: Lascia il tuo voto agli Italian Security Awards 2026
L'analisi tagliente e senza filtri di Antonio Ieranò sulla cybersecurity moderna, tra competenza, irriverenza e verità scomode del cyberspazio.
Un racconto di metà anno, quando le ferie sono lontane e il forecast è già armato.
A metà anno, nelle aziende, accadono fenomeni che la scienza non ha ancora del tutto spiegato.
Le roadmap, per esempio, cominciano a cambiare forma. A gennaio erano solide, geometriche, piene di rettangoli colorati e promesse verticali. A giugno assomigliano già a una mappa ferroviaria disegnata durante una turbolenza.
Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative
I progetti “quasi finiti” restano quasi finiti, ma con una sicurezza più aggressiva. Le riunioni di allineamento si moltiplicano come password salvate nel browser. Le ferie appaiono all’orizzonte, luminose e irraggiungibili, mentre qualcuno nel reparto Finance decide che è arrivato il momento di pronunciare la frase più pericolosa dell’estate aziendale:
“Dobbiamo iniziare a ragionare sul budget dell’anno prossimo.”
La frase arrivò alle 9:17 di un martedì.
Non alle 9:15, orario ancora umano.
Non alle 9:30, orario ormai rassegnato.
Alle 9:17, cioè nel preciso istante in cui l’illusione di poter concludere qualcosa prima della prima call non era ancora del tutto morta.
L’email aveva un oggetto innocente:
Allineamento preliminare allocazioni budget prossimo esercizio
Il corpo del messaggio era breve, elegante, e per questo terrificante.
Gentili colleghi,
nell’ambito del processo di pianificazione strategica per il prossimo esercizio, sarà necessario rivedere alcune allocazioni di budget in funzione delle nuove priorità aziendali.
Seguiranno ulteriori dettagli.
Cordiali saluti,
Finance
“Rivedere alcune allocazioni.”
Nel linguaggio corporate, quella frase occupa lo stesso spazio emotivo di “non sento più il battito” in un pronto soccorso.
Nel reparto cybersecurity, il messaggio produsse una vibrazione collettiva.
Non panico. Non ancora.
Più precisamente: quel silenzio denso che precede il panico, quando tutti hanno capito la stessa cosa ma nessuno vuole essere il primo a dirla.
Marta Rinaldi, CISO, rilesse l’email tre volte.
Alla quarta, appoggiò lentamente la tazza del caffè sulla scrivania, come si depone un oggetto fragile accanto a un ordigno.
“Luca,” disse.
Dal lato opposto della stanza, Luca, SOC analyst con occhiaie ormai organizzate in livelli di maturità, sollevò lo sguardo da una dashboard.
“Sì?”
“Apri il file del budget.”
Luca impallidì.
“Quello vero?”
Marta lo guardò.
“Esiste ancora?”
Luca non rispose. Si voltò verso il monitor con la cautela di chi sta per aprire un allegato chiamato “fattura” ricevuto da un mittente con troppe consonanti.
Il file era lì.
Naturalmente non era finale.
Nessun file chiamato “finale” lo è mai stato.
Luca lo aprì.
Excel esitò.
Poi mostrò una tabella piena di celle, colori, formule e dolore.
Per qualche secondo nessuno parlò.
Poi Luca disse:
“Capo.”
“Dimmi.”
“Mi sa che il budget è dimagrito.”
Marta si alzò.
“Quanto?”
Luca fece uno zoom. Poi uno zoom mentale. Poi uno spirituale.
“Dipende da cosa intendiamo per budget.”
“Intendo soldi, Luca.”
“Appunto. Quella parte lì sembra essersi… spostata.”
“Verso dove?”
Luca scorse le righe.
“Non è chiarissimo. C’è una voce: iniziative trasversali ad alto impatto.”
Marta chiuse gli occhi.
Nel mondo normale, “alto impatto” significa qualcosa che produce conseguenze misurabili.
Nel mondo aziendale, significa spesso che qualcuno ha comprato una piattaforma con una dashboard molto blu.
Dalla scrivania accanto, Enrico, project manager, si avvicinò con l’aria di chi ha sentito odore di incendio ma vuole prima capire se è previsto nel piano.
“Di quanto parliamo?”
Luca deglutì.
“Abbastanza da rendere il piano di identity governance una poesia.”
“Una poesia bella?”
“No. Una di quelle che si studiano a scuola e nessuno capisce perché.”
Marta guardò l’email di Finance. Poi il file Excel. Poi il team.
In quel momento, dal corridoio, passò Valentina di Procurement con una cartellina sotto il braccio e l’espressione di chi ha visto cose che nemmeno gli auditor osano verbalizzare.
“Non aprite il forecast Q3,” disse senza fermarsi.
Marta la richiamò.
“Valentina.”
Lei si voltò lentamente.
“Non posso parlare senza un legale.”
“È così grave?”
“Nel file ci sono tre celle unite.”
Marta sbiancò.
Le celle unite non sono un dettaglio. Sono un crimine contro l’umanità amministrativa. Dove appaiono celle unite, spesso non c’è più speranza, solo formattazione.
Fu in quel momento che Luca, quasi sottovoce, disse:
“Secondo me dobbiamo chiamare qualcuno.”
Enrico annuì.
“Un consulente?”
Valentina fece una smorfia.
“Ne abbiamo già chiamati tre. Uno ci ha lasciato una matrice, uno una roadmap e uno una fattura.”
Marta fissò il vuoto.
Poi aprì il cassetto della scrivania.
Dentro c’erano oggetti che raccontavano una carriera: badge di conferenze, penne rubate a vendor, cavi USB dalla provenienza incerta, una chiavetta etichettata “NON USARE”, e un biglietto da visita color crema.
Lo prese tra due dita.
Sopra, in caratteri eleganti, c’era scritto:
Hercule Poirot
Investigazioni discrete, deduzioni precise, baffi impeccabili
Sotto, a mano, qualcuno aveva aggiunto:
Specializzato in casi di governance, numeri sospetti e sale riunioni senza finestre.
Marta guardò il team.
“Va bene,” disse. “Lo chiamo.”
Quando il telefono squillò, Hercule Poirot era seduto nel suo appartamento, davanti a una colazione disposta con una simmetria che avrebbe potuto commuovere un diagramma di rete ben segmentato.
Due fette di pane perfettamente parallele.
Una tazza al centro del piattino.
Un cucchiaino orientato con precisione.
Una piccola tavoletta di cioccolato belga, perché anche il rigore ha bisogno di zucchero.
Poirot non amava le mattine disordinate.
Non amava gli ombrelli lasciati aperti negli ingressi.
Non amava le cravatte con motivi troppo audaci.
Ma soprattutto non amava i fogli Excel con colori non coerenti.
Il telefono continuò a squillare.
Poirot lo osservò con sospetto.
Un telefono che squilla prima delle dieci porta raramente buone notizie. O è un delitto, o è un aggiornamento software.
Rispose.
“Allô?”
La voce di Marta arrivò tesa.
“Monsieur Poirot?”
“Al telefono.”
“Abbiamo bisogno di lei.”
“Un omicidio?”
“Peggio.”
Poirot si immobilizzò.
“Peggio?”
“È sparito il budget cybersecurity.”
Il detective chiuse gli occhi.
Per un istante, nella stanza cadde un silenzio così profondo che persino il cucchiaino parve trattenere il fiato.
Poirot conosceva quel genere di crimine.
Ne aveva visti molti.
Budget svaniti durante fusioni aziendali.
Fondi inghiottiti da programmi di trasformazione digitale.
Linee di spesa “temporaneamente” spostate e mai più tornate, come valigie in certi aeroporti.
Ma la cybersecurity aveva una sua malinconia particolare.
Tutti la volevano robusta. Tutti la citavano nei piani strategici. Tutti la mettevano nelle prime tre priorità, specialmente quando c’era un incidente nel settore.
Poi arrivava il budget.
E improvvisamente la priorità diventava “da valutare”.
Poirot sospirò.
“Madame, ditemi una cosa. Nel file ci sono celle unite?”
Dall’altra parte ci fu una pausa.
“Temo di sì.”
Poirot aprì gli occhi.
“Arrivo subito.”
Riagganciò.
Si alzò con lentezza teatrale, prese il cappello, infilò i guanti e si avvicinò allo specchio.
I baffi erano perfetti.
Ma davanti a un caso di budget aziendale nessun baffo è mai abbastanza preparato.
“Le piccole cellule grigie,” mormorò, “oggi dovranno attraversare una palude di acronimi.”
Poi uscì.
Poirot entrò nella sede aziendale alle 10:06.
La reception era illuminata da una luce troppo bianca. Sul muro campeggiava un manifesto motivazionale:
Innovare. Crescere. Proteggere.
Poirot lo osservò.
“Interessante,” disse.
La receptionist sorrise.
“Le piace?”
“Mi chiedo solo quale delle tre parole abbia ricevuto il budget.”
La receptionist smise di sorridere.
Marta lo raggiunse all’ingresso insieme a Luca, Enrico e Valentina.
“Monsieur Poirot, grazie per essere venuto.”
“Madame Rinaldi,” disse lui con un piccolo inchino. “Mostratemi la scena del crimine.”
Lo condussero in una sala riunioni chiamata “Vision”.
Era un nome audace, considerando che non aveva finestre.
Al centro del tavolo c’erano laptop, stampati, evidenziatori, tazze mezze vuote e un vassoio di biscotti così tristi da sembrare approvati da un comitato.
Sul grande schermo era proiettato il file Excel.
Poirot si fermò sulla soglia.
Il suo sguardo si posò sulle colonne.
Sui totali.
Sulle celle colorate.
Sui commenti nascosti.
Sulla riga 47, intitolata “Security enablement”.
Poi sul fondo, dove una formula conteneva un riferimento a una cella di un foglio chiamato:
OLD_DO_NOT_USE_REAL_FINAL
Poirot portò una mano al petto.
“Mon Dieu.”
Luca fece un passo avanti.
“È grave?”
“Giovanotto,” disse Poirot, “ho visto testamenti falsificati con più eleganza.”
Si avvicinò allo schermo.
“Chi ha modificato per ultimo il documento?”
Valentina aprì la cronologia.
“Finance. Poi Procurement. Poi Strategy. Poi qualcuno chiamato Admin_User_2.”
Marta si irrigidì.
“Chi è Admin_User_2?”
Nessuno rispose.
In ogni azienda esiste almeno un Admin_User_2. Nessuno sa chi sia, ma tutti gli attribuiscono cambiamenti che nessuno vuole confessare.
Poirot prese il suo taccuino.
“Bene. Cominciamo.”
Il primo indizio: la parola “ottimizzazione”
Poirot chiese di vedere l’email originale.
La lesse in silenzio.
Quando arrivò alla frase “rivedere alcune allocazioni”, il sopracciglio destro si alzò di mezzo millimetro.
Quando vide “nuove priorità aziendali”, anche il sinistro si mosse.
Ma fu una parola, in fondo a un allegato, a fargli chiudere gli occhi.
Ottimizzazione.
Poirot inspirò.
“Eccola.”
“Che cosa?” chiese Enrico.
“La parola che entra nelle aziende con scarpe eleganti e ne esce con il portafoglio degli altri.”
Marta annuì lentamente.
“Quindi il budget non è stato tagliato?”
Poirot si voltò.
“Madame, il taglio è una cosa brutale ma onesta. Una lama. Una dichiarazione. L’ottimizzazione, invece, è una nebbia profumata. Tutto sembra più efficiente, finché qualcuno si accorge che manca il tetto.”
Indicò una riga.
“Qui avevate fondi per identity governance.”
“Sì.”
“Ora sono indicati come ‘parzialmente riallocabili’.”
“Tradotto?”
“Tradotto: qualcuno li ha già considerati disponibili per altro.”
Luca scorse il foglio.
“Anche il budget per il training awareness è diventato ‘da assorbire internamente’.”
Poirot rabbrividì.
“Le parole ‘assorbire internamente’ sono tra le più crudeli della lingua aziendale. Significano: fate la stessa cosa, con meno risorse, e possibilmente sorridete.”
Valentina indicò un’altra cella.
“Qui invece c’è scritto ‘efficienza derivante da consolidamento strumenti’.”
Poirot si chinò.
“Quanti strumenti consolidate?”
Marta esitò.
“Teoricamente tre.”
“E praticamente?”
“Non possiamo spegnerne nessuno perché coprono use case diversi.”
Poirot sorrise tristemente.
“Dunque non è consolidamento. È una favola con licenza enterprise.”
Il primo interrogatorio fu con il CFO.
Si chiamava Corrado Bellini e aveva l’espressione tranquilla di chi sa usare “EBITDA” in una conversazione informale.
Ricevette Poirot nel suo ufficio, dove ogni oggetto sembrava scelto per comunicare controllo: scrivania ordinata, grafici incorniciati, una pianta che pareva rispettare una policy interna.
“Budget scomparso?” disse Bellini con un sorriso calibrato. “Mi sembra un termine un po’ drammatico.”
Poirot si sedette senza togliersi il cappello.
“Il dramma, monsieur, non lo creo io. Lo trovo nei vostri allegati.”
Bellini intrecciò le dita.
“Abbiamo semplicemente rivisto alcune allocazioni per massimizzare l’impatto complessivo.”
“Verso quali iniziative?”
“Iniziative strategiche.”
“Quali?”
“Trasversali.”
“Trasversali a cosa?”
Bellini guardò il soffitto per un secondo.
“All’organizzazione.”
Poirot sorrise.
“Magnifico. Una risposta che non contiene alcuna informazione, ma lo fa con grande fiducia.”
Il CFO si schiarì la voce.
“Vede, monsieur Poirot, la cybersecurity resta una priorità.”
“Naturalmente.”
“Anzi, una priorità assoluta.”
“Comme c’est curieux.”
“Il punto è che dobbiamo bilanciare investimenti, crescita, innovazione, efficienza e trasformazione.”
Poirot prese nota.
“Quante parole servono per dire che avete tolto soldi alla sicurezza?”
Bellini perse mezzo grado di compostezza.
“Non li abbiamo tolti. Li abbiamo riallocati.”
“Dove?”
Il CFO esitò.
“Su un programma di innovazione abilitato dall’intelligenza artificiale.”
Luca, seduto in fondo alla stanza, fece cadere la penna.
Poirot non si voltò.
“Criteri di successo?”
“Stiamo definendoli.”
“Deliverable?”
“In fase di consolidamento.”
“Owner?”
“Distribuito.”
Poirot chiuse il taccuino.
“Capisco. Avete finanziato un fantasma con un badge temporaneo.”
Bellini aprì la bocca, poi la richiuse.
Era la prima crepa.
Non la confessione.
Ma una crepa.
E nei casi di budget, le crepe sono preziose. Da lì entra la luce. O almeno un revisore.
Poirot chiese poi di parlare con Procurement.
Valentina lo condusse in una stanza dove gli armadi erano pieni di contratti, allegati, rinnovi automatici e piccoli rimpianti stampati in formato PDF.
“Qui,” disse lei, “teniamo i contratti attivi.”
Poirot guardò gli scaffali.
“E quelli morti?”
Valentina rise.
Non era una risata allegra.
“Non muoiono mai davvero.”
Gli mostrò un elenco di subscription.
C’erano strumenti acquistati per progetti pilota.
Strumenti acquistati perché “il vendor sembrava convincente”.
Strumenti acquistati perché qualcuno aveva promesso che si sarebbero integrati perfettamente con qualcosa che non esisteva ancora.
Poirot lesse una riga.
“Market Intelligence Platform.”
Valentina annuì.
“Ne abbiamo due.”
“Perché?”
“La seconda era inclusa in un bundle.”
“E la prima?”
“Rinnovata automaticamente.”
“Chi la usa?”
Valentina consultò il file.
“Un utente attivo.”
“Chi?”
“Una persona che ha lasciato l’azienda nel 2022.”
Poirot si voltò verso Marta.
“Madame, non cercate il budget solo dove manca. Cercatelo dove si consuma in silenzio.”
Luca indicò un’altra voce.
“Qui c’è una piattaforma di collaboration analytics.”
“Utilizzata?”
“Non più.”
“Costo?”
Luca disse la cifra.
Poirot chiuse gli occhi.
Una somma considerevole.
Non abbastanza da far crollare un’azienda.
Abbastanza da finanziare metà del programma awareness che era stato “assorbito internamente”.
“Le aziende,” disse Poirot, “temono gli hacker con il passamontagna, ma raramente temono il rinnovo automatico. Grave errore. Il rinnovo automatico non forza la porta. Ha già le chiavi.”
Poirot volle incontrare HR.
Lo ricevette Silvia, responsabile formazione, con entusiasmo e una pila di slide colorate.
“Cybersecurity awareness? Certo! Tema importantissimo. Abbiamo un piano.”
Poirot si illuminò.
“Finalmente una buona notizia.”
Silvia aprì la presentazione.
Prima slide:
Cybersecurity Awareness Journey
Seconda slide:
Empowerment degli utenti come prima linea di difesa
Terza slide:
Gamification, engagement, cultura della sicurezza
Poirot si avvicinò.
“Molto bello. E il budget?”
Silvia sorrise.
“Pensavamo di costruire qualcosa di agile.”
“Agile?”
“Sì. Leggero. Interno. Scalabile.”
Poirot diventò immobile.
Marta, che ormai conosceva i segnali, fece un passo indietro.
“Madame,” disse Poirot, “quando un progetto è leggero, interno e scalabile, spesso significa che nessuno lo finanzia, tutti lo vogliono e qualcuno finirà per prepararlo la sera.”
Silvia sembrò sorpresa.
“Ma la sicurezza è responsabilità di tutti.”
Poirot annuì.
“Frase eccellente. Ma mi permetto una piccola precisazione: quando una responsabilità è di tutti, bisogna comunque dare a qualcuno strumenti, tempo e budget. Altrimenti non è responsabilità condivisa. È una staffetta in cui nessuno ha ricevuto il testimone.”
Silvia guardò Marta.
“Possiamo forse fare una campagna con poster interni.”
Luca mormorò:
“L’ultimo poster diceva ‘non cliccare link sospetti’ e aveva un QR code.”
Poirot si voltò lentamente.
“Un QR code?”
Marta sospirò.
“È stato un periodo difficile.”
Poirot scrisse tre parole sul taccuino:
Consapevolezza senza mezzi.
Poi le sottolineò due volte.
Il reparto Strategy occupava un piano più alto.
Non solo fisicamente.
Anche spiritualmente.
Lì le frasi erano più lunghe, le lavagne più pulite e nessuno usava mai una parola semplice quando poteva usarne quattro astratte.
Il responsabile Strategy, un uomo di nome Dario, accolse Poirot davanti a una parete piena di post-it.
“Stiamo lavorando sulle priorità del prossimo anno,” disse.
“Vedo.”
“Abbiamo identificato pilastri trasformativi.”
“Quanti pilastri?”
“Sette.”
Poirot parve turbato.
“Una costruzione con sette pilastri richiede una manutenzione notevole.”
Dario rise, pensando fosse una battuta.
Non lo era.
Mostrò la presentazione:
Poirot lesse il titolo e fece un piccolo segno della croce laico.
Le prime slide erano dedicate a crescita, efficienza, AI, customer experience, automazione, semplificazione, innovazione, accelerazione, differenziazione e altri concetti che, messi insieme, producevano una foschia lessicale di discreta potenza.
Poi arrivò la slide 48.
In basso a destra, sotto un riquadro chiamato “Enabler”, c’era scritto:
Carattere 9.
Grigio chiaro.
Quasi timido.
Poirot fissò la slide.
“Questa è la priorità assoluta?”
Dario sorrise.
“Sì, è un abilitatore fondamentale.”
“Così fondamentale da essere in fondo alla slide 48?”
“Lo spazio era limitato.”
“Naturalmente. Lo spazio nelle slide è sempre limitato. Strano che non lo sia mai per l’AI.”
Dario fece finta di non sentire.
Poirot indicò il documento.
“Qui avete spostato fondi verso ‘AI-driven operational excellence’.”
“È un’iniziativa chiave.”
“Quale problema risolve?”
“Sblocca efficienze.”
“Quali?”
“Quelle operative.”
“Misurate come?”
Dario cambiò slide.
Troppo velocemente.
Poirot sorrise.
Era un sorriso piccolo, affilato, quasi amministrativo.
“Monsieur, quando qualcuno cambia slide prima di rispondere, spesso la risposta è rimasta nella slide precedente.”
Alle 18:42 la maggior parte dell’azienda era andata via.
O, più precisamente, aveva lasciato l’edificio per continuare a lavorare altrove, in quella forma moderna di libertà vigilata chiamata smart working.
Nella sala Vision erano rimasti Poirot, Marta, Luca, Enrico e Valentina.
Sul tavolo c’erano contratti, forecast, stampe, note di meeting, estratti di procurement, report di rischio e tre pacchetti di biscotti ormai ridotti a macerie.
Poirot aveva disposto i documenti in cerchi concentrici.
“Perché li mette così?” chiese Luca.
“Perché il caos, mon ami, va prima umiliato.”
Marta era stanca.
“Abbiamo un sospettato?”
“Ne abbiamo troppi,” disse Poirot. “E questo è il segno di un delitto moderno.”
“Cioè?”
“Un tempo c’era un assassino, una candela, una biblioteca. Ora c’è un comitato, un foglio condiviso e una nota di riallocazione.”
Valentina passò a Poirot un documento.
“Questo potrebbe interessarle.”
Era un verbale di una riunione di aprile.
Titolo:
Poirot lesse.
A pagina due trovò una frase sottolineata:
Si assume che alcune attività cybersecurity possano essere gestite attraverso efficienze interne e maggiore automazione.
Si fermò.
La stanza si raffreddò di un grado.
“Eccola,” disse.
Marta si sporse.
“Cosa?”
“La frase che uccide senza lasciare impronte.”
Luca lesse ad alta voce.
“Efficienze interne e maggiore automazione.”
Poirot annuì.
“Significa che qualcuno ha immaginato risparmi senza dimostrarli. Ha previsto automazione senza implementarla. Ha ridotto budget senza ridurre aspettative.”
Enrico si passò una mano sul viso.
“Quindi non è stato un taglio.”
“No,” disse Poirot. “È stato un atto di fede.”
“Fede in cosa?”
“Nell’idea che il team security possa fare miracoli, purché nessuno li chiami miracoli e non compaiano in budget.”
Marta rise.
Poi smise subito, perché era tutto troppo realistico.
A quel punto, come in ogni giallo rispettabile, comparvero le false piste.
La prima arrivò da un executive che, entrando in sala per caso, disse:
“Ma tanto con l’AI possiamo automatizzare gran parte della security, no?”
Poirot lo guardò con educazione funeraria.
“Monsieur, l’AI è uno strumento molto interessante. Ma se le chiedete di sostituire strategia, governance, competenza e responsabilità, non state automatizzando. State pregando una calcolatrice con interfaccia elegante.”
L’executive uscì lentamente.
La seconda falsa pista fu pronunciata da qualcuno di Infrastructure:
“Comunque abbiamo già un firewall.”
Poirot chiuse gli occhi.
“Dire ‘abbiamo già un firewall’ oggi è come dire ‘abbiamo già una porta’ mentre il resto della casa è fatto di tende.”
La terza venne da HR:
“La sicurezza è responsabilità di tutti.”
Poirot annuì.
“Sì. E proprio per questo bisogna finanziarla. Anche respirare è responsabilità di tutti, ma nessuno propone di togliere l’ossigeno per ottimizzare i costi.”
La quarta arrivò da Strategy:
“Non servono più strumenti, serve più visibilità.”
Poirot indicò il file Excel.
“Non potete vedere meglio se prima spegnete le luci, chiudete le persiane e chiamate il buio ‘nuovo modello operativo’.”
La quinta, la più pericolosa, fu sussurrata da Finance:
“Siamo compliant, quindi il rischio è sotto controllo.”
Poirot si fece serio.
La stanza capì che stava per dire qualcosa di meno comico.
“La compliance è importante. Ma confondere compliance e sicurezza è pericoloso. La compliance dimostra che avete seguito un percorso. La sicurezza dimostra che quel percorso non finisce contro un muro.”
Nessuno rise.
A volte anche nella satira bisogna lasciare entrare un po’ d’aria fredda.
Alle 20:13, Poirot chiese un ultimo documento.
“Il file delle riallocazioni aggregate.”
Valentina lo cercò.
“Non credo si chiami così.”
“Come si chiama?”
Valentina lesse dallo schermo:
Poirot impallidì.
“Nessun file con ‘no comments’ nel nome ha mai portato pace.”
Lo aprirono.
Questa volta Excel non esitò.
Forse anche lui voleva liberarsi del peso morale.
Il foglio mostrava una serie di piccoli spostamenti.
Nessuno enorme.
Nessuno, preso da solo, abbastanza grave da far scattare l’allarme.
Un po’ dal training.
Un po’ dall’identity governance.
Un po’ dal logging.
Un po’ dal programma di vulnerability management.
Un po’ dalla revisione dei processi di incident response.
Un po’ dalla consulenza per la data protection.
Un po’ dal rinnovo di una piattaforma di monitoraggio.
Piccole cifre.
Piccoli tagli.
Piccoli “efficientamenti”.
Piccole ottimizzazioni.
Poirot li sommò.
La cifra finale apparve.
Il silenzio cadde sul tavolo.
Luca fischiò piano.
Marta non disse nulla.
Enrico guardò il numero con l’espressione di un uomo che ha appena scoperto che il suo Gantt era narrativa sperimentale.
Poirot si alzò.
“Mes amis, il budget non è stato rubato in un singolo gesto.”
Indicò il foglio.
“È stato smontato a vite. Un pezzo alla volta. Con parole eleganti. Con note a margine. Con riunioni brevi. Con decisioni considerate troppo piccole per essere pericolose.”
Si voltò verso Marta.
“Non è un omicidio passionale. È incompetenza con premeditazione.”
Valentina mormorò:
“Quindi chi è il colpevole?”
Poirot prese il cappello dal tavolo.
“Tutti quelli che hanno detto ‘è solo una piccola riallocazione’ senza chiedere cosa sarebbe rimasto alla fine.”
Il mattino seguente, alle 9:00, Poirot convocò tutti nella sala più grande.
Il nome della sala era “Future”.
Aveva un proiettore che funzionava solo dopo tre tentativi, dettaglio che nessuno trovò simbolico perché erano tutti troppo nervosi.
C’erano il CFO, Strategy, HR, Procurement, IT, Security, qualche executive e due persone che nessuno riconobbe ma che presero appunti con grande autorità.
Poirot si sistemò davanti allo schermo.
“Signore e signori,” disse, “ho esaminato i documenti.”
Il CFO sorrise appena.
“Spero abbia compreso il contesto.”
“Il contesto,” rispose Poirot, “è precisamente ciò che mancava ai vostri numeri.”
Prima slide.
Una tabella.
Poirot mostrò le riallocazioni una per una.
“Qui avete ridotto il budget awareness perché ‘gestibile internamente’. Ma non avete allocato tempo interno.”
Seconda riga.
“Qui avete ridotto il budget per identity governance perché ‘parzialmente automatizzabile’. Ma l’automazione non è stata finanziata.”
Terza riga.
“Qui avete tagliato logging e monitoraggio perché ‘da consolidare’. Ma nessuno ha definito cosa consolidare, quando, né con quale rischio residuo.”
Quarta riga.
“Qui avete spostato fondi verso un programma AI senza criteri di successo, senza owner chiaro e senza deliverable verificabili.”
Dario di Strategy si mosse sulla sedia.
“È un’iniziativa trasformativa.”
Poirot annuì.
“Sì. Trasforma budget reale in speranza PowerPoint.”
Qualcuno tossì per nascondere una risata.
Poirot continuò.
“Qui, invece, abbiamo subscription inutilizzate, rinnovi automatici, duplicazioni e piattaforme che nessuno osa spegnere perché nessuno ricorda perché furono accese.”
Il CFO incrociò le braccia.
“Quindi secondo lei abbiamo gestito male il budget?”
Poirot lo guardò con calma.
“Monsieur, voi non avete gestito il budget. Lo avete narrato.”
La frase restò sospesa.
Poirot avanzò di un passo.
“Avete trattato la cybersecurity come una priorità quando serviva scriverla nelle slide, e come una variabile quando serviva finanziarla. Avete chiamato efficienza ciò che era riduzione. Avete chiamato automazione ciò che era desiderio. Avete chiamato consolidamento ciò che era nebbia. Avete chiamato ottimizzazione ciò che, in termini più semplici, era togliere tegole dal tetto perché il salotto sembrasse più luminoso.”
Marta abbassò lo sguardo.
Non per vergogna.
Perché, a volte, sentir dire la verità in modo ordinato fa più rumore di un incidente.
Poirot concluse.
“Il budget cybersecurity non è scomparso. È stato barattato mentre nessuno guardava l’intero quadro.”
Si voltò verso lo schermo.
Sulla slide finale c’era una sola frase:
Il rischio non sparisce quando tagliate il budget. Cambia solo indirizzo.
Nessuno applaudì subito.
Poi, dal fondo, partì un battito di mani.
Era Luca.
Poi Valentina.
Poi Enrico.
Poi, con un ritardo diplomatico, anche qualcun altro.
I sysadmin applaudirono per ultimi, ma con convinzione. Erano abituati a vedere i problemi prima che diventassero presentazioni.
A fine riunione, Marta accompagnò Poirot all’uscita.
“Secondo lei cambierà qualcosa?”
Poirot si fermò davanti al manifesto nell’atrio.
Innovare. Crescere. Proteggere.
Lo guardò a lungo.
“Dipende, madame.”
“Da cosa?”
“Dal fatto che la parola ‘proteggere’ venga considerata un verbo o una decorazione.”
Marta sorrise amaramente.
“Non è molto rassicurante.”
“La verità raramente lo è. Ma è utile.”
Fuori, il sole di giugno batteva sul vetro della sede. Nel parcheggio, alcune persone camminavano con il laptop sotto il braccio e l’aria di chi stava andando a una call da cui non sarebbe uscito identico.
Poirot infilò i guanti.
“Ricordate una cosa,” disse. “I budget non spariscono da soli. Non evaporano. Non fuggono di notte. Vengono spostati, spezzati, compressi, mascherati. E spesso tutto accade in buona fede.”
“Questo dovrebbe consolarci?”
“No. La buona fede è pericolosa quando viaggia senza competenza.”
Marta annuì.
Poirot proseguì.
“La cybersecurity non è una lista della spesa. È una dichiarazione di realtà. Dice quanto un’azienda crede davvero nella protezione dei propri dati, dei propri clienti, dei propri servizi, della propria reputazione. Dice se il rischio viene governato o semplicemente rimandato. Dice se le priorità sono vere o decorative.”
Si voltò verso di lei.
“Il resto sono slogan. E gli slogan, in caso di incidente, non ripristinano backup.”
Marta sorrise.
“Posso citarla?”
“Solo se correggete il budget.”
Qualche giorno dopo, il team security ricevette una nuova email da Finance.
Oggetto:
Revisione allocazioni budget cybersecurity
Luca la aprì con la cautela di chi maneggia un artefatto antico.
Marta lesse in silenzio.
Valentina trattenne il respiro.
Enrico preparò già mentalmente tre versioni del piano.
La mail non era perfetta.
Nessuna mail di Finance lo è.
Ma alcune righe erano cambiate.
Il budget awareness tornava con una cifra vera.
L’identity governance non era più “assorbibile internamente”.
Il logging non veniva più trattato come un optional spirituale.
Le subscription inutilizzate sarebbero state riviste.
Il programma AI avrebbe dovuto presentare criteri di successo prima di ricevere nuovi fondi.
Luca si appoggiò allo schienale.
“Quindi abbiamo vinto?”
Marta guardò il foglio.
“No.”
“E allora?”
“Abbiamo ottenuto che la realtà venisse invitata alla riunione.”
Valentina sorrise.
“È già qualcosa.”
In quel momento arrivò un secondo messaggio.
Oggetto:
Nessuno parlò.
Poi Luca disse:
“Lo apriamo?”
Marta fissò lo schermo.
Poi guardò il biglietto da visita di Poirot, ancora sul tavolo.
“Prima facciamo un backup.”
Da qualche parte, forse in un appartamento ordinatissimo, Hercule Poirot stava bevendo cioccolata belga.
Il telefono era silenzioso.
I baffi erano perfetti.
Ma lui sapeva che non sarebbe durata.
Perché ogni azienda ha un mistero.
Ogni budget ha un corridoio buio.
E ogni foglio Excel, prima o poi, nasconde una cella che non vuole essere trovata.
Esperto di cybersecurity con oltre 20 anni di esperienza, celebre per il suo approccio istrionico e spesso irriverente, e per la sua voce fuori dal coro. In questa rubrica condivide analisi approfondite e opinioni schiette su tematiche legate alla cybersecurity, mantenendo una prospettiva indipendente dal suo impegno professionale