioni dell’impresa.
Il report Cisco evidenzia come le organizzazioni che investono in programmi di privacy maturi riescano a ottenere ritorni superiori alla spesa sostenuta; tuttavia, questo presuppone una capacità di investimento iniziale e una visione di medio periodo che molte PMI nostrane faticano ancora ad adottare.
Il risultato è una gestione perennemente reattiva della compliance, che continua ad essere orientata ad evitare sanzioni piuttosto che a costruire valore.
Questa impostazione contribuisce a rafforzare un circolo vizioso: la privacy, vista come adempimento burocratico, non genera benefici immediatamente tangibili e, di conseguenza, non viene integrata nei processi decisionali. Il ritorno economico, in queste condizioni, difficilmente può emergere.
Sicurezza informatica: maggiore consapevolezza, ma ancora separata
Il discorso cambia solo in parte quando si guarda alla sicurezza informatica. A differenza della privacy, la cybersecurity viene percepita da molte imprese italiane come un’esigenza più “concreta”, spesso a seguito di incidenti diretti o di casi noti nel proprio settore.
Questo ha favorito una maggiore propensione a investire in misure di sicurezza, anche se spesso in modo frammentato, non coordinato e prevalentemente reattivo.
Dal punto di vista operativo, come correttamente chiarisce il report Cisco, l’integrazione tra privacy e cybersecurity consente di gestire in modo più efficace gli incidenti che coinvolgono dati personali, riducendo il rischio di ritardi nella comunicazione e nella mitigazione degli effetti; dal punto di vista organizzativo, favorisce una visione unitaria del dato, considerato finalmente sia come asset da proteggere sia come elemento soggetto a specifici vincoli giuridici.
Nonostante ciò, privacy e sicurezza continuano a essere trattate nella maggior parte delle realtà imprenditoriali italiane come ambiti distinti, con funzioni separate, linguaggi diversi e obiettivi percepiti come non coincidenti.
La sicurezza viene frequentemente associata alla protezione dei sistemi e alla continuità operativa; la privacy resta invece confinata alla gestione documentale e agli obblighi normativi.
Il report Cisco parla di organizzazioni mature, che stanno già integrando queste due dimensioni in un’unica visione del dato, ci descrive cioè realtà grandi e mature a sufficienza per essere giunte alla “svolta”, ma questo quadro non descrive ancora la maggior parte delle nostre imprese, in cui, molto spesso, l’integrazione privacy/cyber security incontra resistenze anche tra gli stessi addetti ai lavori.
Professionisti della sicurezza e della privacy continuano spesso a muoversi su binari paralleli, con competenze specialistiche che faticano a dialogare, in contesti come quelli delle PMI, dove le risorse sono limitate e in cui questa separazione produce inefficienze e duplicazioni difficilmente sostenibili.
IA e dati: il tema è il controllo
Con riferimento all’adozione dell’intelligenza artificiale e alle conseguenze che questa ha sulla gestione dei dati, l’ampio spazio che il report dedica al tema è dovuto soprattutto alla diffusione di strumenti di AI generativa, che hanno accelerato l’utilizzo di grandi volumi di informazioni, spesso eterogenee e non sempre adeguatamente classificate.
Molte organizzazioni, come rilevato dallo studio, hanno reagito inizialmente limitando o vietando l’uso di questi strumenti per timore di esporre dati riservati o proprietà intellettuale, una risposta che risulta difficilmente sostenibile nel medio periodo, soprattutto in contesti competitivi dove l’AI viene già utilizzata per migliorare produttività e capacità analitiche.
Il report evidenzia come le organizzazioni più strutturate stiano spostando l’attenzione dal divieto alla definizione di controlli tecnici e organizzativi, tra i quali rientrano la limitazione dei dataset utilizzabili, l’adozione di tecniche di mascheramento dei dati, la separazione degli ambienti di addestramento e l’uso di modelli linguistici in contesti controllati.
Le imprese descritte dal report hanno pertanto compreso che l’adozione dell’AI richiede un rafforzamento delle competenze di governance dei dati, sia sul piano tecnologico che su quello delle responsabilità interne e delle procedure decisionali.
Nel contesto italiano, tuttavia, questa evoluzione appare meno lineare, in quanto, in molte realtà, soprattutto di dimensioni medio-piccole, il controllo sull’uso dell’AI viene ancora affrontato in termini prevalentemente difensivi, attraverso divieti informali o policy generiche che faticano ancora a tradursi in pratiche operative.
La mancanza di strutture dedicate alla gestione del dato (unita alla già citata separazione ancora marcata tra funzioni IT, sicurezza e compliance) rende complesso implementare i controlli granulari descritti dal report.
Ne deriva un uso dell’intelligenza artificiale spesso tollerato ma poco governato, in cui il problema resta l’assenza di un quadro chiaro di responsabilità e di strumenti adeguati a esercitare un controllo effettivo sui dati utilizzati.
Localizzazione dei dati: tra aspettative normative e complessità operative
Il tema della residenza dei dati continua a occupare uno spazio rilevante nelle strategie aziendali; testimonianza ne è il fatto che le organizzazioni dichiarano di considerare la localizzazione dei dati un requisito importante nella scelta dei fornitori cloud, spesso per rispondere a richieste normative o contrattuali.
Allo stesso tempo, lo studio evidenzia però come l’imposizione di vincoli rigidi sulla localizzazione contribuisca ad aumentare i costi e la complessità dei sistemi informativi, senza garantire automaticamente un livello di sicurezza superiore. La gestione di ambienti frammentati, con infrastrutture replicate in più Paesi, introduce nuovi rischi operativi e rende più difficile mantenere standard di protezione coerenti.
Per le imprese che operano su scala internazionale, il report suggerisce pertanto la necessità di valutare con attenzione il bilanciamento tra requisiti locali e capacità di gestione centralizzata dei dati, evitando soluzioni che rispondono a singoli vincoli ma che rischiano di compromettere l’efficienza complessiva.
Nel contesto italiano, questo tema assume una connotazione particolare, poiché la localizzazione dei dati viene spesso invocata come risposta semplificata a esigenze di compliance o come elemento rassicurante nei confronti di clienti e partner, soprattutto in assenza di una governance strutturata dei dati. In molte PMI, la scelta di soluzioni localizzate non è accompagnata da un rafforzamento dei controlli organizzativi e di sicurezza, con conseguente aumento dei costi e della complessità senza però un miglioramento effettivo del livello di protezione.
Anche in questo ambito, occorrerebbe riconoscere che il rischio è quello di adottare misure formali che rispondono a singole aspettative regolatorie senza affrontare in modo sistemico il governo del dato.
Trasparenza e fiducia: il fattore decisivo nell’uso dei dati
Il legame tra fiducia e trasparenza rappresenta uno degli elementi più chiari che emergono dal report.
Spiegare in modo comprensibile come i dati vengono raccolti, trattati e utilizzati incide in misura superiore a qualsiasi altra iniziativa sulla percezione di affidabilità da parte degli utenti, in particolare nei contesti in cui vengono impiegati sistemi di intelligenza artificiale. In questi ambiti, i meccanismi decisionali risultano spesso difficili da ricostruire anche per gli stessi operatori, rendendo ancora più rilevante la qualità della comunicazione verso l’esterno. Il report evidenzia come le organizzazioni che investono in modalità di comunicazione chiare e strutturate riescano a mantenere relazioni più stabili con clienti e utenti e a ridurre il rischio di reazioni negative legate all’uso dei dati.
Per le aziende, questo dato implica un ripensamento delle informative privacy e dei canali di comunicazione, che dovrebbero evolvere da documenti formali a strumenti effettivi di comprensione.
La semplificazione del linguaggio, l’uso di formati multilivello e l’integrazione di strumenti digitali interattivi sono ormai pratiche consolidate e tecnicamente accessibili: gli strumenti per rendere le informative più chiare e fruibili esistono e sono ampiamente disponibili.
La trasparenza in Italia
Nel contesto italiano, tuttavia, non si può negare che questa evoluzione proceda con maggiore lentezza, dal momento che, in molte organizzazioni, la privacy continua a essere gestita come un insieme di adempimenti statici, finalizzati principalmente a dimostrare la conformità in caso di controlli e le informative sono forse l’esempio più emblematico di questo approccio.
Spesso si tratta di testi redatti una tantum, raramente aggiornati per riflettere l’evoluzione dei trattamenti o l’introduzione di nuove tecnologie, inclusi i sistemi di intelligenza artificiale. In questa impostazione, l’informativa, lungi dall’essere considerata uno strumento di relazione con l’utente, è piuttosto un passaggio obbligato di natura burocratica.
È indubbio che questa lettura riduttiva della privacy limita la possibilità di costruire fiducia nel tempo e che le realtà più attente e strutturate abbiano invero compreso questo punto. Tuttavia, è ancora la normalità leggere comunicazioni sul trattamento dei dati formali e poco comprensibili; la percezione dell’uso dell’intelligenza artificiale per creare i testi acuisce diffidenza e reazioni difensive da parte degli utenti.
Le soluzioni tecniche o le linee guida per questa semplificazione esistono, ma la difficoltà a riconoscere nella trasparenza un elemento dinamico del rapporto tra organizzazione e utenti, piuttosto che un documento da archiviare, è ancora un forte ostacolo per moltissime organizzazioni italiane.
I punti del report da tenere a mente
Il Cisco Data and Privacy Benchmark Study 2026 traccia con chiarezza che la gestione dei dati non può più essere affrontata come un insieme di obblighi separati, bensì privacy, sicurezza e uso dell’intelligenza artificiale si influenzano reciprocamente e richiedono necessariamente un approccio coordinato.
Per le imprese, investire in competenze, processi e tecnologie di protezione dei dati significa rafforzare la capacità di operare in contesti complessi e ad alta intensità informativa; per i professionisti, si conferma la necessità di ampliare il proprio perimetro di competenze, integrando conoscenze giuridiche, tecniche e organizzative.
La protezione dei dati, in questo scenario, rappresenta una condizione necessaria per rendere sostenibile l’uso delle tecnologie che stanno ridefinendo il modo in cui le organizzazioni producono valore.
Quale lezione per le imprese italiane
Il ritorno economico della privacy richiede una revisione dei modelli organizzativi, una maggiore integrazione tra sicurezza e protezione dei dati e una comunicazione più chiara dei benefici, anche in termini di riduzione dei costi indiretti e di maggiore affidabilità nei rapporti commerciali. Nessun automatismo quindi, ma sforzi puntuali e concreti.
Per le nostre PMI, questo significa superare una logica puramente difensiva e iniziare a considerare la gestione dei dati come parte del proprio assetto operativo e, per i nostri professionisti, implica la responsabilità di tradurre principi e framework complessi in soluzioni sostenibili, capaci di dimostrare valore anche in contesti con risorse limitate.
Le evidenze empiriche del report sul ritorno degli investimenti in privacy, se tradotte in modelli operativi compatibili con strutture organizzative ridotte come le PMI italiane, si rivelano un benchmark preziosissimo per stimolare la capacità del Paese di competere in mercati sempre più attenti alla gestione dei dati e alla fiducia digitale.
In assenza di questa “traduzione” concreta, il rischio è che il divario tra le evidenze emerse a livello internazionale e la pratica quotidiana delle imprese italiane continui ad ampliarsi, rendendo sempre più difficile cogliere quel ritorno economico e quella governance integrata che il report Cisco indica come ormai acquisiti.
