Nel 2025 la cybersecurity non è più una disciplina separata, confinata nei reparti IT, ma un elemento strutturale della continuità operativa, della competitività e persino della fiducia degli utenti. Le minacce crescono in quantità, velocità e sofisticazione, spinte dall’esplosione dell’intelligenza artificiale, dall’aumento delle identità digitali — soprattutto non umane — e dalla convergenza tra IT e OT. Le organizzazioni si trovano così a operare in un perimetro ibrido e in costante espansione, in cui i dati proliferano più velocemente della capacità di proteggerli e in cui il fattore tempo diventa una variabile decisiva.
Se il decennio precedente era dominato dalla logica della prevenzione, oggi la sfida è la resilienza cyber: la capacità di assorbire l’attacco, limitarne gli effetti e ritornare operativi nel minor tempo possibile. Una sfida che accomuna grandi aziende, PMI e infrastrutture critiche, come rivelano le ultime ricerche e i contributi degli esperti.
Identità digitali e agenti AI: la nuova superficie d’attacco
La prima linea di rischio è rappresentata dall’identità. L’intelligenza artificiale sta moltiplicando il numero di identità da gestire — non solo quelle degli utenti, ma soprattutto quelle non umane, gli agenti software che operano in autonomia all’interno dei processi aziendali. Oggi queste NHI superano quelle umane con un rapporto di 82 a 1, un salto che cambia radicalmente il modo di concepire l’autenticazione, l’accesso e il ripristino.
Secondo una recente analisi di Rubrik Zero Labs, il 94% delle organizzazioni italiane ha già integrato agenti AI nella propria infrastruttura di identità. Una scelta strategica che però non si traduce automaticamente in resilienza: quasi un terzo dei leader IT teme che, già nel prossimo anno, oltre il 70% degli attacchi cyber sarà guidato proprio da agenti AI ostili. È una percezione condivisa dalla media EMEA, ma in Italia si rivela più marcata, segno di una crescente consapevolezza del rischio. Questa asimmetria tra adozione AI e capacità di protezione emerge in più ricerche: il 44% delle aziende ammette di non avere una supervisione adeguata sull’uso della GenAI e dei suoi agenti, mentre quasi metà degli intervistati considera la proliferazione dei dati in cloud e ambienti ibridi come una delle principali preoccupazioni, spesso aggravata dal fatto che un singolo utente — o una singola identità compromessa — può essere responsabile della maggior parte degli incidenti.
Dati fuori controllo e insider: l’altra crisi silenziosa
L’altra faccia della medaglia è la crescita incontrollata dei dati, lo mette in luce il Data Security Landscape Report 2025 di Proofpoint. Le aziende italiane vedono aumentare i propri volumi informativi di oltre il 30% in un anno, mentre quasi un terzo dello storage cloud risulta composto da dati “abbandonati”: contenuti non utilizzati, non classificati o duplicati, che aumentano i costi e la superficie d’attacco. A complicare il quadro è il ruolo degli insider, spesso sottovalutato nel dibattito pubblico ma confermato dai dati: oltre la metà degli incidenti più significativi è causata da dipendenti o collaboratori distratti; gli insider malintenzionati rappresentano un ulteriore 23%. La telemetria mostra un elemento rivelatore: l’1% degli utenti genera il 76% degli eventi di perdita dati. La conseguenza è duplice. Da un lato, la necessità di ripensare le strategie di data governance; dall’altro, la consapevolezza che — in un ambiente ibrido fatto di dispositivi personali, applicazioni non autorizzate e shadow IT — la visibilità non è un’opzione ma una condizione minima di sicurezza.
Tempo di rilevazione e risposta: la nuova misura della resilienza
Il tempo diventa un fattore determinante, spesso una variabile trascurata come rileva ManageEngine.Nella cybersecurity moderna, MTTD (Mean Time to Detect) e MTTR (Mean Time to Respond) sono le nuove KPI della resilienza. Eppure, proprio su questi indicatori emergono segnali preoccupanti: solo il 26% delle aziende italiane ritiene di potersi riprendere da un incidente informatico in meno di 12 ore, contro il 43% dell’anno precedente. Sono numeri che mostrano una perdita di fiducia nella capacità di ripristino, mentre il costo degli incidenti aumenta con il passare dei minuti, come evidenziato anche dal Cost of a Data Breach Report di IBM.
Il rallentamento non è dovuto solo alla complessità delle minacce, ma anche alla frammentazione degli strumenti: il 55% delle PMI utilizza tra 11 e 40 soluzioni diverse per proteggere la propria infrastruttura IT, con il paradosso che “più strumenti” spesso significa meno efficienza. Gli analisti sono sommersi dagli alert, i SOC faticano a correlare gli eventi e ogni minuto perso si traduce in danno potenziale. La transizione verso piattaforme unificate di sicurezza, che integrano SIEM e SOAR e uniscono rilevamento centralizzato, threat intelligence e automazione della risposta, appare quindi non solo auspicabile, ma necessaria. È un approccio che permette di ridurre drasticamente i tempi di reazione, isolare endpoint compromessi ed evitare la propagazione delle minacce.
PMI: il punto debole dell’ecosistema digitale
Il tema delle competenze è trasversale, ma nelle PMI assume una dimensione critica. Dal Cisco Cybersecurity Readiness Index 2025 emerge che l’80% dichiara di soffrire una carenza di specialisti di sicurezza, mentre il 95% ritiene inspiegabilmente che la propria infrastruttura sia adeguata a fronteggiare gli attacchi futuri. Una percezione pericolosamente ottimistica, soprattutto considerando che il 33% ha subito almeno un attacco nell’ultimo anno. Se da un lato crescono gli investimenti — il 97% delle PMI prevede di aggiornare le soluzioni di cybersecurity nei prossimi due anni — dall’altro rimangono limitate le attività di formazione, il reclutamento di talenti e l’adozione di strategie di governance. Così, le vulnerabilità individuali si trasformano in un rischio sistemico, soprattutto in un tessuto produttivo frammentato come quello italiano.
OT e data center: il nuovo fronte della sicurezza
Le analisi di Minsait e Claroty convergono su un punto chiave: la sicurezza non è più solo digitale. La convergenza tra IT e OT (Operational Technology) sta ridefinendo i confini della sicurezza in settori strategici. I sistemi OT, progettati per garantire continuità operativa, non sono stati pensati per resistere agli attacchi informatici e spesso utilizzano software legacy difficili da aggiornare. Nei data center, il vero cuore digitale del Paese, questa vulnerabilità è particolarmente evidente: i Building Management Systems che controllano climatizzazione, energia e antincendio sono sempre più connessi alla rete, e secondo un’analisi recente, il 75% utilizza dispositivi con vulnerabilità sfruttabili. Un singolo attacco a un BMS può provocare danni fisici e digitali, blackout dei servizi cloud, interruzioni operative e conseguenze potenzialmente estese all’intera filiera economica. Il tema non è marginale: la sicurezza OT diventa parte integrante della resilienza cyber complessiva, al pari di identità, dati e SOC.
Verso una sicurezza unificata, intelligente e trasversale
Dall’identità ai dati, dagli agenti AI alla convergenza IT/OT, il quadro che emerge è chiaro: la sicurezza non può più essere frammentata. La resilienza oggi dipende dalla capacità di unificare visibilità, processi, identità e risposta, riducendo complessità, migliorando la governance e adottando strumenti basati su AI che accelerano rilevamento e mitigazione.
Le organizzazioni più mature — indipendentemente dal settore — condividono tre elementi chiave: una visione unificata dell’ambiente di rischio, un modello operativo orientato ai tempi di risposta e un’integrazione profonda tra IT, OT e processi di governance. La sfida è complessa, ma è anche la più strategica degli ultimi anni: costruire un ecosistema digitale che non rincorra gli attacchi, ma sia in grado di assorbirli, adattarsi e continuare a offrire fiducia, servizi e continuità.
COMMENTI