Da anni mi occupo di sicurezza e rischi tecnologici.
Nel settore bancario il ruolo del Chief Information Security Officer (CISO) è chiaro, normato e regolato, ma fuori da questo contesto la percezione cambia: spesso il CISO è visto come il “tecnico della sicurezza”, colui che si occupa di firewall e di antivirus.
Questa percezione è ancora molto diffusa, tanto che in diversi settori il ruolo del CISO non esiste nemmeno: non sapendo esattamente cosa faccia, molte aziende non ne sentono la necessità.
Indice degli argomenti
L’essenza del Ciso del futuro- Cybersecurity360 Awards 2025
Ne ho avuto conferma di recente, partecipando come giurato ai Cybersecurity360 Awards 2025, a Lazise. In quell’occasione, tra survey[1] (vedi slide in quest’articolo) e confronti nei tavoli di lavoro, è emerso un quadro chiaro: i CISO sanno bene qual è il loro incarico, ma riconoscono che all’esterno non sempre c’è la stessa consapevolezza. Non a caso molti si sono riconosciuti nelle definizioni di “custodi” ed “equilibristi”, non più semplici “pompieri” chiamati a spegnere incendi.
È un’immagine che rende bene il cambio di passo: custodire significa proteggere e garantire continuità, fare l’equilibrista vuol dire tenere insieme innovazione e rischio, velocità e resilienza.
Ed il contesto di riferimento, tra innovazione e rischi emergenti, non è tra i più semplici: cloud, servizi esternalizzati, applicazioni integrate, dati che viaggiano ovunque e, naturalmente, Intelligenza Artificiale nelle sue diverse declinazioni ed applicazioni.
La trasformazione digitale avanza in tutti i settori, portando con sé benefici enormi, ma anche nuovi rischi: maggiore superficie di attacco, perdita di controllo sui dati in ambienti esternalizzati e distribuiti, un cybercrime sempre più organizzato e sofisticato, nuove normative (DORA, NIS2, AI Act) che chiedono processi robusti e, non da ultimo, la necessità di bilanciare innovazione e sicurezza senza rallentare il business.
Come deve essere il Ciso nel 2026
Nel 2026 il CISO dovrà, più che mai, governare la complessità crescente e trasformarla in opportunità.
Governance: il primo mattone della sicurezza
Il CISO non è (solo) un tecnico: è un manager della sicurezza, ed il primo passo è la governance.
Senza un modello organizzativo chiaro che definisca ruoli, responsabilità, flussi di reporting con indicatori chiari e misurabili, la sicurezza rischia di restare un insieme di buone intenzioni.
Il top management deve esserne parte attiva: approvare il modello, monitorarne l’efficacia, misurare periodicamente se la direzione intrapresa sia coerente con gli obiettivi aziendali.
Questo modello deve considerare che la sicurezza non appartiene più a un dipartimento isolato (ICT Information Security), ma coinvolgere tutta l’azienda: compliance, legale, innovazione, risorse umane, procurement, fino ai team di business.
Di conseguenza, il CISO dovrà essere in grado di parlare linguaggi diversi: tecnico con l’ICT, normativo con la compliance, economico ed orientato al valore con il business e con il top management.
Un aspetto emerso chiaramente anche nei confronti tra CISO e CIO all’evento è che la competenza davvero distintiva non è la conoscenza dell’ultima tecnologia, ma la capacità di gestire il rischio e di saper interagire con gli stakeholder. È questa la leva che permetterà al CISO di passare dal ruolo di tecnico a quello di manager strategico.
AI: opportunità da cogliere, rischi da governare (anche per il ruolo del CISO, da reattivo a proattivo)
L’Intelligenza Artificiale è la metafora perfetta delle sfide del nostro tempo: da un lato è un alleato prezioso, capace di velocizzare l’analisi degli incidenti, ridurre i tempi di risposta, supportare le decisioni: dall’altro è un’arma nelle mani dei criminali, che la sfruttano per rendere i phishing più credibili, automatizzare gli attacchi e generare manipolazioni difficili da individuare.
Nei tavoli di lavoro dell’evento di Lazise è emerso chiaramente che l’AI non sta cambiando solo gli strumenti, ma anche il modo in cui il CISO debba interpretare se stesso: meno tecnico operativo, più figura strategica chiamata a guidare il cambiamento.
Quindi, il compito del buon CISO non è alimentare la paura, ma promuovere un utilizzo consapevole e sicuro di queste tecnologie, fissando paletti chiari e spiegandoli con un linguaggio comprensibile a tutti.
In questo scenario, non basta più reagire agli incidenti: la sicurezza non può essere solo una funzione reattiva. Oggi, e ancora di più domani, il CISO deve diventare proattivo: anticipare scenari di rischio, contribuire alla definizione delle strategie, essere coinvolto prima dell’avvio dei progetti, immaginare possibili crisi e allenare l’organizzazione a rispondere sotto stress.
Soft skill: la competenza chiave
Se dovessi scegliere una competenza distintiva per il CISO del 2026, non sarebbe tecnica ma relazionale. Il CISO deve saper:
- spiegare il rischio “cyber” in termini comprensibili al top management e al business,
- negoziare soluzioni con i colleghi, sia di business sia ICT,
- convincere il top management e il business che sicurezza e innovazione possono andare di pari passo.
La sicurezza perde credibilità se è percepita come un ostacolo; diventa invece un vantaggio competitivo quando è raccontata come abilitatore di innovazione sicura.
Un CISO che si limita a dire “no” rallenta l’azienda; un CISO presente al tavolo dei progetti fin dall’inizio, invece, grazie alle sue capacità relazionali, contribuisce ad integrare la sicurezza nelle decisioni ed a prevenire problemi che, se affrontati troppo tardi, comporterebbero costi aggiuntivi e ritardi nei progetti.
Dove collocare il CISO nell’organigramma
È un tema sempre discusso e trattato anche ai Cybersecurity360 Awards 2025: il CISO dovrebbe riportare al CIO, al CEO o al COO?
Non esiste una risposta unica: ogni modello ha pro e contro, e meriterebbe un approfondimento dedicato.
L’aspetto davvero importante è la chiarezza di mandato del CISO: indipendenza sufficiente, responsabilità definite, assenza di conflitti di interesse.
In sintesi, va definita la governance della sicurezza, con ruoli e responsabilità ben delineati e condivisi a livello aziendale.
Il CISO nel 2026: da funzione di difesa a motore culturale
Il CISO non è più soltanto colui che difende i sistemi o che presidia i confini digitali.
È il motore di una trasformazione culturale che deve permeare tutta l’organizzazione: far sì che la sicurezza diventi parte naturale del modo in cui si progetta, si innova e si lavora ogni giorno.
Una cultura della sicurezza diffusa è ciò che rende un’azienda resiliente. Non si tratta di inseguire l’illusione del rischio zero, impossibile, ma di imparare a governare i rischi, così che la sicurezza non sia un freno, ma la condizione che renda possibile l’innovazione.
Per questo, lascio due inviti concreti a chi legge:
- definite con chiarezza il ruolo del CISO nella vostra azienda: responsabilità, collocazione, flussi decisionali;
- coinvolgetelo fin dall’inizio delle nuove iniziative: se lo chiamate solo a ridosso del go-live del progetto rischiate ritardi e costi imprevisti per rimediare ai gap di sicurezza.
La vera sfida del 2026 non sarà decidere se adottare nuove tecnologie, ma capire come farlo in modo sicuro e consapevole. Per riuscirci sarà fondamentale riconoscere nel CISO un partner strategico del business: dalla sua capacità di unire sicurezza e innovazione potrà nascere un vantaggio competitivo reale.
Note
[1] Ref. “L’Essenziale nel Digitale: L’impatto dell’AI sul ruolo dei CISO e sull’Area Cybersecurity” di Raffaello Balocco, Professore Politecnico di Milano, Co-founder Digital360 e Nextwork360.
