La sicurezza non è più un tema tecnico, ma un indicatore di governance e maturità aziendale. In un contesto in cui innovazione e vulnerabilità avanzano di pari passo, ogni azienda si trova a gestire un equilibrio sempre più complesso. Basta un errore umano o un anello debole nella catena dei fornitori per compromettere processi e reputazione.
L’Osservatorio Security Risk, ideato e promosso da AIPSA, l’Associazione Italiana dei Professionisti della Security, e condotto da TEHA Group, con la collaborazione di Cybrain, analizza proprio questa trasformazione: un’Italia imprenditoriale più consapevole dei propri rischi, ma ancora disomogenea nella capacità di prevenirli e gestirli.
Indice degli argomenti
Consapevolezza del rischio cresce, ma i piani di crisis management restano carenti
Secondo i risultati dell’Osservatorio, nel 2025 la percezione del rischio tra le imprese italiane è cresciuta in modo evidente, soprattutto tra quelle di medie dimensioni, con fatturati compresi tra i cinquanta milioni e un miliardo di euro. Ma quanto vale, in termini economici, una riduzione anche minima del rischio? In questa fascia di aziende, il beneficio stimato legato a un calo dell’un per cento del livello di rischio è oggi il doppio rispetto al 2024. Un dato che segnala una maggiore consapevolezza del legame tra sicurezza e valore economico, e una più matura capacità di misurare i costi reali delle vulnerabilità.
Tuttavia, la strada verso una gestione strutturata è ancora lunga. Solo il 31% delle aziende dispone di un piano formalizzato di crisis management, mentre quasi il 60% non ha ancora definito procedure complete per affrontare eventi complessi. Ma a fronte di incidenti informatici la resilienza raggiunge livelli elevati nel 67% dei casi: la prova che la preparazione non è un dettaglio, ma un fattore decisivo.
Supply chain e social engineering: le nuove frontiere del rischio aziendale
La mappa delle paure aziendali si sta ridisegnando. Se fino a un anno fa il ransomware era il nemico più temuto, oggi il suo primato è insidiato da un fronte più complesso e diffuso: quello delle vulnerabilità di filiera. Gli attacchi alla supply chain — capaci di colpire indirettamente un’azienda attraverso i suoi fornitori o partner — sono diventati gli eventi più probabili, perché sfruttano l’interconnessione che lega ormai ogni impresa, grande o piccola, ai propri ecosistemi produttivi e digitali. Un solo anello debole può bastare a compromettere l’intera catena del valore.
Accanto a questo rischio sistemico cresce, nella percezione dei Security Manager, la minaccia dell’inganno umano: il social engineering, potenziato dall’uso dell’intelligenza artificiale, dei deepfake e di tecniche di phishing evoluto, è oggi considerato uno dei vettori più insidiosi. Si tratta di un rischio meno tangibile ma sempre più sofisticato, che combina tecnologia e psicologia. Sullo stesso piano si collocano i reati contro il patrimonio e le violazioni fisiche, ancora tra i timori principali delle imprese in un contesto globale caratterizzato da instabilità e tensioni crescenti.
Il ransomware continua a rappresentare la minaccia con l’impatto economico più alto, ma la supply chain è oggi il bersaglio più esposto: la vulnerabilità non risiede più dentro l’azienda, bensì lungo i suoi confini. Ed è proprio qui che si gioca la sfida della sicurezza contemporanea: proteggere non solo i propri dati, ma l’intero ecosistema di relazioni da cui dipende il business. La vulnerabilità della filiera emerge come uno dei punti più critici. Le grandi imprese hanno ormai sviluppato consapevolezza e strumenti per mitigare il rischio lungo la catena di fornitura, ma le piccole e medie imprese faticano a reagire, pur essendo spesso i primi anelli esposti agli attacchi.
Quantificare il rischio: il nuovo approccio economico alla sicurezza
L’Osservatorio introduce, su questo fronte, un elemento innovativo: la quantificazione del beneficio economico generato dalla riduzione del rischio. Si tratta di una metrica che consente alle aziende di capire dove conviene investire per primi. Per le PMI, anche piccole azioni di mitigazione su minacce come la supply chain, il social engineering o il ransomware producono vantaggi tangibili. Per le imprese di media dimensione, una riduzione dell’un per cento del rischio può valere benefici a sei o sette cifre l’anno. Nelle grandi aziende, i ritorni economici arrivano a milioni di euro, a dimostrazione che la sicurezza non è più solo una voce di costo, ma un investimento strategico.
Security manager e professioniste: la sicurezza diventa cultura strategica
Dietro questa evoluzione si consolida la figura del Security Manager, ormai riconosciuta come ruolo chiave per la governance del rischio e la resilienza aziendale. Le imprese puntano a internalizzare le competenze core — dalla cybersecurity al risk management fino alla sicurezza OT — mentre la consulenza esterna rimane più diffusa negli ambiti legali e normativi. È un segnale di maturità organizzativa, ma anche di trasformazione culturale.
Proprio in questa fase di cambiamento si fa strada una nuova generazione di professioniste della sicurezza. Le donne, oggi, sono sempre più presenti nei team aziendali, soprattutto nelle aree di governance e compliance, dove mostrano una preparazione solida e un’età media sensibilmente più bassa rispetto ai colleghi uomini. Non è solo una questione di numeri: è l’indicatore di un cambio di prospettiva. L’ingresso di nuove figure femminili, più giovani e abituate a muoversi tra competenze digitali, organizzative e comunicative, sta contribuendo a rendere la cultura della sicurezza meno gerarchica e più strategica.
Resta però un tallone d’Achille: la cultura del rischio. Molte organizzazioni continuano a trattare la sicurezza come una funzione separata, da attivare solo quando l’emergenza è già in corso. Ma il rischio oggi è ibrido, fisico e digitale, interno ed esterno, tecnico e reputazionale. La vulnerabilità si annida nella filiera e si combatte solo con un approccio integrato, capace di connettere persone, processi e tecnologie. È questa la vera sfida: trasformare la sicurezza da reazione a strategia, da costo a vantaggio competitivo.
Dalla tecnologia alla visione condivisa: la sfida dell’integrazione
Le imprese italiane stanno imparando a convivere con l’incertezza. Cresce la consapevolezza, si rafforza la professionalità dei team, si affina la capacità di misurare il rischio in termini economici e reputazionali. Sempre più aziende comprendono che la sicurezza non è solo un requisito tecnico, ma una leva strategica di competitività, capace di generare valore e fiducia. Tuttavia, la transizione verso una cultura realmente integrata del rischio è ancora incompleta.
La tecnologia da sola non basta: servono processi, formazione, leadership diffusa. Serve una cultura organizzativa capace di includere la sicurezza nella pianificazione quotidiana, nella comunicazione interna, nelle decisioni d’investimento. Perché ogni vulnerabilità, oggi, può diventare un punto di frattura nella fiducia tra azienda, clienti e stakeholder.
L’indagine 2025 dell’Osservatorio AIPSA–TEHA-Cybrain evidenzia con chiarezza come il rischio sia diventato ibrido, i confini aziendali più porosi e le minacce sempre più interconnesse. Da questa complessità nasce una consapevolezza nuova: la sicurezza non è più solo difesa, è capacità di adattarsi. E senza una visione condivisa, anche la tecnologia più sofisticata rischia di restare un radar spento.
