La buona notizia è che le aziende italiane parlano sempre più spesso di cyber resilience.
La meno buona è che la cyber resilience continua a essere molto più diffusa nei piani, nelle procedure e nelle dichiarazioni di principio che nei risultati operativi.
È questa, in fondo, la fotografia che emerge dalla ricerca “Owning Operational Resilience in 2026” realizzata da ManageEngine su oltre 1.500 responsabili IT e business europei. Da un lato organizzazioni che hanno progressivamente strutturato processi, controlli e strumenti dedicati alla resilienza. Dall’altro criticità che continuano a emergere quando si passa dalla pianificazione alla gestione concreta degli incidenti.
Una distanza che Alessio Pennasilico, membro del comitato scientifico Clusit, legge come il segnale di un problema più profondo. Perché mentre tecnologie, normative e investimenti continuano ad aumentare, molte delle cause che alimentano gli incidenti restano sorprendentemente simili a quelle osservate da anni.
La cyber resilience cresce, gli incidenti restano frequenti
Di fatto, se la resilienza fosse soltanto una questione di procedure, molte organizzazioni potrebbero considerarsi già a buon punto.
La ricerca mostra infatti livelli elevati di attenzione verso backup, processi di revisione degli incidenti e governance della sicurezza. Eppure la frequenza con cui gli incidenti continuano a verificarsi suggerisce una realtà più complessa.
Il 66% delle organizzazioni italiane dichiara infatti di aver gestito almeno un incidente cyber negli ultimi dodici mesi. Solo il 34% afferma di non aver registrato eventi significativi nel periodo considerato. Tra gli episodi più ricorrenti figurano phishing e social engineering (48%), malware e ransomware (43%) e violazioni dei dati (39%).
Per Andrés Mendoza, Technical Director Southern Europe di ManageEngine, il dato evidenzia soprattutto quanto gli incidenti siano diventati una componente strutturale del contesto operativo in cui si muovono le aziende.
“Esistono due tipi di aziende: quelle che hanno già subito un attacco e lo sanno, e quelle che lo hanno subito senza accorgersene”, osserva il manager.
Ancora più interessante è però la dinamica con cui questi episodi si propagano all’interno delle organizzazioni. Soltanto il 14% degli incidenti rimane confinato a un singolo dispositivo o utente, mentre nell’84% dei casi l’impatto si estende a più sistemi, funzioni o processi aziendali. Un dato che restituisce l’immagine di organizzazioni sempre più interconnesse, nelle quali una vulnerabilità locale può rapidamente trasformarsi in un problema operativo più ampio.
Cyber Resilience: l’AI moltiplica la capacità offensiva
Dietro l’aumento degli incidenti osservato negli ultimi anni c’è però un elemento che sta modificando profondamente l’equilibrio tra attaccanti e difensori.
Secondo Pennasilico, la velocità con cui stanno crescendo gli episodi registrati a livello globale suggerisce l’ingresso di un fattore di accelerazione che va oltre la semplice espansione della digitalizzazione o della superficie di attacco. Nel 2025 gli incidenti cyber censiti a livello mondiale hanno superato quota 5.200, con una crescita del 49% rispetto all’anno precedente, mentre in Italia l’incremento si è attestato al 42%, per un totale di oltre 500 incidenti registrati.
“Qui dentro c’è sicuramente dell’uso di intelligenza artificiale per scrivere email migliori, trovare vulnerabilità in modo più efficace, sviluppare exploit e individuare sistemi esposti. È un salto che deve far riflettere su come affrontare il futuro, soprattutto nelle organizzazioni meno strutturate”, osserva Pennasilico.
L’intelligenza artificiale sta infatti contribuendo a ridurre tempi, costi e competenze necessari per preparare e condurre molte attività offensive. Un fenomeno che emerge anche dall’analisi di ManageEngine. Secondo Mendoza, gli effetti sono particolarmente evidenti nell’evoluzione delle campagne di phishing e social engineering.
“In passato il phishing era spesso generico e facilmente riconoscibile. Oggi gli attaccanti possono utilizzare dati provenienti da social network e piattaforme pubbliche per costruire messaggi altamente personalizzati e credibili.”
Cambiano gli strumenti, ma gli obiettivi restano gli stessi: sottrarre dati, compromettere account, interrompere attività operative o ottenere accessi privilegiati. La differenza è che molte di queste attività possono oggi essere preparate e personalizzate in tempi significativamente più rapidi.
Le persone restano il principale punto di vulnerabilità della cyber resilience
Nonostante la crescente sofisticazione tecnologica delle minacce, il fattore umano continua a occupare una posizione centrale.
La ricerca evidenzia che gli incidenti più gravi nascono spesso dalla combinazione di vulnerabilità tecniche, errori umani e carenze organizzative. L’errore umano rappresenta ancora uno dei principali fattori alla base degli eventi più critici.
Commentando queste evidenze, Pennasilico conferma: phishing, social engineering e cattiva gestione delle identità digitali continuano a rappresentare una quota rilevante degli incidenti.
“Stiamo parlando di problemi che conosciamo da trent’anni. Più della metà degli incidenti continua a essere causata da persone che cliccano su link, allegati o utilizzano dispositivi non adeguatamente gestiti. Forse la strategia applicata fino a oggi non sta funzionando come dovrebbe.”
Per questo Mendoza insiste sulla necessità di affiancare alle tecnologie programmi di formazione e sensibilizzazione continui.
“Le persone devono comprendere perché vengono adottate determinate regole e restrizioni. La consapevolezza e la formazione sono importanti quanto gli strumenti tecnologici.”
Dalla cybersecurity alla resilienza operativa
Gli effetti di un incidente raramente si fermano ai sistemi informatici. Quando vengono coinvolti produzione, logistica, customer service o supply chain, il tema smette rapidamente di essere una questione tecnica: le decisioni da prendere riguardano priorità operative, allocazione delle risorse, gestione del rischio e continuità del business. Temi che difficilmente possono essere confinati all’interno dei dipartimenti IT.
Eppure la ricerca mostra come il coinvolgimento del management resti spesso legato alle situazioni di crisi più che a un lavoro continuo di preparazione e coordinamento.
“La domanda è quanto siamo preparati a rilevare un incidente, rispondere rapidamente e recuperare le attività con il minimo impatto sul business”, osserva Sujoy Banerjee.
Una prospettiva che porta la resilienza fuori dal perimetro tecnologico e la colloca sempre più vicino ai temi della governance aziendale.
Backup e procedure esistono, ma la velocità di recupero resta una sfida
La ricerca restituisce anche l’immagine di organizzazioni che stanno progressivamente strutturando i propri meccanismi di risposta agli incidenti.
Backup, procedure di recovery, attività di revisione e analisi post evento fanno ormai parte del patrimonio operativo di molte aziende. Segnali di una maturità che appare sensibilmente cresciuta rispetto al passato.
La resilienza, tuttavia, si misura soprattutto nel momento in cui occorre riportare il business alla normalità.
Ed è qui che il quadro si fa più articolato. I tempi di recupero continuano a rappresentare una sfida importante e mostrano quanto il ripristino delle attività dipenda da fattori che vanno oltre la componente tecnologica: coordinamento tra funzioni, disponibilità delle competenze, processi decisionali e capacità di gestione della crisi.
“La vera misura della resilienza è quanto rapidamente un’organizzazione riesce a ripristinare servizi, dati, processi e attività operative”, osserva Mendoza.
