Il panorama della sicurezza informatica in Italia è attualmente segnato da minacce sempre più sofisticate, alimentate dall’uso dell’intelligenza artificiale che ha potenziato le attività offensive. In questo scenario, presentato durante il convegno “Cybersecurity: immaginare l’imprevedibile” organizzato dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, la gestione del rischio nelle relazioni con le terze parti è emersa come una delle sfide più critiche per la sopravvivenza del business. I dati della Ricerca 2025 sottolineano come le normative NIS2 e DORA stiano ridefinendo le responsabilità, spingendo le aziende a rafforzare la cybersecurity della supply chain.
Nonostante la crescente sensibilità del mercato, i numeri mostrano un gap significativo da recuperare. Come evidenziato durante la tavola rotonda dedicata all’efficacia della riduzione del rischio, le aziende si trovano spesso in una condizione di fragilità operativa causata da una visione frammentata della propria filiera.
Vanessa Gattuso, Cybersecurity Manager in Spike Reply, ha introdotto un concetto fondamentale per comprendere l’attuale stato dell’arte: l’illusione del controllo. Secondo la manager, «le aziende continuano a basarsi su self assessment e su checklist, e quindi il rischio è dichiarato dal fornitore, ma poi non sempre verificato». Questo approccio diventa insostenibile all’aumentare del numero di fornitori, rendendo necessaria una transizione verso modelli di verifica più rigorosi e dinamici.
Indice degli argomenti
Monitorare i fornitori attraverso il tiering
La maturità nella gestione dei fornitori non è uniforme tra i diversi settori industriali. Il mondo finanziario, spinto dal regolamento DORA, appare più avanzato, mentre altri comparti si stanno adeguando solo ora sotto la pressione della NIS2.
Il punto focale della discussione riguarda l‘accountability della valutazione del rischio, che rimane saldamente in capo al cliente. Per gestire questa responsabilità, è indispensabile adottare logiche di proporzionalità. Non è più possibile applicare la medesima checklist a ogni partner; è invece prioritario avviare un processo di tiering per differenziare i controlli in base alla criticità e alla tipologia dei fornitori, concentrando gli sforzi dove l’impatto di un eventuale attacco sarebbe maggiore.
Un errore comune è quello di focalizzare l’attenzione esclusivamente sui fornitori IT, trascurando i partner operativi o logistici. Gattuso ha sottolineato come alcuni dei rischi più rilevanti derivino proprio dalla fornitura non IT, che spesso sfugge ai radar dei dipartimenti di sicurezza.
Una volta effettuata la categorizzazione, emerge il problema della continuità: se la due diligence iniziale è ormai una prassi consolidata, il monitoraggio nel tempo rimane un aspetto lacunoso. Il rischio cyber evolve senza sosta e richiede un’attenzione costante non solo agli aspetti tecnologici, ma anche a quelli geopolitici e operativi.
Automazione e intelligenza artificiale nella qualifica dei partner
Per rendere sostenibile il controllo di una filiera complessa, l’automazione diventa una scelta obbligata. Lavinia Rossi, Direttore Generale di CodeBlue Italy, ha illustrato come la tecnologia possa superare i limiti degli approcci manuali, che generano backlog e comportano un eccessivo dispendio di risorse umane. CodeBlue, che nel solo 2025 ha gestito oltre 100 crisi cyber complesse, vede nel monitoraggio continuo l’unico modo per garantire una resilienza robusta.
L’integrazione dell’intelligenza artificiale permette di trasformare i questionari digitali in strumenti dinamici. Questi sistemi sono in grado di analizzare le risposte dei fornitori attraverso algoritmi avanzati, generando alert immediati in caso di non conformità.
Come spiegato da Rossi, l’AI svolge un ruolo chiave nella gestione documentale: «è possibile caricare dei documenti esistenti nell’azienda del fornitore che aiutano ancora di più a compilare i questionari, e poi l’AI fa un’analisi semantica delle risposte». Questo processo di audit viene poi affiancato da un monitoraggio della superficie d’attacco tramite fonti OSINT e attività di threat intelligence, restituendo uno scoring combinato che offre una visione reale del rischio.
Zero Trust e gestione degli accessi nelle filiere integrate
La cybersecurity della supply chain deve affrontare anche la profondità della catena, che si estende alle quarte, quinte e seste parti. Massimo Carlotti, Manager Solutions Engineering per l’area Italy & Greece di CyberArk, ha evidenziato come i fornitori IT operino ormai stabilmente all’interno dei sistemi aziendali con privilegi elevati. Molti di questi accessi sono persistenti, ovvero costantemente abilitati, esponendo l’organizzazione a rischi severi in caso di compromissione del partner.
La strategia proposta si basa sui principi dello Zero Trust, mirando a eliminare la persistenza degli accessi. È fondamentale che solo gli interlocutori autorizzati possano accedere a sistemi determinati, in momenti specifici e per periodi limitati.
Carlotti ha spiegato l’importanza di delimitare i permessi per evitare che un attaccante possa muoversi liberamente nell’infrastruttura: «devo poter contenere, in ottica di possibile incidente, l’eventuale cosiddetto “blast radius” che si diffonde su altri sistemi, a partire dal movimento laterale in primis». L’adozione di controlli di mediazione permette di monitorare ogni attività, rendendo le informazioni immediatamente disponibili per il SOC (Security Operations Center) o per le finalità di audit e compliance.
Dalla compliance formale alla resilienza operativa
Il passaggio cruciale per le imprese italiane è la trasformazione del fornitore da semplice erogatore di servizi a partner strategico nella gestione delle crisi. Daniele Frasca, Equity Partner e Cyber FSI Leader di Deloitte, ha posto l’accento sulla dimensione operativa dell’incidente, che va ben oltre la revisione dei contratti. Durante un attacco, la capacità di reazione non dipende da una checklist, ma dalla preparazione condivisa.
Sebbene le simulazioni di crisi (tabletop exercises) siano comuni per il top management, è ancora raro vedere esercitazioni che coinvolgano attivamente le terze parti nei processi decisionali.
Frasca ha chiarito che durante una crisi non c’è spazio per la negoziazione: «si prendono decisioni quanto più possibile già codificate». Un esempio critico è la gestione degli account privilegiati: molte aziende non sanno quali sarebbero gli impatti sul business se dovessero disabilitare improvvisamente centinaia di utenze di un fornitore compromesso. La riflessione conclusiva di Frasca definisce il nuovo standard di valutazione: «la maturità di un’organizzazione nella gestione delle terze parti non sta nella checklist verde, ma si misura nelle prime ore dell’incidente e in quanto sia pronta l’organizzazione a gestire quelle prime ore assieme alla terza parte».
Governance e censimento: il ruolo del top management
L’efficacia della cybersecurity della supply chain poggia infine sulla capacità di governo dell’intera catena del valore. Rosangela D’Affuso, Global Cyber Security Director di De’ Longhi, ha sottolineato l’importanza di un cambio di paradigma che veda l’azienda cliente nel ruolo di controllore della resilienza complessiva. Il punto di partenza imprescindibile è il censimento. È necessario inventariare e categorizzare ogni fornitore IT, OT e IoT per sapere esattamente chi opera all’interno dell’universo aziendale.
Entro settembre 2026, termine entro cui le aziende dovranno essere pronte per la conformità NIS2, il contratto non dovrà più essere considerato un mero strumento commerciale, ma una leva normativa e tecnica per imporre requisiti di sicurezza. La nuova ondata regolamentare sta portando benefici anche in termini di cultura aziendale.
Come evidenziato da D’Affuso, il coinvolgimento del top management è oggi una realtà: il fatto di essere legalmente responsabili (accountable) della sicurezza della catena di fornitura costringe i vertici aziendali a una consapevolezza superiore, trasformando la cybersecurity da costo tecnico a pilastro della continuità operativa.
FAQ: Cybersecurity
Che cos’è la cybersecurity e quali sono i suoi principali elementi?
La cybersecurity, o sicurezza informatica, è un campo in continua evoluzione che si occupa di proteggere sistemi, reti, dati e informazioni digitali da accessi non autorizzati, uso improprio, divulgazione e distruzione di informazioni. Si basa su una combinazione di tecnologie, processi e best practice per proteggere i sistemi informatici. La cybersecurity è più di un insieme di strumenti: è un ecosistema complesso che integra tecnologia, processi e responsabilità umana, rappresentando una vera e propria strategia complessiva, un equilibrio tra innovazione tecnologica e responsabilità umana.
Quali sono le principali minacce alla cybersecurity?
Le minacce alla cybersecurity sono in continua evoluzione e diventano sempre più sofisticate. Tra le principali minacce troviamo gli attacchi digitali intenzionali che crescono significativamente in termini sia di diffusione sia di sofisticazione, con conseguenti difficoltà di individuazione e contrasto. Particolarmente rilevanti sono le APT (Advanced Persistent Threats), minacce tenaci che possono celarsi in una rete per diverso tempo prima di ottenere l’accesso e prelevare le informazioni desiderate. Altri attacchi comuni includono il ransomware, particolarmente pericoloso per le piccole realtà, che può causare non solo danni diretti legati alla perdita dei dati, ma anche ingenti danni di immagine e blocco totale dell’operatività per settimane o addirittura mesi.
Quali sono i ruoli chiave nella gestione della cybersecurity aziendale?
Nella gestione della cybersecurity aziendale, due ruoli fondamentali sono il CIO (Chief Information Officer) e il CISO (Chief Information Security Officer). Il CIO ha visione e responsabilità più ampie, a 360 gradi, dalla infrastruttura ICT agli ambiti applicativi, dagli utenti ai fornitori ICT. Il CISO, invece, ha una responsabilità e specializzazione verticale sulla sicurezza informatica. Tra i principali compiti del CISO troviamo: definire e far rispettare la normativa di sicurezza dell’azienda, prevenire e individuare eventuali debolezze, reagire con prontezza a qualsiasi incidente di cybersicurezza, nonché formare l’organizzazione in materia di sicurezza informatica. La collaborazione efficace tra CIO e CISO è essenziale per rendere sicuro, affidabile e resiliente il sistema informativo aziendale.
Quali metriche dovrebbe monitorare un CISO per valutare l’efficacia della cybersecurity?
Un CISO dovrebbe monitorare KPI specifici suddivisi in tre aree principali: inventario degli asset, gestione delle vulnerabilità e quantificazione del rischio informatico. È fondamentale legare le metriche di sicurezza a quelle di business, traducendo il linguaggio tecnico della sicurezza in termini comprensibili per il business. I CISO dovrebbero concentrarsi su metriche che parlino di costi e rischi in termini economici, focalizzandosi sui risultati per comunicare chiaramente come gli investimenti in sicurezza portino a riduzioni misurabili del rischio. Non si tratta di scegliere tra metriche operative e aziendali, ma di identificare metriche che colleghino i risultati operativi della sicurezza alla mission aziendale.
Come possono le aziende affrontare la carenza di competenze specialistiche in cybersecurity?
Per affrontare la carenza di competenze specialistiche in cybersecurity, le aziende possono adottare diverse strategie. Una soluzione è il ricorso al “temporary management” per i ruoli di CIO e CISO, portando valore aggiunto grazie all’esperienza maturata in diverse organizzazioni. Un’altra opzione è l’utilizzo di MSS (Managed Security Services) per la terziarizzazione della gestione operativa della sicurezza digitale, erogata da consulenti o aziende specializzate, e i CSaaS (CyberSecurity as a Service), erogati in cloud. Queste soluzioni sono particolarmente efficaci per le piccole e micro-organizzazioni dove mancano competenze interne specifiche. È importante anche investire nella formazione continua delle persone, trasformando la sicurezza da costo percepito a leva di resilienza.
Quali sono le opzioni formative disponibili per chi vuole specializzarsi in cybersecurity?
Per chi vuole specializzarsi in cybersecurity, esistono numerosi corsi online sia gratuiti che a pagamento, adatti a diversi livelli di competenza: neofiti, profili intermedi e avanzati. Questi corsi sono raccomandati da esperti del settore e possono essere utili per studenti di informatica, imprenditori e professionisti della sicurezza che puntano a perfezionare le competenze e ad arricchire il proprio percorso di carriera. Oltre alla formazione, è importante considerare anche le certificazioni individuali con validità internazionale, come quelle relative al framework e-CF (European Competence Framework), che possono qualificare le competenze necessarie per ruoli come CIO e CISO, in continua evoluzione data la parallela evoluzione delle tecnologie informatiche e dei processi aziendali.
Quali sono le tendenze emergenti nel campo della cybersecurity?
La cybersecurity è un campo in continua evoluzione, con nuove tecnologie e minacce emergenti che pongono sfide sempre maggiori. Tra le tendenze emergenti si nota una crescente attenzione verso un approccio di cybersecurity end-to-end che comprende protezione dei dati, gestione delle identità digitali, sicurezza infrastrutturale, DevSecOps e formazione continua delle persone. Si osserva anche un aumento dell’utilizzo di servizi gestiti come MSS (Managed Security Services) e CSaaS (CyberSecurity as a Service), particolarmente utili per le organizzazioni che non dispongono di competenze interne specifiche. La gestione delle vulnerabilità si è inoltre estesa oltre le tradizionali vulnerabilità software (CVE) per includere problemi di accesso e configurazioni errate, con particolare attenzione alle configurazioni errate del cloud, aspetto critico per molte organizzazioni nel loro percorso di migrazione alla nuvola.
Come si può sviluppare una strategia di sicurezza informatica efficace a livello aziendale?
Per sviluppare una strategia di sicurezza informatica efficace a livello aziendale, è fondamentale adottare un approccio integrato che unisca tecnologie, normative e valorizzazione delle persone. È essenziale la collaborazione efficace tra CIO e CISO, con una chiara definizione dei ruoli e delle responsabilità. La strategia dovrebbe includere la definizione e l’applicazione di normative di sicurezza, la prevenzione e individuazione di debolezze, la capacità di reagire prontamente agli incidenti e la formazione continua dell’organizzazione. È importante anche collegare le metriche di sicurezza a quelle di business, traducendo il linguaggio tecnico della sicurezza in termini comprensibili per il management aziendale. La cybersecurity dovrebbe essere vista non come un mero costo, ma come un investimento per garantire la resilienza dell’organizzazione di fronte alle minacce informatiche in continua evoluzione.
