Da un lato le imprese italiane aumentano gli investimenti in cybersecurity, dall’altro, le loro reale capacità di resistere alle minacce rimane fragile. Una nuova ricerca commissionata da Zscaler — società quotata al Nasdaq e specializzata nella sicurezza cloud — e condotta dall’istituto Sapio Research, fotografa un settore convinto di stare facendo abbastanza, ma esposto su fronti che spesso nemmeno considera prioritari. Il titolo dello studio, The Ripple Effect, evoca proprio quell’effetto a catena che trasforma una vulnerabilità apparentemente marginale in una crisi capace di paralizzare un’intera organizzazione. L’83% delle aziende italiane ha incrementato la spesa in resilienza informatica nell’ultimo anno. Un dato che potrebbe sembrare rassicurante, se non fosse accompagnato da un’altra cifra: più della metà delle stesse imprese, il 53%, continua a guardare verso l’interno, concentrandosi sulla protezione dei propri sistemi senza considerare adeguatamente i rischi che arrivano dall’esterno. Fornitori, partner commerciali, piattaforme di terze parti e tecnologie emergenti come l’intelligenza artificiale e il quantum computing restano zone d’ombra nelle strategie di sicurezza della maggior parte delle realtà intervistate.
Il problema non è teorico. Il 69% dei responsabili IT italiani si aspetta di subire, entro i prossimi dodici mesi, un’interruzione operativa significativa causata da un fornitore o da un partner esterno. Non si tratta di timori campati in aria: il 55% ha già vissuto un episodio simile nell’ultimo anno. Eppure, meno della metà delle aziende ha avviato aggiornamenti concreti alle proprie strategie per gestire proprio queste dipendenze da soggetti terzi, che il report identifica come uno dei punti ciechi più critici dell’intero sistema. Elena Accardi, Country Manager di Zscaler per l’Italia, individua nella natura stessa delle minacce moderne la ragione di questo disallineamento: le cause delle interruzioni operative oggi nascono spesso fuori dai confini aziendali. La vera resilienza, sostiene Accardi, deve abbracciare ogni anello della catena — dai partner tecnologici alle piattaforme software, fino alle supply chain — in modo da intercettare e assorbire gli impatti prima che si propaghino all’interno dell’organizzazione. Un approccio che Zscaler definisce “Resilient by Design” e che implica ripensare la sicurezza non come un perimetro da difendere, ma come una capacità distribuita di adattamento.
Il peso dei sistemi legacy e i nuovi rischi emergenti
A rendere il quadro più complesso contribuisce un paradosso infrastrutturale difficile da ignorare. L’86% delle aziende italiane continua ad affidarsi a sistemi legacy — firewall tradizionali, reti VPN, architetture di sicurezza perimetrale — che appartengono a un’epoca in cui le minacce avevano contorni ben diversi. Il 49% degli intervistati riconosce apertamente che la propria architettura IT attuale limita la capacità di reagire efficacemente a violazioni o malfunzionamenti. Si investe in resilienza, dunque, ma spesso su fondamenta che la resilienza stessa non riescono a garantirla. Il capitolo dedicato alle tecnologie emergenti è quello che rivela le lacune più profonde. Il 45% dei responsabili IT ammette che i propri sistemi di sicurezza non sono adeguati a fronteggiare minacce avanzate. Sul fronte dell’intelligenza artificiale, la situazione è particolarmente delicata: il 62% delle aziende dichiara di non avere visibilità sull’utilizzo della cosiddetta shadow AI — ovvero strumenti di intelligenza artificiale adottati in modo non ufficiale dai dipendenti — e il 47% teme che l’uso di applicazioni AI pubbliche possa portare all’esposizione di dati sensibili. Tra le imprese che stanno già implementando o testando sistemi di AI agentiva, il 35% non dispone di framework di governance solidi.
Ancora più sorprendente è il dato sul quantum computing. La crittografia post-quantistica, che rappresenta la risposta tecnica alla prospettiva di computer quantistici capaci di violare i sistemi di cifratura attuali, è ancora assente nelle strategie del 73% delle aziende italiane. Un ritardo che stride con la consapevolezza diffusa del problema: il 64% degli intervistati riconosce che i dati sottratti oggi potrebbero essere decifrati e sfruttati entro tre-cinque anni, nel momento in cui questa tecnologia diventerà accessibile.
Zscaler e le strategie per una sicurezza più evoluta
Sul tema della sovranità digitale, l’Italia mostra un ritardo rispetto ai principali partner europei che merita attenzione. La dipendenza da fornitori tecnologici stranieri — un tema diventato sensibile anche nel dibattito politico italiano e europeo, soprattutto dopo anni di discussioni su infrastrutture critiche e sicurezza delle telecomunicazioni — spinge le aziende a dover garantire il controllo diretto su dati, infrastrutture e processi operativi. A livello europeo, il 79% dei responsabili IT dichiara di star lavorando attivamente per mitigare questi rischi. In Italia, questa percentuale scende al 60%, il valore più basso tra le grandi economie del continente.
Marco Catino, Senior Manager per la Sales Engineering di Zscaler, mette in guardia dal rischio di paralisi decisionale: in un contesto geopolitico incerto, la cautela eccessiva negli investimenti digitali può trasformarsi in uno svantaggio competitivo strutturale. Le aziende più avanzate, osserva Catino, stanno già abbandonando le architetture centralizzate tradizionali in favore di modelli distribuiti che mettono al centro la localizzazione dei dati e la sovranità operativa, con configurazioni granulari capaci di adattarsi ai diversi requisiti normativi nazionali. Il 56% delle aziende italiane ha aggiornato la propria strategia di resilienza nell’ultimo anno per adeguarsi a normative nuove o in evoluzione, mentre il 65% lo ha fatto in risposta a regolamenti specifici come NIS2, DORA e GDPR. La compliance normativa, insomma, si conferma uno dei motori principali del cambiamento, anche quando la consapevolezza strategica fatica ad affermarsi da sola. Il report di Zscaler indica tre direzioni operative per chi intende affrontare questo scenario con un approccio più strutturato: dotarsi di una piattaforma unificata che garantisca visibilità end-to-end su tutti i punti di rischio, inclusi fornitori e supply chain; adottare un modello Zero Trust che separi la sicurezza dall’infrastruttura di rete, applicando il principio del privilegio minimo a ogni connessione; costruire un’architettura capace di integrare nuove funzionalità di sicurezza — dalla protezione dell’AI generativa alla crittografia post-quantistica — senza dover dismettere e ricostruire da capo i sistemi esistenti.
