L’Italia è tra i Paesi più colpiti dal cyber crimine e, non a caso, alle nostre latitudini la percezione dell’importanza strategica della cyber security è perfettibile.
Lo sostiene l’Associazione italiana per la Sicurezza informatica (Clusit) che, nel rapporto 2025, ha espresso timori per bocca della presidente Anna Vaccarelli, secondo cui: “Il quadro globale tracciato dal Rapporto Clusit 2025 è decisamente preoccupante: da un lato, i livelli di protezione delle organizzazioni sembrano insufficienti; dall’altro gli attacchi diventano sempre più sofisticati, grazie anche all’utilizzo dell’Intelligenza Artificiale, oltreché più facili da portare a compimento, grazie alla disponibilità di modelli di minacce ‘As-A-Service’ sempre più diffusi”.
La tendenza a opporre difese insufficienti a cospetto della potenza dei criminal hacker è l’effetto di una causa più morbosa: la convinzione – tra i manager italiani – che le rispettive aziende siano poco appetibili per i cyber criminali.
La cyber security non è fine a sé stessa, è crocevia di argomenti di portata ben più ampia che sconfinano nell’economia reale e negli equilibri geopolitici.
Qui prendiamo in analisi sette motivi strettamente collegati tra loro che dimostrano come una più accorta cyber posture crea beneficio per tutti, non soltanto per organizzazioni che entrano nelle mire dei criminal hacker.
Motivi che valgono tanto per le grandi organizzazioni quanto per le piccole e medie imprese, a prescindere dal comparto in cui operano.
Indice degli argomenti
Sette motivi che dimostrano l’importanza della cyber security
La narrazione attuale dimostra che le organizzazioni incapaci di adeguarsi alle moderne tecnologie sono destinate a rimanere ai margini dei rispettivi mercati: la digitalizzazione, l’automazione, il ricorso alle Intelligenze artificiali e alla robotica sono dei turbo per la produzione e l’innovazione, oltre a permettere anche una sensibile o più che sensibile riduzione dei costi.
La cyber security è a valle di tutto ciò: un’organizzazione poco resistente e resiliente è destinata a scomparire anche perché non può garantire la necessaria spinta all’innovazione.
C’è un paradigma che si insinua sempre più: per proliferare, l’innovazione così vitale per le imprese, ha bisogno della cyber security che a sua volta spinge l’innovazione. Un circolo dal quale non si scappa. E chi non sposa questa condizione, è destinato a scomparire.
La cyber security di ogni singola organizzazione contribuisce a qualcosa di più grande che riguarda tutti. Ecco, in 7 punti, quali motivi strategici concorrono a questo “tutto più grande”.
La protezione dei dati
Se ridotta all’essenziale, la cyber security è la protezione dei dati, parola ormai inflazionata e stereotipata al punto da non rendere più bene il valore che rappresenta.
I dati sono le informazioni dei singoli clienti (o fornitori o stakeholder) ma sono anche le strategie di un’impresa, i suoi brevetti e le sue operazioni.
Non riuscire a proteggere i dati vuol dire prestare il fianco a concorrenti e ai criminal hacker: significa mettere il futuro di un’organizzazione in mano a chi se ne impossessa.
Le conseguenze non sono soltanto reputazionali e finanziarie, ma spingono clienti e utenti a rivedere il loro rapporto con le imprese di riferimento, con la rete e con l’innovazione in sé.
Il caso Equifax è ormai da manuale per le questioni reputazionali e finanziarie: i fatti risalgono al 2017 quando l’azienda, oltre ad avere gestito la data breach in modo fantozziano, ha raggiunto un accordo con la Federal Trade Commission e il Consumer Financial Protection Bureau che ha comportato un esborso vicino ai 700 milioni di dollari, 425 milioni dei quali a titolo di risarcimento ai consumatori.
Equifax rappresenta un caso limite ma rende bene l’idea delle conseguenze immediate di una violazione (quelle sul lungo periodo sono altrettanto devastanti).
Più in generale, ogni organizzazione che subisce una violazione contribuisce a diffondere un senso di sfiducia da parte dei consumatori.
Il Digital Trust Index, uno dei diversi indici che cerca di misurare il grado di fiducia, è in caduta libera: le persone nutrono dubbi sull’affidabilità dei servizi online. Tutto ciò non giova a nessuno.
La riduzione dei danni economici
Come anticipato sopra, una corretta postura cyber coincide con una riduzione dei danni economici dovuti a una violazione.
Partiamo dalle ammende comminate dalle autorità competenti, sottolineando che un’azienda non viene multata perché vittima di un attacco ma perché non è in grado di dimostrare di avere fatto tutto il possibile per proteggere i dati.
Il riferimento normativo, il GDPR, impone alle organizzazioni vittime di data breach di notificare l’incidente al Garante per la protezione dei dati personali entro 72 ore.
Le ammende che può comminare il Garante arrivano fino a 20 milioni di euro oppure fino al 4% del fatturato globale annuo.
Per violazioni meno gravi – come la mancanza di notifica – l’ammenda va fino a 10 milioni di euro o al 2% del fatturato globale annuo.
Altre norme sovranazionali, tra le quali NIS2 e DORA che tutelano le infrastrutture critiche e il settore finanziario, prevedono multe fino a 10 milioni di euro oppure fino al 2% del fatturato.
Inoltre, clienti e utenti possono adire le vie legali per chiedere risarcimenti. Non di meno, le organizzazioni vittime di una cyber incursione, sono costrette a rivedere l’intero assetto difensivo e questo include, oltre a esborsi per hardware e software, anche la gestione di piani di risposta. Spese che si sarebbero potute spalmare nel tempo diventano pressanti e non più prorogabili.
Quindi, ricapitolando, oltre alle multe regolatorie, le perdite di fatturato, i costi di ripristino, occorre tenere conto di possibili cause legali le quali, a loro volta, causano costi e possono portare a risarcimenti in favore di utenti, clienti e partner commerciali.
Stando ai dati raccolti da IBM, il costo medio globale di una data breach è di 4,4 milioni di dollari (3,75 milioni di euro).
I danni reputazionali
Approfondendo i già citati danni reputazionali, è utile comprendere che si tratta di salvaguardare il buon nome di un’organizzazione e la fiducia che i consumatori nutrono in essa.
La reputazione è fragile, necessita di anni per essere costruita e può essere distrutta in un attimo.
L’acquisizione di un cliente ha un costo, così come ha un costo il brand building: risparmiare sulla cybersecurity o non tenerne debitamente conto vanifica ogni risorsa investita per costruire un marchio capace di diffondere affidabilità.
Anche in questo caso, gli imprenditori che non avvertono la potenziale distruzione di un cyber attacco, dovrebbero investire in infrastrutture di difesa almeno per non annullare gli sforzi fatti per guadagnarsi mercato.
La conformità normativa
Un imprenditore deve sottostare alle corpose esigenze delle norme, siano queste scritte o meno. Il mercato ha delle proprie regole, il fisco impone regole, la cultura del lavoro e la sicurezza fisica dei lavoratori impongono regole.
Ci sono norme nazionali e sovranazionali – tra le quali figurano le già citate GDPR, NIS2 e DORA – che esigono un certo livello di protezione del dato e dell’infrastruttura aziendale.
Queste norme si applicano anche a chi non crede che la propria azienda possa fare gola al cyber crimine. La conformità normativa può anche essere vista come una delle tante leggi e regole che tormentano la vita degli imprenditori, purché venga messa in pratica.
Quindi, gli imprenditori insensibili ai cyber rischi e alle minacce possono limitarsi a vedere la conformità normativa come una delle 160mila regole che appesantiscono i compiti burocratici delle imprese. Anche scendendo in un simile qualunquismo, ignorarle non è giustificabile.
La continuità operativa
Gli imprenditori, tanto quelli piccoli quanto quelli grandi, sono ossessionati dalla continuità operativa: lavorare è il mantra, il metro mediante il quale si misura la professionalità del personale e dei collaboratori, nonché la loro utilità.
Davanti ai temi della cyber security, però, l’ossessione sembra attenuarsi. La realtà dei fatti indica che la cyber security è un processo la cui importanza è superiore a quelli produttivi, logistici e amministrativi. Si tratta di un processo vitale da cui dipendono tutti gli altri processi e come tale la cyber security va vista.
L’esempio più popolare (ma non l’unico) riporta all’inizio del 2025, quando l’azienda di strumenti di precisione Marposs con sede nei pressi di Bologna, ha dovuto cassintegrare parte del personale a causa di un ransomware che ha messo in ginocchio la produzione.
Un episodio non isolato e, soprattutto, un fatto che dimostra come la cyber security non sia più questione tra chi attacca e chi si difende ma ha gittate tanto lunghe da invadere l’economia reale, quella che riguarda tutti i beni e i servizi.
Un cyber attacco può paralizzare la produzione, la logistica, i servizi e la normale operatività degli uffici. Per questo è opportuno avere dei piani di business continuity e di disaster recovery.
Un attacco ransomware può bloccare per giorni interi impianti produttivi o supply chain. Ciò, ancora una volta, dà torto a quegli imprenditori i quali, pure non intuendo la portata dei cyber rischi, insistono sulla continuità operativa.
Non c’è continuità operativa in assenza di adeguate cyber difese.
Supporto all’innovazione
La digitalizzazione e l’innovazione passano attraverso automazione, AI, IoT, Cloud e un insieme di altre tecnologie vulnerabili per loro natura e che ampliano le superfici di attacco.
Poiché l’innovazione è necessaria alle imprese per la loro stessa sopravvivenza e, poiché l’innovazione può essere garantita soltanto se opportunamente protetta da un’architettura di cyber security proattiva ed efficace, va da sé che – in difetto di quest’ultima – le imprese sono destinate al fallimento.
Un sillogismo semplice che, di suo, dovrebbe già essere sufficiente a fare comprendere quanto la cyber security non sia più un optional. Ogni errore è costoso in termini di reputazione, capacità produttiva e di permanenza sul mercato.
Risposta alle minacce geopolitiche e agli attori statali
La cybersecurity è oggi anche un tema di intelligence e sicurezza nazionale. Gli attacchi APT (Advanced Persistent Threats) sono spesso sponsorizzati da Stati o organizzazioni criminali con motivazioni strategiche.
Gli attacchi alle strutture vitali di un Paese non sono più scenari fantascientifici e i servizi segreti nazionali hanno gli occhi bene aperti sulle cyber minacce.
La multinazionale Norsk Hydro insegna che un attacco a una singola impresa può causare danni a un intero comparto economico e l’attacco a Colonial Pipeline ha mostrato al mondo quanto poco ci voglia per chiudere un oleodotto, con ricadute pesantissime sull’economia.
Nello specifico, la chiusura temporanea ha causato diversi danni, a partire dalla carenza di benzina e diesel in diversi Stati americani (su tutti Georgia e Virginia) che hanno comportato code chilometriche alle stazioni di rifornimento, fino all’aumento dei prezzi dei carburanti, il cui costo ha superato il massimo storico.
Conclusioni
Questi sette motivi o, meglio, le conseguenze che da questi dipendono, sono incentivi reali e tangibili che dovrebbero spingere gli imprenditori a investire nella cyber security.
Tuttavia, limitarsi ad assegnare budget alla cyber security per scongiurare le conseguenze di una violazione non fa di un imprenditore un buon imprenditore.
La sicurezza dà il meglio di sé quando supportata da una confacente cultura che, a cascata, va dalle alte sfere aziendali fino ai livelli operativi, includendo partner commerciali e stakeholder.
Oggi, la cyber security ha un peso specifico sull’indipendenza di un Paese e sul corretto funzionamento delle economie: gli imprenditori devono farsene carico così come si fanno carico degli aspetti sociali e dell’importanza del lavoro.
