Il mercato italiano della cybersecurity cresce, i numeri lo confermano e le cronache di ogni giorno impediscono di dimenticarne l’importanza. Eppure, dietro ai dati aggregati e alle dichiarazioni d'intenti, la realtà operativa racconta di aziende che non sanno dove si trovano fisicamente i propri dati, di IT manager bloccati tra la consapevolezza del problema e l'incapacità di portarlo al livello decisionale, di supply chain tecnologiche che nessuno controlla davvero. Se il mercato cresce, la cultura della protezione del dato arranca.

Ne abbiamo parlato con Fabio Buccigrossi, VP South West Europe Sales di ESET, Samuele Zaniboni, Manager of Sales Engineering di ESET, e Stefano Fratepietro, CEO e co-founder di Cyberating, in occasione dell’evento sulla repatriation  organizzato da ESET Italia, che aveva già messo al centro del confronto il tema della sovranità del dato. La conversazione si è allargata, con il salto concettuale dalla supply chain come vettore di attacco sottovalutato al circolo vizioso che blocca gli investimenti in sicurezza nelle PMI, per arrivare al modello con cui ESET Italia ha costruito il suo presidio di monitoraggio continuativo.

Partiamo proprio dalla supply chain, indicata più volte come un punto cieco della sicurezza aziendale. Fratepietro porta un dato che vale la pena sottolineare: secondo la sua esperienza, su quattro grandi aziende che in un dato momento stanno gestendo un cyberattacco, tre sono state compromesse attraverso un fornitore terzo. "Le aziende si proteggono al proprio interno con tecnologie avanzate e servizi proattivi", spiega, "però poi ci dimentichiamo che, soprattutto nelle realtà medio-grandi, si vive di fornitori terzi, di accessi che terze parti hanno dall’esterno verso l'interno, e si creano rapporti di forte fiducia con queste realtà. L'eccessiva fiducia porta a omettere i giusti controlli e la giusta detection e favorisce l'incidente cyber".

Un'azienda può avere un SOC, un EDR aggiornato, un monitoraggio H24, e nonostante tutto restare esposta perché un fornitore non ha la stessa attenzione alla sicurezza. Su questo fronte, la manifattura, in particolare, sconta un ritardo strutturale rispetto ad altri settori: le piccole aziende manifatturiere "non sono virtuose dal punto di vista tecnologico", osserva Fratepietro, "sono molto indietro rispetto agli altri mercati". E quando la catena di fornitura conta centinaia o migliaia di soggetti, l'idea di allinearli tutti su standard di sicurezza adeguati diventa complessa da gestire senza gli strumenti giusti. Per questo motivo Cyberating ha costruito il proprio posizionamento sul controllo della supply chain come servizio.

L'azienda è ancora in fase di startup: è nata due anni fa; dopo avere acquisito due clienti importanti ha chiuso un round da 1,85 milioni di euro e ha avviato la commercializzazione formale della propria soluzione a settembre 2025. Il differenziatore rispetto ai competitor, tutti statunitensi e con fatturati superiori ai 200 milioni di dollari, è una combinazione di agilità, costo competitivo e approccio indiretto attraverso il canale, con cui condivide le revenue, di modo da "amplificare la forza vendita e sfruttare il trust dei business partner” che, avendo già una relazione con il cliente, permettono a Cyberating di presentarsi con delle garanzie.

Del resto, la sicurezza della supply chain è uno dei pilastri della NIS2, la direttiva europea che dovrebbe sulla carta accelerare la maturazione del mercato italiano. L’iter per la compliance normativa è in pieno svolgimento, ma Buccigrossi rileva un riflesso condizionato che può dare una visione distorta della sua importanza: la soluzione di cybersecurity non è lo strumento per adempiere alla normativa: "è inutile andare dal cliente finale a sostenere che con la nostra soluzione adempirà alla NIS2, perché non è questo il senso della protezione del dato. Un’azienda deve proteggere i dati perché ha capito che è importante farlo. La normativa è qualcosa che arriva dopo, quando ormai i giochi sono fatti". L'analogia che porta Buccigrossi è quella dell'autovelox: “si mette l'autovelox quando non è sufficiente spiegare che bisogna andare piano. La normativa è l'autovelox. La consapevolezza dovrebbe venire prima”.

Il problema è che spesso questo non accade. E quando non accade per motivi culturali, arriva per via economica, cioè dopo un incidente. Quello citato da Buccigrossi è il circolo vizioso familiare a chiunque operi nel mercato della cybersecurity: il cliente finale capisce il problema, il suo IT manager capisce il problema, ma il budget non c'è perché chi decide i budget (l'amministratore delegato), non è mai stato coinvolto nella conversazione. E l'IT manager non lo ha coinvolto perché ha paura di chiedergli un investimento per il quale non riesce a trasferire il valore".

Di fronte a questo problema strutturale ESET Italia risponde andando a bussare direttamente alla porta dell'amministratore delegato e adeguando il linguaggio: non più threat intelligence e kill chain, ma linee produttive bloccate e bilanci in rosso. L’esperienza insegna che a quel punto la consapevolezza arriva, e magari non subito, magari l’anno successivo, arrivano anche gli investimenti a bilancio.

È un approccio che ha dato i suoi frutti, dato che – come rimarca Buccigrossi - in sei anni ESET Italia è passata da circa 5,8 milioni di euro di fatturato a oltre 21, e la svolta decisiva è stata la costruzione di un SOC italiano che eroga servizi di monitoraggio H24, con personale italiano, a costi strutturalmente più alti rispetto ad altri paesi europei, ma con con il vantaggio di stare dentro il contesto culturale, linguistico e normativo del cliente.

I numeri gli danno ragione: oggi ESET Italia conta oltre cento clienti con monitoraggio H24 attivo. A fianco del SOC, ESET propone anche MDR Core, una versione di managed service più accessibile pensata per chi ha esigenze e budget ridotti: non richiede il presidio diretto di analisti, ma garantisce comunque una protezione continuativa. Il monitoraggio continuativo è diventato anche una discriminante commerciale: “per qualsiasi cliente con più di cento postazioni, la raccomandazione di un servizio H24 è sistematica, senza eccezioni" puntualizza Buccigrossi.

Il modello italiano e l'espansione in Europa

Il percorso di ESET Italia è diventato un caso di studio da replicare, tanto che di recente Fabio Buccigrossi ha assunto anche la carica di Vice President of South West Europe Sales. Oltre all’Italia, seguirà anche Francia, Spagna e Portogallo, che attualmente operano ancora attraverso distributori esclusivi, come per l'Italia prima del 2019. La Francia sarà probabilmente la prima delle nuove country in capo a Buccigrossi a fare il salto verso il modello a ufficio diretto.

Il motivo, spiega Buccigrossi, è che oltralpe “il distributore esistente conta già 133 persone, fattura il doppio di ESET Italia e ha già la struttura e le competenze per evolvere. Sarà un bel vantaggio partire da tutte queste risorse umane". Il vantaggio competitivo che ha funzionato in Italia, con la lingua locale come elemento di differenziazione nel supporto tecnico e nella gestione degli incidenti, verrà riproposto anche in Francia dove può riconfermarsi una chiave di volta, osserva Buccigrossi.