Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

la soluzione

Da alert fatigue a cyber resilience: come Novomatic ha trasformato il proprio SOC con HyperSOC

Home Soluzioni aziendali
Partecipa al dibattito
Indirizzo copiato

Infrastruttura on-premise complessa, molteplici obblighi normativi e un SOC sommerso dagli alert: queste le sfide di Novomatic Italia. Ecco come la collaborazione con HWG Sababa e l’uso della piattaforma HyperSOC hanno ridefinito detection, risposta e resilienza

Pubblicato il 12 giu 2026
Aggiungi tra i preferiti su Google
Paolo Tarsitano

Editor Cybersecurity360.it

cyber resilience
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

C’è un errore concettuale che ancora molte organizzazioni commettono: trattare la cyber security come una funzione di supporto, separata dal cuore pulsante del business.

Un’appendice tecnica da gestire, un costo da contenere, una voce di bilancio da giustificare al CFO. Poi arriva il primo incidente serio o, peggio, la prima sanzione regolatoria, e il paradigma cambia bruscamente.

Il caso di Novomatic Italia racconta esattamente questo percorso di maturazione, ma in modo esemplare: non sotto la spinta di un’emergenza, bensì attraverso una scelta strategica consapevole, costruita nel tempo con i giusti partner tecnologici e di processo.

È una storia che vale la pena raccontare non solo perché i risultati sono misurabili e concreti, ma perché il contesto in cui si è sviluppata è lo stesso in cui operano molte delle realtà più complesse del panorama industriale italiano ed europeo.

La cyber security nei settori ultra-regolamentati: una funzione critica, non accessoria

Novomatic Italia è la filiale italiana del Gruppo Novomatic, leader globale nelle tecnologie e nei servizi per il gaming, presente in oltre 50 Paesi e attivo in più di 150 mercati a livello mondiale. In Italia conta oltre 4.200 dipendenti distribuiti tra la sede centrale di Roma, lo stabilimento di Rimini, numerose sedi operative e circa 300 luoghi di gioco sul territorio nazionale.

L’azienda opera nei settori del gaming, delle scommesse e dei servizi di pagamento, gestendo più entità legali all’interno di un contesto fortemente regolamentato che comprende la Direttiva NIS2, la certificazione ISO 27001, le normative PSD2 e i requisiti specifici delle autorità di regolazione del gaming.

In questo scenario, la cyber security non è, e non può essere, una funzione tecnica isolata: è un abilitatore critico del business, direttamente collegato alla continuità operativa, alla conformità normativa e alla protezione di un ecosistema altamente distribuito e ad alta intensità transazionale.

Il problema dell’alert fatigue: quando la visibilità non basta

Prima di comprendere la soluzione adottata, occorre capire il problema. E il problema, riconoscibile a chiunque operi in ambienti SOC maturi, si chiama alert fatigue.

Novomatic Italia disponeva già di una buona copertura in termini di visibilità sugli eventi. Il sistema generava segnalazioni, i log venivano raccolti, le correlazioni esistevano. Ma la quantità di alert prodotti quotidianamente superava di gran lunga la capacità del team di analizzarli in modo efficace.

Il risultato? Un rumore operativo significativo che riduceva l’efficacia percepita del servizio aumentava il carico manuale sugli analisti e, aspetto spesso sottovalutato, introduceva un rischio di sicurezza concreto: in un oceano di segnalazioni irrilevanti, le minacce reali faticano ad emergere.

Come ha sintetizzato Marcello David, Cybersecurity Manager di Novomatic Italia: “A fronte di una buona visibilità, l’efficacia operativa risultava limitata: l’elevato volume di alert non si traduceva in un corrispondente valore operativo, incidendo sulla piena affidabilità percepita del servizio”.

È un fenomeno che i team di sicurezza conoscono bene. L’alert fatigue non nasce dall’incompetenza, ma dalla struttura stessa dei modelli SOC tradizionali: regole di correlazione statiche, logiche di detection non contestualizzate rispetto all’ambiente specifico, scarsa integrazione tra il monitoraggio esterno e la conoscenza operativa interna. Il volume diventa un nemico della qualità.

La scelta strategica: HWG Sababa e il modello HyperSOC

Per affrontare queste sfide, Novomatic Italia ha scelto di collaborare con HWG Sababa, implementando HyperSOC come piattaforma centrale per detection e monitoraggio. Non si è trattato di una semplice sostituzione tecnologica, ma di un cambio di paradigma nel modo di concepire le operazioni di sicurezza.

HyperSOC introduce un livello di ottimizzazione continua che differenzia radicalmente il modello rispetto alle soluzioni tradizionali. Il sistema combina detection avanzata, contestualizzazione degli eventi e feedback loop strutturati tra il SOC e il team interno dell’organizzazione. L’obiettivo non è processare più alert: è generare meno alert, ma di qualità superiore, quelli su cui il team può realmente agire.

L’approccio adottato si è articolato su tre assi principali:

  1. Sostituzione delle logiche di detection legacy. Le regole di correlazione iniziali sono state rimpiazzate con il baseline proprietario di HWG Sababa e ottimizzate progressivamente in base al contesto operativo specifico di Novomatic. Non un template generico, ma una detection costruita intorno alle specificità di quell’infrastruttura.
  2. Modello strutturato di collaborazione SOC–team interno. È stato definito un framework chiaro di escalation: il SOC gestisce i livelli L1 e L2, filtrando la grande maggioranza degli alert; il team interno gestisce L3 e la risposta; gli incidenti critici attivano escalation immediata con supporto nelle attività forensi e di reporting.
  3. Ciclo di miglioramento continuo. Il tuning non è un’attività una tantum ma un processo ongoing: ogni iterazione affina ulteriormente la capacità di distinzione tra rumore e segnale, aumentando l’allineamento tra alert generati ed eventi realmente rilevanti per il business.

Marco Fattorelli, CTO di HWG Sababa ha commentato: “L’obiettivo di un SOC moderno non è aumentare la quantità di eventi monitorati, ma trasformare la capacità di distinguere rapidamente ciò che è rilevante per il business. HyperSOC nasce proprio per ridurre il rumore operativo, contestualizzare le minacce e consentire ai team di sicurezza di concentrare le proprie energie sugli eventi che possono generare un impatto reale sull’organizzazione”.

Il ruolo di Akito: complementarità come valore di sistema

Un elemento spesso sottovalutato nelle architetture di sicurezza Enterprise è la frammentazione dei vendor. Avere tanti fornitori specializzati, ciascuno eccellente nel proprio dominio, non garantisce automaticamente coerenza complessiva: la detection può essere di qualità, ma se non dialoga con chi gestisce l’architettura di sicurezza e i processi di protezione, il risultato è una somma di parti che non genera il valore atteso.

Nel contesto delle attività del Gruppo HWG Sababa, Akito è l’azienda specializzata nell’evoluzione dell’architettura di sicurezza e nel rafforzamento delle capacità di protezione attraverso servizi professionali specifici su tecnologie e processi.

La complementarità tra le due realtà è anche territoriale: Akito opera nel centro-sud, HWG Sababa su scala nazionale. Ma è soprattutto funzionale: mentre HWG Sababa presidia detection, risposta e gestione degli incidenti tramite HyperSOC, Akito contribuisce a costruire e evolvere la base tecnologica e procedurale su cui quella detection opera.

L’approccio congiunto ha consentito di superare la frammentazione tipica dei modelli multi-vendor, garantendo maggiore coerenza tra detection, risposta e miglioramento continuo della postura di sicurezza.

Un modello che è destinato a consolidarsi e diversificarsi ulteriormente nel tempo, rispondendo all’evoluzione normativa e alle specifiche esigenze di settore.

L’infrastruttura on-premise: la realtà che il mercato spesso ignora

C’è un altro aspetto di questo caso che merita attenzione specifica, anche perché è spesso ignorato nel dibattito mainstream sulla cyber security: la complessità dell’infrastruttura on-premise.

Novomatic Italia opera principalmente in ambienti on-premise, con elevati volumi di dati e competenze tecniche interne significative. Questa non è un’eccezione: è la realtà di moltissime grandi organizzazioni regolamentate, dal settore finanziario all’energia, dalle utilities alle aziende manifatturiere con operations distribuite.

Il mercato tende a concentrarsi sul cloud, e giustamente: la migrazione verso ambienti ibridi e cloud-native porta con sé sfide di sicurezza rilevanti e nuove opportunità. Ma ignora spesso che le infrastrutture on-premise esistenti continueranno a esistere per anni, richiedendo soluzioni di detection e monitoraggio altrettanto mature.

HyperSOC è stato implementato in questo contesto complesso – con centralizzazione dei log, correlazione tramite SIEM e gestione delle analisi di primo e secondo livello – dimostrando che un modello SOC avanzato non presuppone necessariamente un’architettura cloud-first.

I risultati: numeri e validazione in scenario reale

I risultati ottenuti dalla collaborazione tra Novomatic Italia e HWG Sababa sono documentati e misurabili.

Sul piano operativo, la riduzione del volume di alert si attesta intorno al 60%, frutto del tuning continuo e della contestualizzazione progressiva delle regole di detection. I falsi positivi sono diminuiti in modo significativo, così come lo sforzo manuale richiesto al team interno per le analisi. La prioritizzazione degli eventi critici è migliorata, con un impatto diretto sull’efficienza complessiva del team di sicurezza.

Ma il risultato più significativo non è quantitativo: è la validazione in uno scenario di attacco reale. Nel corso della collaborazione, HyperSOC ha rilevato tempestivamente un tentativo di movimento laterale verso i sistemi core di Novomatic Italia. L’escalation è avvenuta rapidamente, la risposta è stata coordinata e la minaccia è stata contenuta prima di generare qualsiasi impatto sulle operazioni critiche di business. Rilevamento, contenimento, risposta, supporto forensi e reporting: un ciclo completo gestito in modo efficace.

Come ha commentato Marcello David: “Ciò che è cambiato davvero con HWG Sababa è stata la qualità degli alert. Da semplice rumore, siamo passati a segnali significativi su cui potevamo realmente agire”.

A seguito di quell’episodio, Novomatic ha ulteriormente rafforzato la propria postura di sicurezza, introducendo Secure DNS per il rilevamento di query malevole sulla rete, estendendo i controlli di sicurezza API e ampliando la visibilità sui componenti infrastrutturali.

Un esempio concreto di come un incidente gestito correttamente – contenuto prima di diventare una crisi – diventi un’opportunità di miglioramento strutturale.

Dalla cyber security reattiva alla resilienza operativa: un cambio di paradigma

Il vero valore di questo caso non risiede nei singoli risultati tecnici, per quanto rilevanti. Risiede nel cambiamento di paradigma che rappresenta: la transizione da un modello di sicurezza reattivo, centrato sul volume degli alert, a un modello orientato ai risultati, integrato nella gestione del rischio aziendale.

Novomatic Italia non misura più il proprio SOC in termini di quanti alert vengono processati. Lo misura in termini di impatto degli incidenti, efficacia della risposta, resilienza complessiva. La cyber security è diventata una componente strutturale della governance aziendale, non una funzione tecnica separata.

Questa evoluzione riflette una tendenza più ampia che stiamo osservando nelle organizzazioni più mature: il CISO non è più solo un responsabile tecnico ma un interlocutore del board, che parla il linguaggio del rischio operativo e della continuità di business. E i partner tecnologici che supportano questo percorso non sono più semplici fornitori di strumenti, ma co-costruttori di resilienza.

Come ha sintetizzato Marcello David con una chiarezza che vale come principio guida: “La cyber security non può essere gestita come un dominio isolato. I team interni assicurano una profonda comprensione del contesto aziendale, mentre i partner esterni offrono visibilità sul panorama delle minacce. Entrambi sono essenziali per costruire resilienza”.

Continua Fabrizio Lucidi, System Engineer di Akito: “Tutto nasce dalla capacità di trasformare la sicurezza in un elemento strutturale del business. Progetti di questo tipo dimostrano che la cyber security efficace non si costruisce acquistando una tecnologia, ma creando un ecosistema in cui persone, processi e piattaforme che lavorano in modo coordinato. Il nostro ruolo è accompagnare i clienti in questo percorso, contribuendo a costruire capacità operative sostenibili nel tempo.”

Le prospettive future: AI, automazione e modello ibrido

Il percorso di Novomatic Italia non si ferma ai risultati già ottenuti. L’agenda futura include l’ottimizzazione ulteriore delle capacità di detection, l’introduzione di automazione selettiva a partire dagli endpoint e la valutazione di tecnologie SIEM di nuova generazione potenziate da funzionalità di intelligenza artificiale per l’analisi avanzata delle minacce.

L’approccio rimane ibrido: competenze interne e servizi SOC esterni in un modello che garantisce controllo operativo e visibilità sul panorama delle minacce. Non un outsourcing totale – che comporterebbe la perdita di quella conoscenza contestuale che è fondamentale in ambienti regolamentati e complessi – ma una partnership strutturata, in cui ciascun attore porta il proprio valore distintivo.

Il caso Novomatic insegna che la maturità di un programma di cyber security non si misura nella complessità degli strumenti adottati, ma nella coerenza con cui detection, risposta, governance e miglioramento continuo sono integrati in un sistema unico.

Scegliere i partner giusti, tecnologicamente solidi, complementari per competenze e capaci di evolvere insieme all’organizzazione, è una delle decisioni strategiche più impattanti che un CISO possa prendere. I numeri di Novomatic Italia lo confermano: meno rumore, più segnale, resilienza reale.

Contenuto editoriale realizzato in collaborazione con HWG Sababa.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Paolo Tarsitano
Editor Cybersecurity360.it

Ingegnere informatico, formatore, esperto di cyber security e consulente privacy. Da un po’ di tempo ormai condivide le sue conoscenze scrivendo e divulgando articoli di informatica e tecnologia per aiutare lettori e curiosi a costruirsi una coscienza critica sul mondo hi-tech che ci circonda. Cittadino digitale a tempo pieno, appena può si diverte con le altre due sue grandi passioni: il modellismo e i fumetti.

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Aziende

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Biosecurity, la progettazione di proteine con l'AI apre a rischi inediti

  • AI, dna e bioinformatica

    Biosecurity, la progettazione di proteine con l'AI apre a rischi inediti

    08 Ott 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi
  • Sextortion la GUIDA COMPLETA; Sextortion e responsabilità delle piattaforme: quando il danno diventa prevedibile

  • DSA e social

    Sextortion e responsabilità delle piattaforme: quando il danno diventa prevedibile

    23 Dic 2025

    di Tania Orrù

    Condividi
  • NIS2 referente CSIRT ACN; NIS2 e supply chain: un singolo fornitore compromesso può mettere a rischio un intero ecosistema; Non vedere è una responsabilità: le conseguenze del mancato monitoraggio nella NIS 2

  • l'approfondimento

    Non vedere è una responsabilità: le conseguenze del mancato monitoraggio NIS 2

    12 Mag 2026

    di Giuseppe Alverone e Monica Perego

    Condividi
  • Intelligenza artificiale settore Finance

  • CLUSIT SECURITY SUMMIT

    Intelligenza artificiale nel settore Finance: rischi e accorgimenti del “journey to AI”

    06 Nov 2025

    di Alessia Valentini

    Condividi
0
Lascia un commento, la tua opinione conta.x