L'83% delle aziende italiane ha aumentato gli investimenti in resilienza informatica, ma il 53% si concentra ancora sulla protezione interna ignorando supply chain, AI e quantum computing.
Autore: Redazione SecurityOpenLab
Nell'ultimo anno l'83% delle aziende italiane ha aumentato gli investimenti in resilienza informatica. Di queste, il 53% si focalizza sulla protezione interna, e solo il 19% ritiene le proprie misure attualmente efficaci contro la volatilità della supply chain, che è un dato inferiore persino alla media EMEA (30%). Sono le cifre più interessanti presentate nel report The Ripple Effect: A Hallmark of Resilient Cybersecurity condotto da Sapio Research per conto di Zscaler, su un campione di 1.750 decision maker IT in 14 paesi, con un focus specifico sul mercato italiano.
Quello che emerge è un paradosso: le aziende investono, aggiornano le proprie strategie, dichiarano consapevolezza, ma continuano a difendere il fronte sbagliato. Guardando in particolar modo all’Italia, il 98% delle aziende interpellate ha rivisto la propria strategia di resilienza in risposta a fattori esterni, ma meno della metà ha tradotto questa consapevolezza in iniziative concrete per gestire le dipendenze da terze parti o l'instabilità delle supply chain. Come spesso accade, il problema è la distanza tra percezione e azione.
Il 69% dei responsabili IT italiani si aspetta di subire, entro i prossimi 12 mesi, una interruzione significativa causata da un fornitore o da un partner esterno. Il 55% ha già vissuto un episodio di questo tipo nell'ultimo anno, però le strategie di resilienza restano concentrate sulla protezione dei perimetri interni.
Alla fragilità strategica si somma quella tecnologica, con l'86% delle aziende italiane che continua ad affidarsi a sistemi legacy quali firewall, VPN e modelli di sicurezza perimetrale progettati quando il perimetro era fisicamente definito e le minacce si muovevano in modo prevedibile. Anche qui, c’è la consapevolezza che l'architettura IT attuale limita le capacità di reazione a violazioni, interruzioni o malfunzionamenti, semplicemente perché parliamo di infrastrutture non progettate per rispondere alla velocità e alla varietà degli scenari di rischio contemporanei. Però le modifiche infrastrutturali necessarie per ovviare al problema restano sulla carta.
Non solo. Tra i punti ciechi identificati dalla ricerca, quello relativo all'AI è tra i più critici per le implicazioni immediate. Il 62% delle aziende italiane ammette di non avere visibilità sull'uso della shadow AI al proprio interno. Il 47% teme che possa comportare l'esposizione di dati sensibili, con rischi che spaziano dalla violazione della riservatezza di informazioni strategiche alla compromissione di dati personali soggetti a normative come il GDPR. Inoltre, il 35% delle aziende che stanno implementando o testando AI agentica non dispone di framework per gestire questi sistemi, aprendo le porte a rischi operativi concreti.
Volendo guardare avanti, c’è poi una soglia di rischio nel medio termine che è costituito dal quantum computing e dalla crittografia post-quantistica. Il 73% delle organizzazioni italiane non ha ancora integrato la Post Quantum Cryptography nella propria strategia di sicurezza. Il dato è tanto più significativo se si considera che il 64% degli stessi intervistati riconosce che i dati sottratti oggi potrebbero essere compromessi entro tre-cinque anni in uno scenario noto come harvest now, decrypt later, quando sistemi di calcolo quantistico sufficientemente potenti potrebbero essere in grado di violare gli algoritmi crittografici attualmente in uso.
Un capitolo a parte merita la questione della sovranità digitale, su cui i dati italiani segnalano un ritardo preoccupante rispetto al resto d'Europa. A fronte di una media europea del 79% di organizzazioni che stanno attivamente mitigando i rischi legati alla dipendenza da tecnologie e fornitori stranieri, in Italia la percentuale scende al 60%, che è il dato più basso tra le principali economie europee monitorate dalla ricerca.
Come ben noto, il quadro geopolitico ha portato la sovranità digitale ad essere un tema di policy prioritario in ambito europeo, rispecchiato da normative quali Data Act, Cloud Certification Scheme e le disposizioni specifiche di NIS2 e DORA. Il 56% delle aziende italiane ha aggiornato la propria strategia di resilienza informatica per adeguarsi alle normative legate alla sovranità dei dati, quindi la pressione normativa si sta trasformando in un driver di cambiamento, ma il divario rispetto alla media europea suggerisce che il ritmo di adeguamento resta insufficiente.
Zscaler propone il passaggio a un approccio di tipo Resilient by Design, che imponga a tutta la filiera l’adozione di un modus operandi capace di assorbire gli impatti di interruzioni esterne prima che compromettano l'operatività. Il modello si articola su tre direttrici operative, partendo dalla visibilità end-to-end, che si ottiene mediante l’implementazione di una piattaforma unica in grado di gestire la sicurezza dei dati, l'AI, i fornitori terzi e la sovranità dei dati. La seconda è un modello Zero Trust basato sul principio del privilegio minimo per proteggere tutte le connessioni e consentire riconfigurazioni rapide in risposta al mutare delle condizioni di mercato o dei flussi di dati. La terza è un'architettura adattiva, con una sicurezza capace di evolversi di pari passo con le nuove minacce, integralmente controllabile tramite un'unica dashboard.