L’edizione 2025 di ConfSec ha avuto una particolare rilevanza non solo per il numero di operatori che vi hanno partecipato, ma anche perché ha rappresentato un traguardo importante: i dieci anni dell’iniziativa, che è stata avviata nel 2015. Con Lino Fornaro, ideatore e organizzatore della manifestazione, abbiamo voluto ripercorrere l’evoluzione della cybersecurity nei dieci anni del ConfSec. “Dieci anni fa come oggi – spiega infatti Fornaro – la necessità principale era quella di far crescere la consapevolezza delle imprese sull’importanza della cybersecurity che, nell'immaginario degli imprenditori, era considerato un tema tecnologico. L'obiettivo per noi era invece far comprendere che la sicurezza cyber in realtà interessa l'organizzazione nel suo complesso, perché può condizionare la continuità di un business e di conseguenza la competitività dell’impresa.”

Uno dei fili conduttori di ConfSec in questi anni è stato proprio il collegamento diretto tra sicurezza cyber e business. La valutazione del rischio di un attacco cyber infatti, è un tema che interessa il management quanto il reparto IT, dato che in caso di violazione, l’impatto si ripercuote su tutta l’organizzazione inclusi i suoi diretti stakeholder e non solo sule sue risorse informatiche. Ma come si è evoluto il rischio cyber? In principio il pericolo era maggiormente connesso del furto di proprietà intellettuali o segreti commerciali. Il patrimonio di investimenti in ricerca e sviluppo di un’azienda, una volta sottratto, causava gravi perdite in termini di competitività rispetto alle aziende concorrenti. In seguito, la rapida crescita del cybercrime ha aumentato di pari passo il numero di attacchi ransomware. In ultimo la commistione tra cybersecurity e geopolitica, con l’avvento delle guerre “ibride”.

In questo contesto intere nazioni, e di conseguenza le sue istituzioni, infrastrutture critiche ed imprese, si ritrovano a dover subire attacchi da threat actor (gruppi APT, gang ransomware…) state sponsored, che hanno una capacità offensiva sproporzionata rispetto ai target che colpiscono, oltre a godere di una certa “impunità” dovuta alla protezione dello Stato che le ingaggia. Pertanto le aziende – sottolinea Fornaro – devono fare i conti con un contesto nuovo, in cui il rapporto di forza tra chi difende e chi attacca, è notevolmente sbilanciato in favore dei secondi. Molto insomma è cambiato, in dieci anni di ConfSec, e promette di evolversi in scenari sempre più complessi.

La missione del ConfSec di lavorare sulla cultura e la consapevolezza dei rischi cyber diventa sempre più importante e strategica, nel far passare il concetto che investire in cybersecurity significa tutelare il proprio business. Grazie al Confsec, le imprese del Sud Italia possono contare ogni anno su un punto di riferimento fondamentale per la divulgazione della cultura della Cyber sicurezza, con occasioni di networking e confronto con opinion leader, ed avendo accesso a soluzioni concrete (e più efficaci) da attuare per affrontare le sfide crescenti.

La promessa della NIS2

Le aziende italiane spesso sono state spinte ad affrontare la sicurezza IT e dei dati più dalla necessità di essere compliant alle normative che non dallo sviluppo spontaneo di una vera e propria consapevolezza cyber. È il classico metaforico bicchiere che può essere visto come mezzo pieno o mezzo vuoto, a seconda di quanto ci si voglia soffermare sui benefici che una compliance imposta comunque porta o sulla mancanza di un approccio veramente maturo. La storia sembra ripetersi con il recepimento della direttiva NIS2, che è stato senza dubbio uno degli argomenti chiave di ConfSec 2025, ma il segnale arrivato dai relatori e anche dal pubblico dell’evento stavolta è diverso: la nuova direttiva porta una visione trasversale della cybersecurity come gestione del rischio che ben difficilmente la tipica impresa italiana avrebbe potuto, senza obblighi di compliance, maturare altrettanto bene e velocemente.

ù

La direttiva NIS2 infatti non introduce un semplice elenco di misure minime di cybersecurity da osservare passivamente, ma porta le imprese ad adottare misure che siano il più possibile elevate proporzionalmente allo specifico profilo di rischio. In questo, ricorda Fornaro, “c'è una responsabilizzazione importante degli amministratori delle aziende, perché sono loro che devono comprendere i rischi del loro business e quindi mettere a disposizione il budget necessario per arrivare a una protezione cyber adeguata”.

Certo ci saranno sempre le aziende disposte a fare investimenti in cybersecurity solo perché c'è una normativa da rispettare, il clima sembra però stare – magari lentamente – cambiando. “A ConfSec 2025 abbiamo ospitato oltre quattrocento partecipanti – racconta Fornaro – e questo è un segnale importante. Conferma che stiamo andando nella direzione giusta e che il messaggio sull’importanza della cybersecurity alla fine arriva. C’è maggiore consapevolezza, maggiore coinvolgimento e anche le aziende stanno portando le loro testimonianze di quanto sia effettivamente utile investire in cybersicurezza”.

Peraltro, il ruolo delle normative promette di essere sempre più decisivo, banalmente perché lo scenario economico e geopolitico in cui si muovono le imprese è sempre più influenzato da fattori che di certo non possono essere assimilati e gestiti a livello di singola impresa e persino di singola nazione. Come spiega Fornaro: “Soffriamo, come Italia ma anche come Europa, di un gap tecnologico che si traduce in una dipendenza da tecnologie ed aziende di altre nazioni. Questo ci pone in una condizione di svantaggio, perché essere dipendenti da altri per, in definitiva, la conduzione del proprio business è pericoloso. Qui le normative hanno un ruolo nel favorire uno sviluppo industriale che porti in Europa le tecnologie più importanti”.

Il debutto di Mecsa

ConfSec nasce da una idea di Evolumia, la società di cui Lino Fornaro è co-founder e socio insieme a Umberto Cassano e che ha organizzato tutte le varie edizioni della manifestazione. Tranne proprio ConfSec 2025, primo appuntamento in cui il compito passa a Mecsa, nuova associazione no-profit che si sta organizzando per - tra i suoi vari obiettivi - ampliare ulteriormente il raggio d’azione dell’evento. “Mecsa sta per Mediterranean Cyber Security Association – spiega Fornaro – e questa sigla già spiega in parte il nostro obiettivo: vediamo l'Italia protesa nel Mediterraneo e ci piace sognare in grande, vogliamo dare vita a una esperienza internazionale, anche perché dobbiamo ricordarci sempre che non si fa a sicurezza restando chiusi nel nostro Paese e nel nostro continente”.

Fornaro e Cassano ritengono inoltre che togliere a ConfSec il “marchio” Evolumia e passare l’evento a Mecsa, in quanto associazione senza fini di lucro, sia a questo punto utile per favorirne ulteriormente la crescita e rafforzarne l’autorevolezza. “Evolumia – racconta Fornaro - continua ad essere sostenitrice di ConfSec, ovviamente, ma l'evento va avanti con una missione che è sempre più sociale e che quindi è giusto sia portata avanti da un'associazione”.

Inoltre, non essere direttamente collegato a un’azienda permetterà a ConfSec di sviluppare collaborazioni più estese, come dimostra ad esempio il fatto che l’edizione 2025 abbia ottenuto il patrocinio - e la presenza - dell'Agenzia per la Cybersicurezza Nazionale. “Questo probabilmente non sarebbe avvenuto per un evento organizzato da un’azienda – sottolinea Fornaro – e siccome crediamo molto nella missione di ConfSec, abbiamo messo da parte l'interesse diretto di Evolumia di fronte a un obiettivo che, secondo noi, è più grande”.