Cybersecurity: solo 1 azienda su 25 è davvero preparata

  • Postato il 4 luglio 2025
  • Tech
  • Di Forbes Italia
  • 1 Visualizzazioni

Contenuto tratto dal numero di giugno 2025 di Forbes Italia. Abbonati!

Solo il 4% delle aziende mondiali ha raggiunto un livello di preparazione ‘maturo’ davanti agli attacchi informatici. Una percentuale cresciuta di un solo punto rispetto allo scorso anno. A dirlo è l’edizione 2025 del Cybersecurity Readiness Index di Cisco, condotta tramite interviste con ottomila leader del settore privato della sicurezza in 30 paesi.

Il rapporto classifica le imprese in quattro livelli. “Va precisato che, per noi, un’azienda ‘matura’ è a un grado molto avanzato di preparazione”, dice Renzo Ghizzoni, country leader sales security di Cisco Italia. “Il problema è che il 70% non arriva nemmeno al secondo livello – quello che chiamiamo ‘progressivo’ -, ma si ferma ai due gradini più bassi, ‘formativo’ o ‘principiante’”.

Il sondaggio valuta le imprese secondo cinque pilastri – identity intelligence, resilienza di rete, affidabilità delle macchine, rafforzamento delle soluzioni cloud e fortificazione attraverso l’uso dell’intelligenza artificiale – e analizza 31 soluzioni e capacità. Molte aziende faticano a raggiungere la maturità anche perché, spiega Ghizzoni, “il perimetro di attacco continua ad aumentare, cioè le minacce si evolvono. Le aziende investono, ma è una continua rincorsa e non è facile tenere il passo”.

La novità dell’ultimo anno è stata l’esplosione dell’intelligenza artificiale. In Italia l’82% delle aziende ha affrontato problemi di sicurezza riconducibili all’uso dell’IA. E c’è un problema di competenze e conoscenze, più marcato in Italia che altrove: solo il 49% degli intervistati a livello globale e il 38% degli italiani si dice certo che i propri dipendenti comprendano appieno le minacce legate all’IA, mentre appena il 48% a livello globale e il 30% degli italiani ritiene che i propri team abbiano una chiara comprensione di come i cybercriminali stiano sfruttando l’IA per attacchi sempre più sofisticati.

“L’IA viene usata per creare nuove minacce”, spiega Ghizzoni. “Tutti abbiamo sentito parlare di deepfake, per esempio. L’intelligenza artificiale permette di fare centinaia di migliaia di tentativi di trovare vulnerabilità in un sistema. E poi ci sono i pericoli connessi all’uso dell’IA da parte delle imprese: le stesse applicazioni sono vulnerabili e si prestano a nuovi tipi di attacco. Penso al cosiddetto ‘data poisoning’, l’avvelenamento dei dati: si alterano i dati da fornire al modello, in modo che le risposte siano errate”. Il terzo rischio è il furto di proprietà intellettuale, dovuto all’inserimento nei modelli di dati che non dovrebbero essere distribuiti.

Renzo Ghizzoni
Renzo Ghizzoni

Un pericolo collegato è quello delle cosiddette ‘IA ombra’, cioè le applicazioni di IA non regolamentate. Il 15% dei dipendenti ha accesso illimitato a IA generativa pubblica, il 68% delle organizzazioni esprime dubbi sulla capacità di rilevare l’uso di IA non regolamentate e l’80% dei team It non pensa di essere a conoscenza di tutte le interazioni dei lavoratori con gli strumenti di IA generativa. “Un servizio It dovrebbe regolamentare le applicazioni di IA da usare, oppure dovrebbe imporre un’IA aziendale”, dice Ghizzoni. “Solo che tante aziende non riescono a sviluppare una loro IA. Molti lavoratori finiscono per usare le ‘IA ombra’ e c’è la possibilità che carichino inavvertitamente brevetti, informazioni riservate, informazioni competitive. Proprio per questo, come azienda, abbiamo sviluppato sistemi che rilevano compromissioni, fughe di dati, caricamenti di dati sensibili”.

Nel complesso, si legge ancora nel rapporto, il 39% delle organizzazioni italiane e il 49% di quelle globali ha subito attacchi informatici nell’ultimo anno a causa di infrastrutture di sicurezza frammentate e soluzioni eterogenee. “Questo è uno dei problemi più gravi”, afferma Ghizzoni. “C’è un sovraffollamento di soluzioni. Ognuna risolve un problema diverso e ognuna deve essere studiata, con un enorme dispendio di risorse e competenze”. Il 26% delle aziende usa tra 11 e 20 soluzioni di sicurezza informatica, un ulteriore 19% ne impiega tra 21 e 30. “Non è una strada percorribile a lungo termine: la sicurezza va fatta a livello di piattaforma, non di soluzione singola per singoli problemi”. La piattaforma, secondo Ghizzoni, dovrebbe essere costruita in modo “da poter interagire con l’essere umano in un linguaggio il più possibile vicino a quello naturale. È una cosa a cui lavoriamo da tempo”.

Il 51% delle aziende italiane e il 71% di quelle globali prevede interruzioni delle attività a causa di problemi informatici nei prossimi 12-24 mesi. Un pericolo anche economico, visto che, come spiega Ghizzoni, “un incidente di sicurezza informatica costa, in media, 400mila dollari. E con le recenti normative la cifra potrebbe aumentare. Per esempio, se non si comunica tempestivamente alle autorità di vigilanza una compromissione, si rischia una multa fino al 2% del fatturato, con responsabilità penale degli organi direttivi”.

Il 66% degli intervistati nel nostro Paese ritiene che le minacce esterne – per esempio i gruppi di criminali informatici sponsorizzati da governi ostili – rappresentino un rischio maggiore di quelle interne. “È uno dei pochi fronti sui quali l’Italia è in controtendenza con il resto del mondo”, dice Ghizzoni. “Il dato è frutto, probabilmente, della situazione geopolitica. Il nostro Paese è stato oggetto di campagne che hanno colpito anche il settore pubblico e le piccole e medie imprese, tradizionalmente meno pronti a respingere un attacco informatico”.

Uno dei principali ostacoli al progresso dalle aziende in materia di cybersicurezza è la difficoltà di reperire persone competenti sul mercato, denunciata dall’83% degli intervistati. “Una parte del problema è che i sistemi di istruzione europei, incluso il nostro, sono ancora basati su materie tradizionali”, sostiene Ghizzoni. “Il numero di laureati in discipline Stem è molto più basso rispetto a quello necessario per il mercato del lavoro. Bisognerebbe adattare i sistemi educativi alla nuova realtà, ma è un processo lungo, difficile e ricco di implicazioni politiche. Non sarà facile cambiare nel breve termine”.

Un possibile rimedio è allora rappresentato dai “luoghi di specializzazione offerti da aziende e università. Cisco ha lanciato un programma che punta a formare 1,5 milioni di persone in ambito It e sicurezza informatica entro il 2030. Altre realtà hanno preso iniziative simili perché hanno capito che porta un vantaggio competitivo”. Sarà comunque inevitabile, secondo Ghizzoni, “appoggiarsi all’IA. Quasi tutte le nostre soluzioni hanno un motore di IA che permette di interagire con la macchina in modo naturale. In questo modo anche persone che non hanno competenze tecnologiche profonde possono occuparsi dei problemi di sicurezza, almeno a un primo livello. In questo senso l’IA, che ha aumentato le minacce, può essere anche una risorsa”.

Tra i numeri più sorprendenti che emergono dal rapporto c’è la diminuzione della propensione all’investimento in cyber sicurezza. Ghizzoni è però convinto che sia un dato “incidentale. L’esplosione dell’intelligenza artificiale è avvenuta quando i budget erano già stati allocati. Credo che la propensione all’investimento tornerà ad aumentare nei prossimi anni”.

L’articolo Cybersecurity: solo 1 azienda su 25 è davvero preparata è tratto da Forbes Italia.

Autore
Forbes Italia

Potrebbero anche piacerti