L’equilibrio tra innovazione tecnologica e sicurezza informatica è oggi uno dei punti più delicati della governance aziendale. Nelle grandi imprese italiane, la relazione tra CIO e CISO rappresenta il cuore di questa sfida: da un lato la spinta all’evoluzione digitale, dall’altro la necessità di garantire la protezione dei sistemi, dei dati e della reputazione aziendale.
Dai risultati della ricerca presentata da Raffaello Balocco, professore al Polimi e co-founder di Digital360 e Nextwork360, ai Digital360 Awards e CIOsumm.IT, emerge un quadro in cui collaborazione e fiducia sono fattori essenziali, ma non sempre scontati. La survey, basata su un’indagine condotta durante l’estate su un campione di 52 CISO e 130 CIO di grandi aziende italiane, delinea trend qualitativi che aiutano a comprendere le dinamiche tra due figure centrali della trasformazione digitale.
Indice degli argomenti
La collocazione organizzativa del CISO
Uno dei primi nodi analizzati riguarda la posizione del CISO all’interno delle strutture aziendali. Dalla ricerca risulta che nel 53% dei casi esiste una figura formale di CISO, mentre nel 35% le funzioni di sicurezza informatica restano in capo al CIO, e nel 12% delle imprese non esiste alcuna figura dedicata.
Quando presente, il CISO riporta al CIO nel 54% dei casi, mentre nel 26% risponde direttamente al vertice aziendale, come l’amministratore delegato o il direttore generale. Solo piccole percentuali riferiscono al Chief Security Officer (9%), al Chief Financial Officer (2%) o ad altre funzioni come il Chief Risk Officer.
Balocco ha sottolineato come questi dati evidenzino una relazione gerarchica ancora prevalente, che offre alcuni vantaggi in termini di allineamento operativo, ma può generare criticità di indipendenza nella definizione delle priorità strategiche della sicurezza.
L’essenza della relazione tra CIO e CISO
Alla domanda su quale sia l’essenza del loro rapporto, la maggioranza dei rispondenti — sia CIO che CISO — ha parlato di collaborazione strategica per bilanciare le esigenze dei sistemi informativi e della cyber security. Tuttavia, un 6% dei CIO e un 13% dei CISO descrivono il rapporto come una coesistenza pragmatica e parallela, con collaborazione solo quando strettamente necessaria.
Una minoranza, pari al 7% dei CISO e a una quota ancora inferiore di CIO, segnala invece tensioni costanti dovute a bisogni e priorità divergenti. Secondo Balocco, la parola “collaborazione” assume significati diversi a seconda che esista o meno un rapporto gerarchico diretto: quando il CISO riporta al CIO, la collaborazione può essere percepita come dipendenza funzionale, mentre in un rapporto paritetico diventa dialogo strategico.
Fattori critici di successo: fiducia e visione condivisa
Uno dei passaggi più rilevanti della presentazione riguarda i fattori critici di successo di una buona relazione tra CIO e CISO. Per entrambe le figure, il punto di partenza è l’allineamento strategico e la visione condivisa. Ma cosa significa concretamente?
Secondo i CISO intervistati, i fattori determinanti sono fiducia, rispetto reciproco, comunicazione trasparente e chiarezza nella governance. I CIO aggiungono l’importanza della comprensione dei ruoli e delle priorità. Tuttavia, Balocco ha osservato come, nei dati dei CISO, emerga un segnale di “maggiore sofferenza”, con meno percezione di fiducia e comunicazione aperta.
Nei tavoli di lavoro organizzati durante i Digital360 Awards e CIOsumm.IT, la discussione ha messo in luce che l’allineamento strategico non è solo una questione di organigramma, ma di culture e linguaggi differenti. Mentre il CIO guarda all’efficienza e alla rapidità dei processi, il CISO è orientato alla gestione del rischio e alla compliance normativa. Riconciliare queste visioni richiede meccanismi di governance che favoriscano il confronto continuo, anziché la competizione interna.
Le aree di frizione: velocità, budget e rischio
Le principali aree di disaccordo individuate dai CIO riguardano tre aspetti: la velocità di implementazione delle nuove tecnologie rispetto ai tempi richiesti per garantire la sicurezza, le priorità di investimento e di budget, e la differente tolleranza al rischio.
Dal punto di vista dei CISO, le criticità coincidono in parte: anche per loro la velocità di rilascio rappresenta un problema, ma al secondo posto indicano la scarsa attenzione alla compliance normativa, spesso percepita in modo diverso da chi guida l’IT.
Queste divergenze strutturali si riflettono anche nella percezione del ruolo. Come ha sintetizzato un partecipante ai tavoli, il CISO viene talvolta visto come «colui che alza le barricate ancora prima di sapere di cosa si parla», mentre il CIO è spinto a «correre per innovare» anche a costo di accettare un margine di rischio maggiore.
Superare questa tensione richiede un linguaggio comune sul rischio e una governance che definisca in modo condiviso la risk appetite aziendale. Solo così, come ha osservato il gruppo di lavoro coordinato da Giovanni Cauteruccio (CIO, Prysmian), è possibile garantire un equilibrio reale tra efficienza operativa e sicurezza strutturale.
L’approccio collaborativo è condiviso anche da Marzio Bonelli (CIO, MM), che ha evidenziato come la security by design debba entrare nella strategia fin dalle prime fasi: «Il business dà per scontato che i sistemi siano sicuri, ma questa consapevolezza va costruita».
Infine, Franco Cerutti (CISO, Costa Crociere) ha ricordato che la responsabilità della sicurezza deve essere elevata al livello del consiglio di amministrazione, per garantire che obiettivi e investimenti siano comuni e trasversali: «I costi della sicurezza non devono essere percepiti come un extra, ma come una componente del valore aziendale».
Dove collocare il CISO: indipendenza o integrazione?
La discussione nei tavoli ha mostrato che non esiste una soluzione unica. Alcuni partecipanti hanno sostenuto che il CISO debba essere indipendente dal CIO per preservare la propria autonomia di giudizio, mentre altri hanno evidenziato i vantaggi di una collocazione interna all’IT, che favorisce collaborazione, trasparenza e una migliore integrazione della sicurezza nei progetti.
Secondo Alessandro Lunaschi, CISO di Autobank, l’inclusione del CISO nell’IT può portare a intercettare i rischi già nella fase iniziale dei progetti. Tuttavia, questa scelta riduce l’indipendenza e può generare conflitti sul budget. Viceversa, un CISO esterno all’IT gode di maggiore visibilità verso il board, ma rischia di essere coinvolto troppo tardi nelle decisioni operative.
Franco Picchioni (CISO, Gruppo Hera) ha sintetizzato così la questione: «Il CISO può stare dove si vuole, ma serve un forte empowerment da parte del board». È il livello di riconoscimento e di interazione con il vertice aziendale, più che la collocazione formale, a determinare l’efficacia del ruolo.
Dalla collaborazione alla co-leadership
Molti tavoli hanno messo in evidenza che la struttura organizzativa, da sola, non risolve i problemi. La vera chiave è una governance condivisa, capace di valorizzare le sinergie tra CIO e CISO senza annullare le differenze.
Secondo Barbara Poli (CIO, GNV), occorre «definire in modo chiaro chi fa che cosa» attraverso strumenti come la matrice RACI, stabilire livelli di servizio condivisi e lavorare sulla cultura della cybersecurity, che spesso nelle aziende italiane non è ancora diffusa in modo uniforme.
Antonella Periti (CIO, Edison) ha sottolineato la necessità di una «comunicazione meno tecnica e più incisiva», capace di coinvolgere i consigli di amministrazione, e di KPI condivisi che misurino sia la performance IT sia la sicurezza. Dario Pagani (CIO, ENI) ha proposto di portare «il tema della relazione a livello di executive», integrando i processi esistenti — come quelli di escalation della sicurezza — con pratiche di collaborazione già note in altre aree aziendali.
L’obiettivo comune è trasformare il rapporto tra CIO e CISO in una co-leadership digitale, basata su fiducia, chiarezza dei ruoli e capacità di comunicare con il vertice aziendale in modo strategico e misurabile.
Verso una cultura condivisa della sicurezza
La relazione tra CIO e CISO non è più mera questione tecnica o organizzativa: rappresenta una cartina di tornasole della maturità digitale delle imprese italiane. Dalla ricerca emerge che la collaborazione funziona davvero quando le due aree condividono obiettivi, linguaggi e responsabilità, e quando la sicurezza viene percepita come parte integrante del valore aziendale, non come un vincolo o un costo aggiuntivo.
Il futuro della governance digitale passa dunque attraverso una cultura di fiducia e di accountability reciproca, dove la sicurezza diventa una componente strutturale della strategia d’impresa e non più un ostacolo al cambiamento.
