Il panorama globale della sicurezza informatica sta attraversando una fase di profonda trasformazione guidata da forze esterne macroeconomiche e tecnologiche. L’analisi di Gartner (Gartner, Top Trends in Cybersecurity for 2026) evidenzia come l’escalation delle tensioni geopolitiche, la decentralizzazione del business digitale e la rapidissima ascesa dell’intelligenza artificiale stiano mettendo a dura prova i programmi di sicurezza e le performance dei team aziendali. In questo contesto, la gestione del rischio non può più essere considerata un problema puramente tecnico, relegato ai dipartimenti IT, ma si configura come un fattore determinante per la stabilità economica e la continuità operativa dell’intera organizzazione.
I leader tecnologici si trovano a dover interpretare questi cambiamenti non solo per proteggere gli asset aziendali, ma per indirizzare le decisioni di investimento in modo allineato agli obiettivi strategici dell’impresa. Comprendere l’impatto delle minacce avanzate, l’evoluzione delle normative globali e l’integrazione inevitabile dell’intelligenza artificiale rappresenta il punto di partenza essenziale per ridefinire la governance aziendale.
Indice degli argomenti
La percezione del rischio informatico nei consigli di amministrazione
I consigli di amministrazione mostrano oggi un livello di attenzione e preoccupazione senza precedenti nei confronti delle minacce cibnetiche. Secondo Gartner (Gartner, Cybersecurity Leadership Vision for 2026-2027), i membri non esecutivi dei board riconoscono in modo quasi unanime la gravità della situazione: l’84% degli amministratori considera la cybersecurity come un vero e proprio rischio d’impresa, superando la vecchia concezione della sicurezza intesa come mero centro di costo tecnologico. Inoltre, ben il 93% concorda sul fatto che il rischio informatico rappresenti una minaccia diretta per il valore degli azionisti.
Questa consapevolezza diffusa è alimentata dalla percezione di un pericolo in costante crescita. I dati indicano infatti che il 98% dei membri dei consigli di amministrazione è convinto che le minacce informatiche aumenteranno progressivamente nei primi due anni successivi. Per i responsabili della sicurezza e della tecnologia, questo scenario costituisce una straordinaria opportunità strategica: il board è pienamente consapevole della vulnerabilità aziendale ed è predisposto al dialogo.
Tuttavia, per tradurre questa preoccupazione in un supporto finanziario concreto e nell’approvazione dei budget necessari, i leader IT devono saper utilizzare gli opportuni framework comunicativi, dimostrando in modo quantificabile l’impatto dei rischi cibernetici sulle operation e sulla conformità normativa dell’organizzazione.
Ottimizzare la strategia per incrementare l’influenza nell’organizzazione
L’evoluzione delle necessità aziendali impone una ridefinizione profonda della governance della sicurezza informatica. I responsabili della sicurezza si trovano a un bivio strategico: l’espansione dei mandati aziendali rischia di tradursi in un sovraccarico di mansioni operative dirette, portando a pericolose lacune nei controlli e al burnout dei team. Per evitare questo scenario, la strategia più efficace consiste nell’ampliare la propria sfera di influenza, puntando sul coordinamento continuo e sulla cooperazione con figure chiave quali il CIO, il Chief Risk Officer (CRO) e il Chief Data and Analytics Officer (CDAO), piuttosto che sulla titolarità esclusiva dei singoli processi.
L’obiettivo principale di questo approccio strategico è fare in modo che tutti gli stakeholder aziendali comprendano chiaramente come la cybersecurity sia un elemento abilitatore fondamentale per il business e per l’innovazione digitale. Ottimizzare l’influenza organizzativa permette di superare le barriere gerarchiche tradizionali e di trasformare la sicurezza da misura puramente restrittiva a partner strategico integrato nelle decisioni di investimento.
Migliorare la comunicazione con i dirigenti e sviluppare competenze d’impatto
Per ottenere lo stanziamento di budget adeguati da parte del consiglio di amministrazione, è indispensabile elevare la qualità della comunicazione esecutiva. I leader tecnologici devono tradurre i tecnicismi informatici in un linguaggio allineato alle priorità strategiche del CEO, focalizzandosi sulle tre macro-aree di interesse aziendale: gestione del rischio, ottimizzazione dei costi e crescita dei ricavi. Il dialogo con il board non deve incentrarsi solo sulla natura tecnica delle minacce, ma deve introdurre metriche di impatto tangibili, denominate metriche di outcome orientate al business (ODM). Esempi concreti includono la quantificazione del tempo speso giornalmente dai dipendenti nell’autenticazione a più fattori (MFA) o la percentuale di asset aziendali trasferiti in modo sicuro durante le operazioni di acquisizione o fusione.
Parallelamente, lo sviluppo di competenze d’impatto (power skills) e la creazione di una mappa del potere d’influenza (influence power map) consentono di analizzare accuratamente le reti informali e le aspettative culturali interne all’organizzazione. Questo permette di navigare efficacemente i canali decisionali non dichiarati, assicurando che le proposte di investimento in materia di sicurezza siano comprese, valorizzate e approvate dai decisori chiave.
Ampliare il ruolo dei leader della sicurezza verso la gestione del valore
Il ruolo della leadership della sicurezza sta vivendo un radicale superamento della figura tradizionale legata alla mera conformità o alla gestione tecnica dei controlli. Le proiezioni strategiche indicano che entro il 2030, il 75% dei leader della sicurezza nelle grandi aziende estenderà formalmente il proprio mandato per includere la cyber resilienza e l’abilitazione diretta del valore aziendale. Questo cambiamento di paradigma riflette una nuova aspettativa dei consigli di amministrazione: sempre entro il 2030, il 25% dei board richiederà ai responsabili della sicurezza di prevedere e quantificare l’impatto economico dell’attrito generato dai controlli (control friction) sulle attività quotidiane del personale, e non solo i rischi derivanti dagli attacchi informatici esterni.
La percezione del valore della cybersecurity all’interno dell’azienda è fortemente influenzata dalla visibilità e dalla reputazione (brand) della funzione di sicurezza stessa. Tale reputazione viene costruita quotidianamente attraverso la gestione attenta di tutti i punti di contatto con la popolazione aziendale: la formulazione chiara delle policy, la sensibilità nei test di phishing, la gestione equilibrata delle violazioni o delle eccezioni, e l’efficacia delle comunicazioni personali.
Saper governare questi elementi consente di accreditare la cybersecurity come una funzione a tutela del valore degli azionisti e della continuità operativa del business.
Promuovere l’agilità nei programmi di protezione aziendale
L’agilità all’interno dei programmi di sicurezza informatica si definisce come la capacità di riprioritizzare rapidamente le tabelle di marcia e gli investimenti intrinseci alla strategia aziendale. In un contesto economico caratterizzato da forti pressioni dei vertici esecutivi sull’efficienza dei costi e sulla produttività del personale , l’obiettivo principale di un programma agile è l’adattamento tempestivo ai mutamenti del business, dell’ecosistema tecnologico e degli scenari di rischio. I modelli di protezione tradizionali, rigidi e focalizzati esclusivamente sul blocco preventivo delle minacce, cedono il passo a strutture dinamiche basate su principi di centralità dei risultati, collaborazione interfunzionale e miglioramento continuo delle capacità organizzative.
L’adozione di un modello operativo agile consente ai leader tecnologici di valutare con precisione l’impatto complessivo delle decisioni di sicurezza sulle attività complessive dell’impresa. Attraverso una prioritizzazione degli investimenti basata sul rischio e informata sul valore dei risultati di business, la cybersecurity cessa di essere percepita come un ostacolo burocratico e si trasforma in una funzione flessibile, capace di supportare la velocità di esecuzione richiesta dai mercati moderni.
Collegare gli investimenti finanziari a risultati di business tangibili
La giustificazione economica dei budget legati alla sicurezza informatica richiede un mutamento di paradigma fondamentale, spostando l’attenzione dai controlli tecnici ai risultati aziendali misurabili. Le analisi previsionali indicano che entro il 2028 l’80% dei leader della sicurezza dovrà rispondere a un mandato formale da parte del consiglio di amministrazione, che richiederà di collegare direttamente ogni investimento in cybersecurity a risultati di business tangibili e quantificabili. Di conseguenza, la pianificazione finanziaria non può più basarsi sulla mera riduzione teorica del rischio tecnico, ma deve dimostrare in che modo la spesa sostenga l’efficienza operativa e gli obiettivi strategici generali.
Un ulteriore elemento critico nella rimodulazione dei budget riguarda il fattore umano. Entro il 2029, il 50% dei budget di cybersecurity sarà destinato al trattamento e alla mitigazione dei fattori di rischio legati al comportamento umano, superando la storica tendenza a investire in modo sproporzionato in soluzioni puramente tecnologiche. I leader IT sono chiamati a strutturare i piani finanziari evidenziando come il potenziamento dei programmi sul comportamento e sulla cultura della sicurezza riduca le vulnerabilità operative, massimizzando il ritorno sull’investimento (ROI) attraverso l’allineamento della resilienza alle esigenze del business.
Adottare modelli collaborativi per governare la democratizzazione tecnologica
La proliferazione incontrollata di strumenti tecnologici avanzati al di fuori della supervisione centrale, inclusa l’adozione spontanea di applicazioni di intelligenza artificiale non autorizzate (shadow AI), rende obsoleti i sistemi di governance rigidi e centralizzati. Entro il 2028, la riduzione della complessità e della frammentazione nella governance della sicurezza dei dati rappresenterà un’area di interesse prioritario per il 70% dei responsabili della protezione aziendale. Per gestire efficacemente questa decentralizzazione senza soffocare la spinta all’innovazione, è indispensabile implementare modelli di governance collaborativi che distribuiscano la responsabilità e promuovano una maggiore responsabilità del rischio direttamente sulle unità di business e sugli stakeholder che guidano l’innovazione.
Questo approccio si realizza attraverso la definizione di processi strutturati di ascolto e coinvolgimento, volti a co-creare le policy e gli standard di sicurezza insieme agli attori chiave dell’azienda. È necessario stabilire canali continui di feedback per comprendere se le misure di protezione adottate ostacolino la produttività quotidiana, valutando e gestendo le richieste di eccezione in modo sistematico.
Coinvolgere attivamente i dipendenti nella definizione delle regole e monitorare le variazioni nei comportamenti degli utenti consente di riguadagnare visibilità sulle pratiche di condivisione dei dati aziendali, mitigando i rischi e rafforzando la resilienza complessiva.
Costruire la resilienza operativa per limitare l’impatto degli incidenti
Il passaggio dal paradigma classico della protezione a quello della resilienza informatica costituisce un elemento strategico cruciale per la sopravvivenza aziendale. La resilienza si definisce come la capacità di mantenere l’attività di business operativa e la lucidità decisionale dei vertici aziendali nel momento in cui si verifica un evento perturbatore. L’obiettivo fondamentale non è più unicamente la prevenzione assoluta degli incidenti, ma la minimizzazione sistematica del danno economico e operativo derivante da minacce che hanno superato le barriere difensive.
Adottare una strategia orientata alla resilienza consente alle organizzazioni di assorbire l’impatto degli attacchi cibernetici senza interrompere le funzioni mission-critical.
Per supportare questo cambiamento, i leader tecnologici devono promuovere strategie basate sulla conoscenza profonda delle minacce (threat-informed), superando il mero rispetto di obiettivi di ripristino statici o puramente teorici. Le previsioni indicano che entro il 2027 il 70% delle grandi imprese adotterà approcci guidati dall’intelligence sulle minacce, riducendo il profilo di rischio complessivo del 50%. Questo posizionamento permette di tracciare una linea netta tra le organizzazioni capaci di garantire la durabilità del business e quelle destinate all’irrilevanza di mercato.
Pianificare il passaggio tempestivo alla crittografia postquantistica
I rapidi progressi nell’ambito del calcolo quantistico stanno trasformando un rischio teorico in una necessità d’azione immediata per i vertici esecutivi. Le proiezioni indicano che entro il 2029 o al massimo entro il 2030 i computer quantistici saranno in grado di rendere insicure le tradizionali infrastrutture crittografiche asimmetriche utilizzate per proteggere i dati e le comunicazioni aziendali. Il ritardo nella pianificazione espone l’azienda a minacce gravi, tra cui gli attacchi di tipo “harvest now, decrypt later” (HNDL), in cui i cybercriminali sottraggono oggi dati cifrati per decodificarli in futuro, provocando violazioni massive, manipolazioni delle transazioni e furti di identità. La complessità della migrazione è accentuata dal fatto che il 61% delle organizzazioni non dispone di una visibilità completa sui propri sistemi crittografici.
Per mitigare questa vulnerabilità strutturale, i responsabili IT devono avviare progetti specifici articolati su azioni concrete. È essenziale mappare tutti i componenti crittografici aziendali attraverso un inventario completo per identificare le tecnologie obsolete. Successivamente, risulta fondamentale istituire un centro di eccellenza crittografica (CCoE) per centralizzare la governance tra i dipartimenti di sviluppo, sicurezza e infrastruttura. Gli investimenti iniziali devono focalizzarsi sulla protezione degli asset che richiedono una riservatezza a lungo termine, come contratti strategici e dati identitari. Infine, lo sviluppo della crypto-agilità permetterà all’organizzazione di aggiornare i propri algoritmi crittografici in modo tempestivo e senza la necessità di riscrivere i codici applicativi, garantendo continuità alle operation.
Integrare i rischi della catena di approvvigionamento nella gestione aziendale
L’interdipendenza della catena di approvvigionamento rappresenta uno dei principali vettori di vulnerabilità per le imprese moderne, poiché i confini del rischio aziendale si estendono inevitabilmente a quelli dei fornitori terzi. Attualmente, si riscontra una carenza strutturale nella gestione di queste relazioni: è comune che le organizzazioni includano clausole contrattuali specifiche per i rischi delle terze parti solo nel 50% dei loro accordi commerciali. Al fine di incrementare l’efficacia dei programmi di gestione del rischio cyber delle terze parti (TPCRM), i leader aziendali devono evolvere i propri modelli operativi, passando da una logica basata esclusivamente sulla due diligence documentale a una focalizzata sul monitoraggio continuo e proattivo.
Entro il 2028, la metà dei programmi TPCRM guidati dai CISO adotterà questo approccio orientato alla sorveglianza attiva.
L’efficacia di questa integrazione si misura attraverso tre pilastri fondamentali: la capacità di rilevare e ridurre i rischi prima che impattino sulle operation, l’efficienza scalabile delle risorse finanziarie impiegate e la capacità della cybersecurity di influenzare le decisioni d’acquisto dell’azienda. Per strutturare una governance solida, è necessario superare la gestione puramente informatica del problema, formalizzando una collaborazione cross-funzionale che includa i team legali, l’ufficio acquisti e le singole unità di business.
Questo coordinamento assicura che il consiglio di amministrazione e i direttori esecutivi siano pienamente consapevoli delle proprie responsabilità legali e operative, riducendo l’esposizione finanziaria e i danni reputazionali derivanti da incidenti informatici originati lungo la catena di fornitura.
Normalizzare l’adozione dell’intelligenza artificiale nei flussi di lavoro
L’integrazione sistematica e la normalizzazione dell’intelligenza artificiale (AI) all’interno dei flussi di lavoro aziendali costituiscono una priorità strategica fondamentale per mitigare i rischi emergenti derivanti sia dalle minacce esterne sia dall’uso interno delle tecnologie. L’adozione accelerata della GenAI amplifica sensibilmente l’esposizione aziendale , in un contesto in cui il 60% dei data breach complessivi coinvolge direttamente l’elemento umano. I leader tecnologici sono chiamati a razionalizzare l’uso dell’AI per comprenderne i reali requisiti operativi, superando l’accento mediatico e fornendo linee guida tattiche chiare all’organizzazione.
L’obiettivo della governance in questo ambito non è bloccare l’innovazione, bensì supportare un utilizzo sicuro dell’AI collaborando attivamente con le funzioni di gestione delle identità e degli accessi (IAM) per proteggere le prime implementazioni di AI agenti autonomi. Governare questa transizione consente di salvaguardare la conformità normativa e l’integrità del patrimonio informativo aziendale.
H3 Trasformare la cultura della sicurezza per contrastare le minacce generative
Le metodologie tradizionali di formazione e sensibilizzazione informatica si dimostrano ormai inefficaci di fronte alla diffusione pervasiva della GenAI e all’evoluzione delle tecniche d’attacco. I rischi principali si articolano su due fronti:
- Uso incontrollato di strumenti pubblici (shadow AI): Oltre il 57% dei dipendenti utilizza account personali di GenAI per scopi lavorativi , e il 33% ammette di inserire informazioni aziendali sensibili all’interno di applicazioni non approvate, esponendo l’impresa a violazioni della privacy e alla perdita di proprietà intellettuale.
- Sofisticazione delle minacce esterne: Gli attori malevoli utilizzano l’intelligenza artificiale generativa per incrementare la scala e la precisione delle offensive. Le e-mail di phishing assistite dall’AI sono raddoppiate in un arco temporale di due anni , mentre gli incidenti legati all’uso di deepfake colpiscono attualmente il 35% delle organizzazioni.
Per contrastare questa esposizione, è necessario sostituire i generici corsi di awareness con programmi sul comportamento e sulla cultura della sicurezza (SBCP) basati sul framework PIPE (Practices, Influences, Platforms, Enablers). Tali programmi devono integrare simulazioni d’attacco avanzate e addestramenti specifici per insegnare al personale a validare le richieste anomale e a distinguere tra attacchi mirati ed errori intrinseci dei modelli (allucinazioni).
È inoltre indispensabile formalizzare policy chiare per l’uso autorizzato della GenAI, definendo standard precisi per il trattamento dei dati e la tutela della proprietà intellettuale.
Potenziare le capacità umane nei centri operativi di sicurezza automatizzati
La transizione verso centri operativi di sicurezza (SOC) guidati dall’intelligenza artificiale genera forti incertezze operative, alimentate da mandati di ottimizzazione dei costi e promesse commerciali spesso sovrastimate. La gestione di questa evoluzione tecnologica si scontra con un marcato deficit di competenze: solo il 17% dei dirigenti ritiene che la propria azienda possieda il talento necessario per sostenere le iniziative di AI. L’automazione indiscriminata dei compiti fondamentali, come il triage degli avvisi di primo livello (Level 1), rischia inoltre di erodere progressivamente le capacità analitiche a lungo termine, privando gli analisti junior delle esperienze pratiche essenziali per sviluppare competenze critiche di valutazione dell’impatto degli incidenti.
Per garantire la sostenibilità operativa del SOC, i leader aziendali devono adottare strategie focalizzate sul potenziamento delle capacità umane piuttosto che sulla sostituzione dei ruoli operativi. La gestione ottimale di questo scenario richiede l’attuazione di misure specifiche:
Valutazione critica dei costi nascosti: I piani finanziari devono tenere conto delle spese accessorie legate all’adozione dell’AI, inclusi i costi di elaborazione e ritenzione dei dati, i debiti tecnici futuri e l’onere orario necessario per convalidare i risultati generati dai sistemi automatici. I leader tecnologici devono mantenere un approccio critico nei confronti delle rivendicazioni dei fornitori che promettono la totale sostituzione del personale umano.
Implementazione di framework human-in-the-loop: È necessario strutturare flussi di lavoro che prevedano controlli umani obbligatori prima dell’esecuzione di azioni di risposta automatizzate. Gli analisti devono poter verificare e ratificare ogni operazione sfruttando la conoscenza contestuale del business, prevenendo errori sistemici derivanti da automazioni non verificate.
Reinvestimento dei guadagni di efficienza: I risparmi di tempo ottenuti grazie all’automazione devono essere sistematicamente reinvestiti in programmi di riqualificazione continua del personale. La formazione deve focalizzarsi su abilità prettamente umane e ad alto valore aggiunto, quali il prompt engineering, la validazione dei dati, la caccia avanzata alle minacce (threat hunting) e la risoluzione creativa di problemi complessi.
