Solo il 5% delle organizzazioni ha piena fiducia nei propri vendor di cybersecurity. In Italia quasi il 70% fatica a valutarne l'affidabilità, anche dopo la firma del contratto.
Autore: Redazione SecurityOpenLab
Solo il 5% delle aziende ha piena fiducia nei propri fornitori di cybersecurity. Per l'Italia la situazione si può definire critica, dato che quasi il 70% delle organizzazioni trova difficile o abbastanza difficile valutare fornitori o partner, e il 41% dichiara di non disporre delle competenze o conoscenze necessarie per farlo in modo efficace. La ricerca di Sophos e Vanson Bourne The Cybersecurity Trust Reality in 2026 condotta su 5.000 reponsabili IT in 17 Paesi (fra cui l’Italia) fotografa una situazione in cui la dipendenza dai vendor è totale, ma la capacità di valutarne l'affidabilità è lacunosa. Oltre a quantificare la sfiducia, il report ne traccia le origini, le conseguenze operative e i meccanismi con cui potrebbe essere ricostituita, con un messaggio chiaro: nel rapporto fra aziende e vendor di cybersecurity, la fiducia non è mai stata davvero guadagnata.
La ricerca assume rilevanza in questo momento perché la fiducia ha acquisito un peso specifico profondamente diverso rispetto al passato recente. L'AI integrata nei tool, nei servizi e nei workflow della cybersecurity, con agenti autonomi, porta inevitabilmente le aziende a chiedersi con quali criteri vengono addestrati i modelli, quali dati vengono utilizzati, quali garanzie di accountability accompagnano il deployment. Banalmente, quanto è efficace la soluzione non è più la domanda più importante. A questo si aggiunge la pressione normativa crescente, che rende la scelta dei partner di sicurezza una decisione con ricadute dirette sulla compliance e sulla responsabilità.
In Italia, il 49% degli intervistati segnala che le informazioni disponibili sui fornitori non sono sufficientemente dettagliate o affidabili; il 43% le trova difficili da interpretare o comprendere; il 40% evidenzia che risultano spesso contradditorie; il 32% fatica a reperirle. Il problema non si limita alle competenze interne, per quanto il 41% dichiari di non avere il know-how necessario per valutare efficacemente possibili partner. Il nodo centrale è che i vendor non riescono, o non vogliono, fornire informazioni verificabili e accessibili sulla propria postura di sicurezza.
Non è un problema solo italiano, dato che a livello globale, il 79% delle organizzazioni dichiara di avere difficoltà a valutare l'affidabilità di nuovi fornitori; il 62% incontra le stesse difficoltà anche con i vendor già presenti nel proprio perimetro contrattuale. La fiducia, in altre parole, non si stabilisce automaticamente dopo la firma di un contratto: resta un punto aperto per la maggioranza delle organizzazioni anche a rapporto avviato e si degrada nel tempo in assenza di segnali tangibili di trasparenza.
Questa condizione porta il 51% degli intervistati a livello globale ad affermare che la mancanza di fiducia alimenta continuamente la paura di subire un incidente informatico significativo, trasponendo sul piano operativo il vuoto informativo che i team IT non riescono a colmare.
La ricerca quantifica con precisione gli impatti della scarsa fiducia. Il 45% degli intervistati afferma che la situazione li renderebbe più propensi a cambiare fornitore, per quanto sia un processo costoso e disruptive per qualsiasi organizzazione. Il 42% registra un aumento dei requisiti di oversight, ovvero del lavoro di controllo e verifica interno che diventa necessario per compensare la mancanza di informazioni affidabili sul vendor. Il 41% riferisce una riduzione del senso di sicurezza complessivo rispetto alla propria postura di cybersecurity. Il 38% teme di aver effettuato una scelta errata del vendor di security e per questo commette incertezze strategiche a livello decisionale.
Questi impatti si sommano al carico operativo già pesante che grava sui team IT e di cybersecurity, con il risultato di un'inefficienza sistemica misurabile.
Un secondo fronte critico emerge dall'analisi delle relazioni interne alle organizzazioni. Il 78% degli intervistati dichiara che il proprio team IT e il senior management o board hanno opinioni divergenti sull'affidabilità dei vendor di cybersecurity; quasi un terzo ammette che queste divergenze si verificano spesso. Solo nel 21% delle organizzazioni i due gruppi riferiscono di avere opinioni allineate.
Il dato è rilevante perché evidenzia una frattura fra chi utilizza gli strumenti di sicurezza ogni giorno e chi ne approva l'acquisto. I professionisti IT vedono le lacune operative dei vendor, ne sperimentano i limiti nel supporto e nelle performance; il board e il management tendono a basarsi su criteri di valutazione distanti dall'operatività, come la presenza nei report degli analisti o la visibilità nei media. Solo l'1% delle organizzazioni dichiara che la leadership non ha alcun ruolo nelle decisioni di acquisto in ambito cybersecurity.
Quindi quali sono i fattori che le aziende considerano determinanti per fidarsi di un vendor? In Italia, il 43% indica informazioni verificabili come programmi di bug bounty, advisory di sicurezza, certificazioni e valutazioni di terze parti; il 43% cita la trasparenza e la comunicazione tempestiva durante incidenti o vulnerabilità di prodotto; il 37% fa riferimento alla capacità di fornire con costanza prodotti e servizi di alta qualità; il 32% considera rilevanti i commenti rilasciati dal vendor a seguito di grandi incidenti informatici, ad esempio interventi sui media o analisi pubbliche.
A livello globale, quelli che sono identificati come verifiable artifacts indicative of cybersecurity maturity si collocano al primo posto sia per il senior management sia per i team IT, segno che le due funzioni, pur con le differenze di visione esposte sopra, convergono sul tipo di informazioni di cui vorrebbero disporre. Al secondo posto per il board si trova la trasparenza durante incidenti e disclosure, al terzo i commenti di esperti dopo grandi attacchi, al quarto la coerenza nella qualità di prodotti e servizi. I team IT antepongono invece la qualità delle performance al terzo posto, e spostano la trasparenza in incidenti al terzo posto, con una preferenza più marcata per i risultati operativi concreti rispetto ai segnali di posizionamento sul mercato.
Il report segnala che il problema non è riconducibile alla sola complessità dei vendor, ma anche a un deficit culturale e metodologico nella gestione della supply chain di sicurezza: un fronte su cui tanto le imprese quanto i vendor hanno ancora molto lavoro da fare.