Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

intelligenza artificiale

Il cyber rischio entra nel merito creditizio: l’indice Banca d’Italia

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Banca d’Italia propone un indicatore di vulnerabilità cyber per le imprese non finanziarie costruito con NLP e un LLM (Phi-4), capace di trasformare testi non strutturati – bilanci, news e fonti specialistiche – in segnali quantitativi per la valutazione del merito creditizio. Ecco come funziona e le implicazioni

Pubblicato il 20 gen 2026
banca d’italia cyber risk credito

Per anni il rischio cibernetico è rimasto confinato nei capitoli “IT” o “operativi” dei documenti aziendali. Un incidente informatico era considerato un problema tecnico, da risolvere con patch, backup e consulenti specializzati. Oggi quel confine salta.

La Banca d’Italia ha fissato il cambio di paradigma in un testo pubblicato il 19 gennaio: il cyber risk è un fattore strutturale di rischio di credito e può – anzi deve – entrare nei modelli con cui le banche valutano l’affidabilità delle imprese.

Il messaggio ha implicazioni sistemiche. Un attacco informatico non è più solo un costo straordinario o un disservizio temporaneo: può interrompere la continuità operativa, ridurre i flussi di cassa, generare contenziosi e danni reputazionali. Può incidere sulla capacità di un’azienda di rimborsare il proprio debito. Bankitalia propone quindi di misurare il rischio cyber con strumenti quantitativi e integrarlo nei processi di credit assessment.

Cyber rischio entra nel merito creditizio per Banca d’Italia: dal bilancio ai dati non strutturati

Il punto di partenza è una constatazione semplice: i bilanci da soli non bastano più. Le informazioni davvero rilevanti sul rischio cibernetico – incidenti subiti, livello di preparazione, maturità dei processi di sicurezza – si trovano spesso fuori dai prospetti contabili, disperse in testi non strutturati.

Da qui la scelta di costruire un indicatore di vulnerabilità cyber capace di “leggere” il linguaggio delle imprese. Il modello analizza migliaia di bilanci, milioni di articoli di stampa e fonti web specializzate in cybersecurity, per intercettare segnali che vanno oltre il dato numerico: riferimenti a standard e certificazioni, descrizioni di attacchi, investimenti in tecnologie di difesa, strategie di gestione del rischio.

È un passaggio chiave anche dal punto di vista culturale. La cybersecurity non viene più valutata solo per ciò che “manca” dopo un incidente, ma per ciò che l’impresa comunica prima, durante e dopo un evento critico.

L’AI che trasforma i testi in punteggi di merito creditizio

Il cuore del sistema è un’architettura di Intelligenza Artificiale basata su tecniche di Natural Language Processing e su un Large Language Model – nello specifico Microsoft Phi-4 – progettata per estrarre informazioni rilevanti da testi eterogenei e trasformarle in segnali quantitativi.

L’AI classifica i contenuti secondo una tassonomia costruita ad hoc per il contesto italiano, distinguendo tra elementi mitiganti (come tecnologie di difesa, processi, certificazioni) e fattori di rischio, in particolare la disclosure di incidenti cyber. Il risultato finale è uno score di vulnerabilità che può essere affiancato agli indicatori finanziari tradizionali.

Non si tratta di un semplice esercizio accademico. L’obiettivo dichiarato è l’integrazione, in prospettiva, nel Italian Credit Assessment System (ICAS), il sistema di valutazione del credito utilizzato dalla Banca d’Italia. Un passaggio che, se completato, renderebbe il cyber risk una variabile strutturale nei processi decisionali bancari.

Un rischio in crescita, soprattutto per alcuni settori

I dati che emergono dall’analisi spiegano perché questo passaggio non sia più rinviabile. Gli attacchi informatici contro le imprese italiane sono aumentati in modo netto negli ultimi anni, con una crescita particolarmente marcata a partire dal 2019. I settori più esposti sono il manifatturiero – spinto dall’interconnessione dei sistemi e dall’Industria 4.0 – i servizi professionali e il commercio.

Il ransomware si conferma la minaccia dominante, seguito da data breach e phishing. Ma il dato forse più significativo è un altro: l’indice di rischio cyber resta elevato nel tempo, con una forte concentrazione di imprese nelle fasce di vulnerabilità più alte. Segno che, nonostante l’aumento degli investimenti in sicurezza, la superficie di attacco cresce più rapidamente delle difese.

La “cicatrice” lasciata da un attacco

Uno degli aspetti più interessanti riguarda il comportamento delle imprese dopo un incidente. Dopo un attacco, le aziende tendono a migliorare la disclosure sulla cybersecurity nei bilanci, rafforzano i processi interni e adottano nuove tecnologie. Tuttavia, nel breve periodo, l’indice di rischio aumenta comunque.

Il motivo è semplice e spietato: la penalità associata all’evento subito pesa più delle misure correttive introdotte. In altre parole, un attacco lascia una cicatrice persistente nel profilo di rischio dell’impresa. Un segnale importante per il sistema bancario, ma anche un monito per le aziende che ancora considerano la cybersecurity come un costo accessorio.

Cyber rischio è rischio creditizio: implicazioni per banche e imprese

Se questo approccio verrà adottato su larga scala, le conseguenze si sentiranno. Per le banche significa ripensare il risk assessment in chiave digitale, integrando competenze cyber e strumenti di AI nei processi di valutazione. Per le imprese, soprattutto non finanziarie, significa che la cybersecurity diventa una leva di accesso al credito, non più solo una voce di spesa IT.

In prospettiva, investire in sicurezza informatica, governance e trasparenza potrebbe incidere sul costo del denaro tanto quanto migliorare un indicatore di bilancio. È il segnale più forte che viene da Bankitalia: nell’economia digitale, il rischio informatico è rischio finanziario. E ignorarlo è ancora di più, su più livelli, follia aziendale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Alessandro Longo
Direttore
Giornalista professionista, scrive da 16 anni per le principali testate italiane su temi del digitale, soprattutto telecomunicazioni, agenda digitale, pubblica amministrazione digitale. Collaborazione storica e settimanale per Sole24Ore, Repubblica (pagine di Economia nazionale, oltre mille articoli pubblicati, di cui un centinaio in prima pagina).
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Aggiornamenti Microsoft Patch Tuesday

  • update

    Aggiornamenti Microsoft luglio 2025, corretta una vulnerabilità zero-day: update urgente

    09 Lug 2025

    di Paolo Tarsitano

    Condividi
  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • EDPB EDPS proposta di modifica del GDPR;

  • data protection

    EDPB e EDPS, sì alle modifiche del GDPR se a beneficio delle PMI

    16 Lug 2025

    di Marina Rita Carbone

    Condividi
  • NIS2 e CdA; Linee guida NIS : il nuovo quadro normativo per la risposta agli incidenti; Nis 2, un nuovo modo di leggere gli incidenti informatici

  • sicurezza nazionale

    Linee guida NIS: il nuovo quadro normativo per la risposta agli incidenti

    07 Gen 2026

    di Luisa Franchina e Tommaso Diddi

    Condividi
0
Lascia un commento, la tua opinione conta.x