Digitalizzazione diffusa, adozione accelerata del cloud nelle sue diverse forme e apertura degli ecosistemi a partner e fornitori stanno guidando una trasformazione profonda delle infrastrutture delle aziende italiane, indipendentemente da dimensioni e settore. Architetture ibride e sempre più distribuite, sulle quali si sono innestate nel tempo esigenze eterogenee e spesso sviluppate in modo disomogeneo, stanno raggiungendo un livello di complessità difficile da identificare, governare e proteggere. Garantire la continuità operativa richiede oggi che la sicurezza informatica sia parte integrante di ogni ambiente che compone la struttura aziendale, sia essa centralizzata o frammentata. In questa prospettiva emerge il valore dei SOC (Security Operations Center), strutture dedicate al monitoraggio, alla prevenzione e alla gestione degli incidenti di sicurezza. I SOC rappresentano un presidio organizzato e costante a difesa delle architetture IT, trasformando la frammentazione in processi gestibili attraverso tecnologie, competenze specialistiche e modelli di servizio sempre più evoluti.
Alla crescita degli attacchi informatici e all’inasprimento del quadro normativo si affianca così la risposta di vendor internazionali e system integrator, realtà locali che hanno investito nella creazione di propri Security Operations Center distribuiti sul territorio o che offrono servizi SOC gestiti alle imprese italiane. Un impegno che sta ridisegnando l’offerta e aprendo nuove possibilità di adozione per le aziende, chiamate a valutare soluzioni sempre più integrate e difficili da gestire internamente.
In questo scenario, SergenteLorusso ha avviato un approfondimento strutturato per fotografare lo stato dei SOC in Italia, analizzando scelte tecnologiche e organizzative dei fornitori e il livello di consapevolezza delle imprese. Un’indagine pensata per aiutare le aziende a capire come gestire un incidente di sicurezza e a chi rivolgersi nel momento del “panico da attacco”.
Perché un SOC oggi? Perché l’azienda non può permettersi di fermarsi!
Iniziamo dalla base. L’obiettivo di un Security Operations Center è garantire continuità operativa e proteggere la reputazione aziendale anche nel caso e nel momento in cui si dovesse verificare un incidente di sicurezza. Il SOC nasce infatti proprio per assicurare che il business non si fermi, trasformando la gestione dell’emergenza in un processo governato e misurabile.
I dati nazionali confermano l’urgenza. Nel 2024 il CSIRT Italia (Computer Security Incident Response Team), sotto la guida dell’Agenzia per la Cybersicurezza Nazionale, ha gestito 1.979 eventi di sicurezza e 573 incidenti, con una crescita del 40% e del 90% rispettivamente rispetto all’anno precedente. Indicatori che evidenziano un aumento sia della capacità di rilevazione sia della frequenza con cui le minacce riescono a trasformarsi in veri e propri incidenti.
Qualche dato sull’emergenza. In 6 mesi gli attacchi passano dal 27 al 36%
Di lavoro da fare ce n’è sempre. E in Italia sta crescendo. Nel 2024, secondo il Rapporto Clusit, sono stati registrati a livello mondiale oltre 3.500 attacchi informatici gravi, in aumento del 27% rispetto all’anno precedente. Di questi, circa il 10% ha avuto come bersaglio realtà italiane, con 357 incidenti di particolare gravità, cresciuti del 15% rispetto al 2023. Un dato che, da solo, colloca l’Italia tra i Paesi più esposti in Europa, nonostante la dimensione più contenuta del suo mercato digitale rispetto a quello di Germania o Francia.
Dati che ormai Clusit stesso già archivia fornendo fresco fresco l’aggiornamento al primo half di quest’anno, che dal 27% sopra citato, eleva a un sempre più allarmante 36% l’aumento degli attacchi a livello globale.
Giusto per chiarire il tipo di pressione a cui oggi sono sottoposti i Security Operation Center in Italia, basta segnalare il tasso e la velocità della crescita degli attacchi, che solamente nel primo semestre 2025 ha contato 2.755 attacchi gravi, praticamente 459 incidenti al mese contro i 300 circa dello stesso periodo dell’anno precedente. Il cyber crime è autore dell’87% di questi episodi, confermando il successo di un modello criminale interamente orientato al profitto e ormai strutturato come un settore industriale. In questo scenario, l’Europa concentra un quarto degli incidenti mondiali e l’Italia segue una traiettoria allineata alla tendenza continentale, con sanità, industria e trasporti tra i comparti più colpiti. Oltre alla frequenza, preoccupa la severità di questi attacchi, con l’82% di questi che ha avuto impatti classificati come “high” o “critical”, un dato che sottolinea quanto i SOC si trovino oggi a dover gestire non solo più eventi, ma campagne più sofisticate e distruttive, dove le tecniche prevalenti sono i malware, soprattutto ransomware, e sfruttamento di vulnerabilità e DDoS.
A confermare il quadro di vulnerabilità diffusa, l’Osservatorio Cyber 2024 di CRIF, società italiana specializzata in analisi dei dati e sistemi di informazione creditizia, ha rilevato oltre 2,08 milioni di segnalazioni relative all’esposizione di dati personali e aziendali nel dark web, con un incremento del 15,4% rispetto al 2023. L’Italia si colloca al quinto posto al mondo per indirizzi e-mail compromessi e al diciottesimo per dati di carte di credito esposti. Le regioni più colpite sono Lazio, Lombardia, Sicilia e Campania, mentre quasi un utente su due ha ricevuto almeno un avviso di compromissione dei propri dati nel corso dell’anno.
Gli obblighi normativi
A questo quadro di recrudescenza degli attacchi si sommano le pressioni normative cui le aziende devono rispondere. Con il recepimento della direttiva NIS2 attraverso il D.Lgs. 138/2024, entrato in vigore il 16 ottobre 2024, le imprese italiane che operano in settori considerati essenziali o importanti sono chiamate a rafforzare i presidi di sicurezza e a dotarsi di strumenti organizzativi e tecnologici adeguati. Senza parlare del sempre in vigore GDPR sulla garanzia e tutela dei dati e della privacy e DORA per quanto riguarda gli ambienti finanziari.
Le potenzialità del mercato SOC in Italia
Aumento degli attacchi, adozione di architetture cloud ibride e l’entrata in vigore di normative come NIS2 e DORA stanno quindi dando carburante al mercato della sicurezza IT. Secondo l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, nel 2024 la spesa complessiva in sicurezza informatica in Italia ha raggiunto 2,48 miliardi di euro, con una crescita del 15% rispetto al 2023. I servizi gestiti di sicurezza rappresentano ormai circa il 41% della spesa delle grandi organizzazioni, segno di un progressivo spostamento verso modelli di outsourcing operativo.
In questo scenario, il segmento dei Managed Security Operations Center (SOC), che comprende le attività di monitoraggio, rilevamento e risposta agli incidenti, si colloca tra i comparti più dinamici. Sulla base dei dati dell’Osservatorio del Politecnico e delle proiezioni di Ken Research il valore del mercato italiano dei servizi SOC e MDR (Managed Detection and Response) può essere oggi stimato tra 300 e 600 milioni di euro, all’interno del più ampio perimetro dei servizi di sicurezza gestiti.
Secondo la ricerca di Ken Research, il mercato nazionale dei Managed Security Services è destinato a superare 1,18 miliardi di dollari entro il 2029, con un tasso medio annuo di crescita superiore all’8%. E al suo interno la componente SOC cresce, con il presidio continuo richiesto dall’aumento di complessità degli ambienti IT e OT e la difficoltà delle imprese a reperire competenze specialistiche che remano in suo favore.
L’Osservatorio del Politecnico conferma che il 44% dei CISO italiani ritiene insostenibile nel medio periodo un presidio completamente interno delle operation di sicurezza, preferendo modelli ibridi o pienamente gestiti. Si prospetta quindi un mercato in forte accelerazione, con l’adozione di SOC gestiti, potenziati da automazione e intelligenza artificiale che è destinata a diventare uno degli assi portanti della sicurezza aziendale nei prossimi cinque anni.
Cos’è un SOC (e cosa non è)
Un Security Operations Center è il presidio operativo dove si concentra la capacità di un’organizzazione di rilevare, analizzare e rispondere alle minacce informatiche. Difficile definirlo semplicemente come strumento tecnologico, essendo costituito da un insieme coordinato di persone, processi e piattaforme, concertate in modo da garantire un monitoraggio continuo e una gestione strutturata degli incidenti sulle strutture e clienti cui è chiamato a rispondere.
La funzione primaria di un SOC è il monitoraggio continuo dei sistemi, dalla raccolta e correlazione dei log provenienti da endpoint, reti, cloud e ambienti OT, fino all’attivazione dei processi di risposta. In questo contesto rientrano funzioni come la detection automatizzata, l’attività di triage (valutazione e prioritizzazione iniziale degli allarmi) e di investigazione, la gestione del contenimento e del ripristino dei sistemi, ma anche attività più proattive come il threat hunting e l’analisi di intelligence sulle nuove campagne di attacco.
Le diverse sfumature di un SOC
Esistono diversi modelli organizzativi, che si differenziano per livello di controllo e grado di esternalizzazione. Alcune realtà mantengono un SOC interno, con team dedicati e piena proprietà dei dati, mentre altre optano per soluzioni gestite da fornitori esterni, sotto forma di servizi MDR (Managed Detection and Response) o XDR (Extended Detection and Response).
I Managed Security Service Provider e i system integrator offrono a loro volta SOC in outsourcing, dove integrano componenti multi-vendor e possono adattarsi alle esigenze di settori specifici.
Un’ulteriore evoluzione è rappresentata dai cosiddetti cyber fusion center, che uniscono le funzioni tipiche del SOC a quelle di gestione del rischio, della protezione del brand e della prevenzione delle frodi, creando un presidio allargato capace di dialogare direttamente con il business.
È importante distinguere il SOC da altre strutture di sicurezza, come i CERT (Computer Emergency Response Team) o i CSIRT (Computer Security Incident Response Team). Questi ultimi hanno spesso un ruolo di coordinamento, analisi e supporto alla comunicazione istituzionale, mentre il SOC si concentra sul garantire l’operatività continua alle aziende clienti, rilevando gli attacchi in tempo reale, contenendo l’impatto e riportando i sistemi in condizioni sicure.
LEGGI ANCHE: Security Operations Center (SOC): cos’è e perché averne uno in azienda
Breve storico dei SOC in Italia
L’evoluzione dei Security Operations Center in Italia è relativamente recente ma segnata da alcune tappe importanti che hanno contribuito a definire lo scenario attuale.
Un punto di partenza risale al 2014, quando Leonardo inaugurò il SOC di Chieti. Nato per rispondere alle esigenze di difesa e protezione delle infrastrutture critiche nazionali, questo centro è diventato negli anni un riferimento internazionale, sia per le capacità tecnologiche sia per la profondità delle competenze sviluppate. La sua creazione ha segnato un passaggio importante: l’Italia si è dotata di un presidio stabile e riconosciuto, capace di gestire minacce complesse e di garantire un livello di protezione avanzato per contesti altamente sensibili.
Negli anni successivi il mercato si è progressivamente ampliato, e dal 2022 in avanti si è assistito a una forte accelerazione guidata in particolare dal mondo Telco e dai Managed Service Provider. Fastweb ha avviato SOC operativi a Milano e Bari, attivi 24 ore su 24, diventando uno dei protagonisti nella gestione di grandi volumi di eventi di sicurezza e fornendo contributi rilevanti anche ai report nazionali, come quelli del Clusit.
Il 2024 ha visto un ulteriore passaggio di maturità con l’apertura a Milano del Cyber Fusion Center di Accenture, che rappresenta un hub non solo per i servizi gestiti, ma anche per attività di threat intelligence e gestione dell’identità. Un modello in cui la sicurezza non è più confinata alla rilevazione degli incidenti ma diventa parte di un ecosistema di resilienza e di gestione del rischio, collegando direttamente gli aspetti tecnici a quelli organizzativi e di business.
In in poco più di un decennio l’Italia è così passata da una capacità inizialmente limitata a poche grandi realtà a un panorama più variegato, dove operatori nazionali e internazionali hanno contribuito a consolidare una rete di SOC diffusa e in continua crescita.
Architettura di riferimento di un SOC
Un Security Operations Center non è soltanto un presidio organizzativo, ma un insieme strutturato di componenti tecnologiche che devono dialogare in modo coerente per garantire efficacia e rapidità di risposta. La sua architettura tipica si basa su più livelli, ognuno dei quali contribuisce a trasformare i dati grezzi in azioni di difesa.
Il primo passaggio è quello dell’ingest e della normalizzazione, in cui vengono raccolti e uniformati i log provenienti da fonti eterogenee: endpoint, reti, sistemi cloud, servizi di identità e, sempre più spesso, ambienti OT e ICS legati alla produzione. Solo una raccolta esaustiva e omogenea dei dati consente di avere una visione completa delle superfici di attacco.
La fase di detection si basa sull’utilizzo di piattaforme SIEM (Security Information and Event Management), come Splunk, Elastic o QRadar, affiancate da sistemi UEBA (User and Entity Behavior Analytics) per l’analisi comportamentale degli utenti, NDR (Network Detection and Response) per la rilevazione in rete ed EDR/XDR (Endpoint Detection and Response/ Extended Detection and Response) per il controllo degli endpoint. In scenari avanzati entrano in gioco anche tecniche di sandboxing per l’analisi dinamica dei file sospetti e soluzioni di deception per attirare e monitorare gli attaccanti in ambienti controllati.
Il livello successivo è quello dell’automazione, dove entra in gioco il SOAR (Security Orchestration, Automation and Response). Attraverso playbook predefiniti, spesso modellati sul framework MITRE ATT&CK, che classifica tattiche e tecniche degli attaccanti, è possibile gestire in modo automatico una parte consistente degli allarmi, riducendo i tempi di risposta e liberando risorse preziose per le attività più complesse. L’integrazione con strumenti di IT service management come ServiceNow o Jira consente inoltre di tracciare e governare l’intero ciclo di vita degli incidenti.
La threat intelligence rappresenta un altro pilastro dell’architettura. I SOC integrano feed commerciali, fonti open source e capacità di Cyber Threat Intelligence proprietarie, spesso supportate da piattaforme TIP o MISP. In Italia, la collaborazione con l’Agenzia per la Cybersicurezza Nazionale e con le community settoriali rafforza ulteriormente la capacità di individuare rapidamente campagne e attori malevoli.
Sul piano operativo, le funzioni di response vanno dal contenimento remoto fino agli interventi di Incident Response on-site, con attività di forensics e analisi post-incident mirate a migliorare continuamente le capacità di detection e a costruire una memoria organizzativa utile per prevenire futuri attacchi.
Infine, la governance consente di misurare e certificare l’efficacia del SOC. Indicatori come il Mean Time To Detect (MTTD), il Mean Time To Respond (MTTR), la percentuale di automazione e la fedeltà degli alert permettono di valutare con precisione le prestazioni. A questi si aggiungono i requisiti di compliance, che vanno dalle certificazioni ISO 27001 e SOC 2 fino a standard specifici come PCI-DSS, nei casi in cui vengano gestiti dati legati ai pagamenti.
Glossario essenziale “da board” e intervento SOC
Un SOC non è fatto soltanto di tecnologie e processi: per i decisori aziendali è fondamentale comprendere il linguaggio con cui vengono descritte le minacce e le modalità con cui queste vengono affrontate. Un glossario sintetico, ma mirato, aiuta il board e il top management a dialogare in modo efficace con i responsabili della sicurezza, facendo chiarezza sui rischi reali e sulle contromisure operative.
- Ransomware – È una delle minacce più diffuse e dannose. Si tratta di un software malevolo che cifra i dati aziendali per poi richiedere un riscatto. Oggi i gruppi criminali usano tattiche di doppia o tripla estorsione, minacciando non solo di bloccare i sistemi ma anche di diffondere i dati rubati o di attaccare i partner della vittima. In un SOC, il ransomware viene intercettato attraverso indicatori specifici nella kill chain, monitorando anomalie nei comportamenti degli endpoint, nella rete e nei flussi di accesso.
- Business Email Compromise (BEC) – Un attacco basato sul social engineering che sfrutta l’identità digitale e la posta elettronica per frodare l’azienda. Gli aggressori imitano dirigenti o fornitori per convincere i dipendenti a effettuare bonifici o condividere informazioni riservate. Un SOC rileva questi pattern grazie all’analisi delle anomalie nei flussi di autenticazione e nei comportamenti della posta elettronica.
- DDoS (Distributed Denial of Service) – Attacco che mira a rendere indisponibili servizi o siti web saturando le risorse di rete o le applicazioni. Può essere volumetrico o mirato al livello applicativo. Un SOC monitora i flussi e attiva sistemi di mitigazione in grado di deviare o filtrare il traffico malevolo.
- Supply Chain Attack – Un attacco che colpisce non direttamente l’azienda, ma uno dei suoi fornitori di software o servizi. Questo rende vulnerabili intere catene di valore. Nei SOC, la supply chain viene monitorata integrando i feed di threat intelligence e controllando le dipendenze software e le configurazioni dei partner tecnologici.
- Zero-day / Living-off-the-land – Il primo termine indica vulnerabilità non ancora note al vendor, sfruttate dagli attaccanti prima che venga rilasciata una patch. Il secondo riguarda l’uso malevolo di strumenti già presenti nei sistemi (come PowerShell o WMI), difficile da distinguere da attività legittime. Il SOC deve combinare threat intelligence e analisi comportamentali per individuare questi segnali.
- OT/ICS (Operational Technology / Industrial Control Systems) – Ambiti legati alla produzione industriale e alle infrastrutture critiche, dove un incidente informatico può avere impatti diretti sulla sicurezza fisica e sulla continuità produttiva. In questi contesti, i SOC devono integrare log e telemetrie tipiche dei sistemi industriali, unendo competenze IT e OT.
Questo glossario ovviamente non esaurisce la complessità, crescente, delle minacce, ma fornisce una base comune per comprendere i termini ricorrenti nelle discussioni con i fornitori SOC. Sapere come queste minacce vengono intercettate e quali domande porre ai partner tecnologici può essere certamente d’aiuto al board per valutare meglio l’efficacia dei servizi offerti.
Vendor SOC: cosa li rende diversi e come valutarli
I fornitori internazionali, siano essi vendor o società di consulenza con reti di SOC distribuite in più Paesi, si distinguono per un approccio strutturato che unisce tecnologie, processi e metriche in un modello di sicurezza misurabile e scalabile. La loro forza risiede nella capacità di combinare piattaforme proprietarie con integrazioni multi-vendor, scalabilità su più mercati e metriche di performance dettagliate, pensate per offrire ai clienti visibilità e garanzie misurabili.
Molti vendor mettono al centro la propria piattaforma nativa, spesso basata su soluzioni XDR sviluppate internamente. Questa telemetria proprietaria raccoglie dati da endpoint, rete e identità con un alto livello di dettaglio, ma al tempo stesso si apre all’integrazione con strumenti terzi come SIEM, SOAR o piattaforme di Threat Intelligence. La possibilità di orchestrare ecosistemi complessi è proprio ciò che rende i vendor competitivi anche su scenari aziendali eterogenei.
Un altro elemento distintivo è l’approccio follow-the-sun, che assicura la copertura h24 grazie a una rete di centri operativi distribuiti in diverse aree geografiche. Questa modalità permette di gestire gli incidenti senza interruzioni, ma viene bilanciata dalla presenza di team locali, indispensabili per garantire tempestività negli interventi in Italia e una comunicazione continua con i clienti.
Un ruolo importante nella valutazione dei vendor SOC è dato alle metriche, che sono la base per misurare l’efficacia operativa e la qualità del servizio. Gli indicatori più richiesti sono la copertura delle detection in base al framework MITRE ATT&CK, utile per capire quanto il servizio riesca a individuare le diverse tattiche e tecniche di attacco, e la percentuale di eventi gestiti in automazione, parametro che riflette il livello di maturità dei processi di risposta.
Altri aspetti comprendono poi il time-to-contain medio per categoria di incidente, che misura la velocità con cui un evento viene isolato e neutralizzato, la retention dei log, determinante per le attività di analisi forense e di compliance, e la gestione della data residency, particolarmente importante per le aziende italiane che devono garantire la conservazione dei dati in conformità alle normative locali e ai principi di sovranità del dato.
L’offerta dei system integrator e degli MSSP in Italia
Se i vendor internazionali portano sul mercato piattaforme e tecnologie proprietarie, sono spesso i system integrator a trasformarle in soluzioni operative per le imprese italiane. La loro particolarità sta nel ricoprire una doppia veste: da un lato sono owner delle tecnologie che scelgono di adottare e integrare nei propri SOC, assumendo il ruolo di clienti e partner certificati dei vendor; dall’altro diventano fornitori primari verso le aziende, offrendo servizi gestiti, consulenza e capacità di risposta calata sulla conoscenza approfondita del contesto locale.
In qualità di partner certificati, i system integrator non si limitano a rivendere le soluzioni di sicurezza, ma ne assumono la responsabilità diretta. Il che significa investire in team di professionisti “diplomati” sulle piattaforme principali – dai SIEM ai sistemi di orchestrazione SOAR, fino alle soluzioni EDR/XDR – e garantire la piena conformità agli standard richiesti dai vendor.
Il possesso delle principali certificazioni rilasciate dai vendor consente loro di modellare i SOC secondo i requisiti tecnici e di compliance del mercato italiano, favorendo al tempo stesso l’integrazione con strumenti di terze parti.
Allo stesso tempo, i system integrator si pongono come interfaccia diretta per i clienti, soprattutto in quei settori dove la prossimità territoriale e la verticalità di settore possono fare la differenza. Gestire un SOC significa infatti offrire monitoraggio continuo, risposta agli incidenti e attività di consulenza che vanno dal disegno dei processi di detection engineering fino agli esercizi di tabletop, ossia le simulazioni di incidenti di sicurezza, con il top management.
Ed è qui evidenzia il valore aggiunto, in una combinazione di tecnologia e servizio, che riesce ad adattarsi ad ambienti complessi e assicurare una relazione diretta con le aziende.
Questa doppia funzione di partner dei vendor e di gestore del SOC per i clienti finali rende i system integrator un punto di riferimento importante nel panorama italiano della cybersecurity. Sono loro, infatti, a scegliere quali piattaforme adottare, a investire nella certificazione delle competenze necessarie per integrarle e a trasformarle in servizi operativi, assicurando continuità e resilienza alle aziende che li scelgono.
Competenze per lavorare in un SOC
Un Security Operations Center è fatto di tecnologie, processi e metodologie, ma a renderlo realmente efficace sono le persone che vi lavorano. Le competenze richieste sono varie e devono coprire sia la dimensione tecnica sia quella relazionale e organizzativa. Lavorare in un SOC significa infatti operare in un contesto ad alta pressione, dove ogni decisione può avere un impatto diretto sulla continuità del business dei clienti. Un’alta responsabilità insomma.
All’interno di un SOC i ruoli si articolano su diversi livelli. Gli analisti di livello 1 sono i primi a intercettare gli allarmi, filtrano i falsi positivi e avviano le escalation.
Gli analisti di livello 2 approfondiscono i casi sospetti, investigano sugli indicatori di compromissione e conducono analisi contestuali.
Gli specialisti di livello 3 sono responsabili del detection engineering, delle attività di Incident Response avanzata e delle indagini di forensics.
Accanto a questi profili si trovano i threat hunter, che non aspettano i segnali d’allarme ma ricercano in maniera proattiva tracce di attività malevole, e i SOC manager, che coordinano i team, definiscono priorità e mantengono il collegamento con le funzioni aziendali di governance e compliance.
Le competenze tecniche richieste sono diverse e vanno dalla conoscenza delle reti e dei protocolli alla gestione delle identità e degli accessi, dalle piattaforme cloud agli strumenti di EDR/XDR, fino alla capacità di scripting e automazione.
Un bagaglio tecnico che deve essere completato da solide basi di analisi degli eventi di sicurezza e da familiarità con framework come MITRE ATT&CK (un modello di riferimento internazionale, definito dall’organizzazione no-profit Mitre che descrive le fasi, le tattiche e le tecniche utilizzate dagli attaccanti, definendo così una base comune per la rilevazione, l’analisi e la difesa dagli attacchi – ndr) indispensabili per tradurre i segnali di minaccia in schemi riconoscibili e replicabili.
Accanto a queste competenze “hard”, un SOC richiede anche uno zaino di soft skill non meno importanti che includono la capacità di comunicare in modo chiaro con i diversi interlocutori, dal tecnico al manager; la gestione dello stress, dal momento che i turni di lavoro e l’intensità delle attività non consentono margini di distrazione e, non ultima, l’attitudine a lavorare in team, visto che l’efficacia del servizio dipende dalla condivisione costante delle informazioni.
Il percorso professionale all’interno di un SOC è supportato anche dalle certificazioni, rilasciate da enti internazionali, molti dei quali senza scopo di lucro.
Tra le più richieste si trovano la Security+, rilasciata da CompTIA, che certifica le conoscenze di base in materia di sicurezza informatica, e le certificazioni GIAC (come GSEC, GCIA, GCED e GCFA), emesse dal Global Information Assurance Certification, che validano competenze specifiche in ambiti quali la gestione della sicurezza, l’analisi delle intrusioni, la risposta agli incidenti e la digital forensics.
A queste si affiancano titoli focalizzati sull’attacco simulato e sulla difesa delle reti, come il CEH (Certified Ethical Hacker) e il CND (Certified Network Defender), entrambi rilasciati da EC-Council, che attestano la capacità di individuare vulnerabilità e proteggere le infrastrutture da minacce reali.
Per i ruoli di maggiore responsabilità entrano poi in gioco certificazioni di governance come CISM (Certified Information Security Manager), rilasciata da ISACA, e CISSP (Certified Information Systems Security Professional), gestita da (ISC)², che qualificano i professionisti che alle competenze tecniche associano buona parte consulenziale e strategica nella gestione della sicurezza aziendale.
La domanda di competenze in Italia
Se la dimensione tecnologica dei SOC è in continua evoluzione, il vero elemento critico è oggi proprio la disponibilità di competenze. In Italia la richiesta di figure specializzate in cybersecurity cresce a un ritmo che il mercato del lavoro fatica a sostenere, creando uno squilibrio che pesa tanto sulle aziende quanto sugli stessi fornitori di servizi.
Secondo le previsioni Excelsior–Unioncamere per il periodo 2025–2029, le professioni ICT manterranno un trend di crescita costante, con una domanda che riguarda sia i profili di sicurezza sia quelli legati allo sviluppo software e al cloud. Il disallineamento medio tra assunzioni programmate e competenze disponibili è vicino al 50%. Praticamente, quasi una ricerca su due rischia di rimanere scoperta.
La carenza di skill digitali non è solo un problema numerico ma anche qualitativo. Mancano competenze verticali, come quelle necessarie per gestire scenari OT/ICSsdi sistemi di controllo industriale, o per integrare i sistemi di detection nei contesti multi-cloud, e servono figure che sappiano operare trasversalmente tra tecnologia e governance. Per i SOC italiani, questo significa affrontare la difficoltà di costruire turni completi, garantire specializzazioni di livello 2 e 3 e trattenere i talenti in un mercato che offre loro sempre nuove opportunità.
Anitec-Assinform stima che il mercato digitale italiano abbia raggiunto nel 2024 un valore di 81,6 miliardi di euro, con una crescita del 3,7% e con la cybersecurity tra i principali motori di sviluppo. Una crescita che stimola ulteriormente la domanda di professionalità dedicate, confermando la sicurezza come settore trainante nell’economia digitale del Paese.
Il quadro si completa con altri dati del Clusit, che per il 2025 hanno beneficiato anche dei contributi provenienti dai SOC italiani, come quello di Fastweb, che nel 2024 ha osservato oltre 69 milioni di eventi di sicurezza.
Numeri che testimoniano la centralità dei SOC come osservatori privilegiati delle minacce, ma che allo stesso tempo rendono evidente la necessità di disporre di analisti numerosi e qualificati, capaci di trasformare l’enorme mole di dati raccolti in insight operativi.
Come scegliere un fornitore SOC
Per le aziende italiane che stanno valutando l’adozione di un SOC, la cosa più importante è trovare il partner giusto, quello che meglio si adatta alle proprie esigenze e che oltre alla bontà della tecnologia che impiega sia in grado di garantire continuità operativa, conformità normativa e un livello di servizio che sia misurabile nel tempo.
Un primo criterio riguarda la copertura. Un SOC efficace deve riuscire a monitorare l’intero perimetro digitale dell’azienda, dai sistemi IT tradizionali, agli ambienti cloud, le identità, le applicazioni as a service e, sempre più spesso, gli ambienti OT legati alla produzione. Riuscire a integrare tutti questi domini in una vista unica consente infatti di intercettare anche attacchi trasversali e catene di compromissione complesse.
Un altro elemento decisivo è la definizione di SLA e SLO (service level objective) chiari. Parametri come il Mean Time To Detect (MTTD), il Mean Time To Respond (MTTR), il time-to-contain e la copertura oraria devono essere contrattualizzati e verificabili. Questi indicatori sono il modo più diretto per misurare l’efficacia del fornitore e consentono alle aziende di valutare le performance nel tempo.
In questi contesti, anche la trasparenza è importante e può diventare un elemento di scelta. I fornitori più maturi condividono i propri playbook, illustrano in modo chiaro le capacità di rilevazione delle minacce secondo i canoni definiti internazionali e forniscono report esecutivi pensati non solo per i team tecnici, ma anche per il board aziendale.
Sul fronte della compliance, la presenza di certificazioni come ISO 27001 o SOC 2, la gestione della data residency e la retention dei log sono indispensabili per rispondere ai requisiti normativi e settoriali, soprattutto alla luce della NIS2.
Accanto a questi aspetti, è poi importante valutare la disponibilità di esercitazioni congiunte, come tabletop, red team o purple team, che permettono di testare realmente i processi e la capacità di risposta agli incidenti valutandone gli effetti sul business. Attività che hanno anche il merito di coinvolgere la direzione aziendale, creando una maggiore consapevolezza organizzativa.
Infine, il valore di un fornitore SOC si misura anche nelle persone, dal numero di analisti dedicati per cliente, ai programmi di formazione continua, la gestione della turnazione e le iniziative a supporto della qualità del lavoro. Un SOC infatti non è mai soltanto tecnologi ma è il risultato di un equilibrio tra strumenti avanzati e professionisti motivati, capaci di sostenere la resilienza delle imprese nel tempo.
Viaggio nei SOC italiani: progetti, esperienze, prospettive
Dopo aver analizzato obiettivi, modelli organizzativi, competenze e scenari di mercato, la redazione di SergenteLorusso ha scelto di dare voce diretta agli attori che oggi operano con un proprio Security Operations Center in Italia.
Raccontare la genesi dei progetti, gli obiettivi perseguiti e le modalità con cui vengono erogati i servizi consente di avvicinare i lettori a casi concreti, mostrando come teoria e pratica si intreccino nella gestione quotidiana della sicurezza.
Questa sezione è pensata come un archivio vivo, in costante aggiornamento. Ogni SOC profilato viene presentato con un abstract sintetico dell’intervista realizzata, evidenziando i punti chiave dell’offerta e il contesto in cui si inserisce.
L’obiettivo è fornire al lettore una mappa in evoluzione delle esperienze italiane, che si arricchirà progressivamente di nuovi contributi, riflettendo la crescita del settore e la pluralità delle soluzioni disponibili.
Il percorso non si esaurisce in un’unica pubblicazione: questo articolo vuole essere una pagina pillar sul tema SOC in Italia, pensata per evolvere nel tempo, aggiungendo prospettive, tecnologie e testimonianze.
Un punto di riferimento sempre aggiornato per chi vuole comprendere come si stiano trasformando i SOC in Italia e quali scelte stiano guidando aziende, integratori e provider di servizi.
In ordine alfabetico per ragione sociale.
