Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

il caso

Dal rischio all’opportunità: come la certificazione ISO 27001 trasforma la cultura aziendale

Home Soluzioni aziendali
Indirizzo copiato

La ISO 27001 è un motore di crescita e non un vincolo formale. Come spiega il CISO Filippo Ghelfi di 40Factory, al convegno Cefriel, la certificazione ha trasformato lo sviluppo software e la gestione del rischio, aprendo nuove riflessioni anche sull’uso sicuro dell’AI nel manifatturiero

Pubblicato il 16 ott 2025
certificazione-ISO-27001-cybersecurity360

L’adozione di modelli di sicurezza strutturati non è più un’esigenza esclusiva delle grandi imprese.

Sempre più spesso, anche le scale-up industriali scelgono di integrare la cyber security come elemento strategico di crescita.

È il caso di 40Factory, azienda piacentina nata nel 2019 e specializzata nello sviluppo di soluzioni software per l’industria 4.0, che ha trasformato la certificazione ISO 27001 da mero requisito tecnico a leva di evoluzione organizzativa.

Il percorso è stato raccontato da Filippo Ghelfi, Chief Information Security Officer e Chief Technology Officer dell’azienda, nel corso del convegno L’insostenibile leggerezza dell’essere cyber vulnerabili nell’industria manifatturiera organizzato da Cefriel.

Cyber security industriale: dalla convergenza IT/OT alla normativa

La sicurezza come valore fondante dello sviluppo software

Per comprendere la portata del cambiamento, Ghelfi parte dal racconto della realtà che guida. «Siamo una scale-up nata nel 2019, oggi una realtà strutturata che sviluppa due prodotti software: uno dedicato all’IoT industriale – per la raccolta e l’analisi dei dati dei macchinari – e uno basato su sistemi RAG e agenti di Intelligenza Artificiale destinati agli stessi clienti, i costruttori di macchine».

L’attenzione alla sicurezza, spiega, non è nata come esigenza regolatoria ma come passo naturale nella maturazione aziendale. «Era diventato un imperativo affrontare in maniera più strutturata la cyber security. All’inizio con un’ottica di maggiore appetibilità commerciale, perché un cliente che acquista software è più tranquillo se si affida a un fornitore certificato secondo standard internazionali».

Ma ciò che inizialmente appariva come una scelta opportunistica si è trasformato in un vero e proprio cambio di paradigma. «Abbiamo scoperto che la certificazione ISO 27001 non è soltanto un sigillo da esibire, ma un modo per ripensare la gestione aziendale e lo sviluppo software in chiave di rischio e responsabilità condivisa».

Il passaggio a un approccio basato sul rischio

Il cuore della trasformazione, racconta Ghelfi, è stato l’adozione di un approccio risk-based. Il riferimento è alle norme ISO 27001 e ISO 27017, quest’ultima dedicata alla sicurezza nel cloud, che 40Factory ha integrato nei propri processi. «Il cambiamento in azienda nasce proprio da questo approccio basato sull’analisi del rischio. È stato apprezzato internamente e anche esternamente: ci ha aiutato a diventare più autorevoli agli occhi dei nostri clienti, che ci vedono come un partner in grado di accompagnarli nella trasformazione digitale».

La certificazione ha infatti imposto di rivedere in profondità le pratiche operative, dalla scrittura del codice alla messa in servizio del software, fino alla gestione post-deployment. Ogni fase è oggi supportata da procedure di controllo, verifica e tracciabilità che riducono la possibilità di vulnerabilità e migliorano la resilienza complessiva del prodotto.

Un processo tutt’altro che semplice per una realtà di dimensioni contenute: «Siamo un’azienda piccola, e affrontare la certificazione ISO 27001 in modo strutturato non era banale. Non potevamo semplicemente delegare a due consulenti esterni. È stato un lavoro intenso, ma che rifarei anche se non avesse avuto alcun ritorno commerciale».

La percezione della sicurezza da parte dei clienti industriali

Uno degli effetti più evidenti della certificazione, secondo Ghelfi, è stato il rafforzamento della fiducia dei clienti, in particolare dei costruttori di macchine industriali, un settore storicamente orientato alla produzione più che alla sicurezza informatica.

«I nostri clienti stanno vivendo una transizione digitale complessa», spiega. «Il nostro software rappresenta solo un tassello in un sistema articolato, ma il fatto di basarci su norme come la ISO 27001 rende il nostro contributo qualificato e distintivo».

La sicurezza diventa così un elemento di competitività: la capacità di dimostrare conformità e trasparenza nella gestione del rischio aiuta l’azienda a consolidare rapporti commerciali e a posizionarsi come interlocutore credibile anche nei mercati esteri. Allo stesso tempo, la metodologia ISO ha favorito una maggiore maturità interna, creando un linguaggio comune tra sviluppatori, responsabili IT e management.

L’intelligenza artificiale e il nuovo rischio operativo

Nel suo intervento, Ghelfi ha affrontato anche il tema dell’Intelligenza Artificiale generativa nel contesto delle tecnologie operative (OT). 40Factory sviluppa sistemi basati su Large Language Model (LLM) e sistemi RAG (Retrieval-Augmented Generation), già sperimentati dai clienti per ottimizzare i cicli macchina.

In alcuni casi, spiega, l’AI interviene direttamente nelle operazioni di produzione. «Abbiamo visto proof of concept in cui il sistema RAG suggerisce modifiche al programma di lavorazione per ridurre i tempi ciclo di una macchina utensile. Il sistema analizza documentazioni e best practice per ottimizzare il controllo numerico e migliorare l’efficienza produttiva».

Un’evoluzione che apre scenari interessanti, ma anche nuovi interrogativi sul piano della sicurezza operativa. «Tecnicamente oggi sarebbe già possibile avere un sistema con retroazione diretta, in cui l’output dell’agente AI genera un’azione automatica sul PLC. Non è un problema tecnologico: si può fare. Ma questo introduce un rischio informatico diverso, non necessariamente doloso, legato per esempio all’errore del software o all’allucinazione del modello».

In altre parole, la vulnerabilità non deriva sempre da un attacco esterno: può nascere da un comportamento imprevisto dell’AI che compromette la disponibilità del sistema. Ghelfi invita a considerare l’allucinazione non solo come una deviazione cognitiva del modello, ma come un rischio informatico concreto, potenzialmente in grado di fermare una linea produttiva.

La mitigazione, sottolinea, non deve per forza passare dal divieto di utilizzo. «Non è detto che la soluzione sia evitare queste tecnologie. Si possono sviluppare sistemi di validazione – basati su AI o su logiche tradizionali – che incanalino e riducano al minimo questo rischio».

ISO 27001 e AI: due facce della stessa sfida

La riflessione di Ghelfi unisce due dimensioni solo apparentemente distanti: la conformità normativa e l’innovazione tecnologica. La certificazione ISO 27001, con il suo impianto di controllo e analisi del rischio, diventa una base metodologica anche per affrontare le nuove vulnerabilità introdotte dall’intelligenza artificiale.

Il principio è lo stesso: identificare, valutare e mitigare i rischi prima che diventino incidenti.

Se nel cloud la sfida riguarda la gestione dei dati e degli accessi, nel mondo OT l’obiettivo è prevenire comportamenti imprevisti che possono compromettere la sicurezza di persone, processi e infrastrutture.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Mattia Lanzarone
Giornalista

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • NIS 2 e ISO 9001

  • la soluzione

    NIS 2 e ISO 9001: modello ibrido per la gestione integrata della qualità e della cyber security

    10 Dic 2024

    di Giuseppe Alverone e Monica Perego

    Condividi
  • Anac, Oiv, Rpct (e Dpo): focus sulle verifiche sulla trasparenza

  • data protection

    Trasparenza e privacy nei concorsi pubblici: c’è ancora qualcosa da sistematizzare

    09 Dic 2024

    di Pasquale Mancino

    Condividi
  • Vulnerabilità critica nel boot Linux

  • L'ANALISI TECNICA

    Vulnerabilità critica nel boot Linux: quando il male entra dalla porta principale

    09 Lug 2025

    di Sandro Sana

    Condividi
  • DeepSeek, ecco il lato oscuro dell'AI cinese

  • Gen aI open source

    DeepSeek, ecco il lato oscuro dell'AI cinese

    31 Gen 2025

    di Mirella Castigli e Alessandro Longo

    Condividi