Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

Cyber resilience

Il CISO vale credito: da responsabile IT a faro della solidità aziendale

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Banca d’Italia ha pubblicato un indicatore di vulnerabilità cibernetica per le imprese italiane. Il documento riconosce il legame tra rischio cyber e continuità operativa, include compliance e certificazioni nel merito creditizio e assegna al CISO un ruolo strategico, non più solo tecnico

Pubblicato il 31 mar 2026
Giovanni Lamberti

Membro fondatore Associso

ciso
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

La cyber resilience è al centro di una trasformazione silenziosa ma profonda nel modo in cui istituzioni, mercati e imprese valutano la solidità di un’organizzazione. La recente pubblicazione di Banca d’Italia, che propone un indicatore di vulnerabilità cibernetica per le imprese non finanziarie italiane, ne è la conferma più autorevole: proteggere i propri asset digitali non è più solo una questione tecnica, ma una condizione abilitante per fare business.

Ciso, un ruolo in evoluzione: da tecnico della sicurezza a partner strategico del business

E al centro di questa trasformazione c’è una figura che fino a poco tempo fa faticava a trovare posto nei tavoli che contano: il CISO, il Chief Information Security Officer, oggi sempre più riconosciuto come presidio strategico della solidità economica e finanziaria dell’impresa.

Il documento di Banca d’Italia che cambia le regole del gioco

La pubblicazione di Banca d’Italia, al di là della sua valenza tecnica e metodologica, apre scenari di grande rilevanza per il mondo delle imprese, del credito e della governance della sicurezza informatica.

Per chi opera nel campo della cybersecurity, si tratta di un segnale inequivocabile: la gestione del rischio cyber non è più confinata ai reparti IT, ma entra a pieno titolo nelle valutazioni economiche e finanziarie delle organizzazioni.

Un documento che segna un prima e un dopo

L’apprezzamento diffuso per questo lavoro si deve all’aver riconosciuto e consacrato, in un documento ufficiale della massima Autorità di Vigilanza in materia, l’opportunità di includere il rischio cibernetico nei modelli di valutazione del merito creditizio. Benché suggerita dai dati in costante aumento degli attacchi informatici, occorre essere grati a tale lavoro per aver portato alla luce alcuni aspetti molto significativi che vanno ben oltre la pur rilevante innovazione metodologica.

Ciò su cui ci si è maggiormente concentrati, anche su testate specializzate, è il fatto che questo indicatore sia costruito impiegando tecniche di elaborazione del linguaggio naturale (NLP) e modelli avanzati di intelligenza artificiale, applicati a bilanci, notizie di stampa e rapporti del settore della sicurezza cibernetica, finora mai valutate in un quadro metodologico unitario. Si tratta di un approccio innovativo che combina l’analisi quantitativa tradizionale con la capacità di interpretare segnali qualitativi — un salto qualitativo che apre nuove frontiere nella comprensione e nella misurazione del rischio d’impresa.

Oltre la metodologia: due novità che meritano riflessione

Tuttavia, alcune riflessioni meritano di essere svolte su due ulteriori elementi di novità che emergono da questo rapporto: primo fra tutti il collegamento esplicito tra rischio cyber e continuità operativa, e in secondo luogo il ruolo della conformità normativa e della certificazione come fattori di solidità economica.

Rischio cyber e continuità operativa: un legame finalmente riconosciuto

Non stupirà chi, da tempo, si dedica nel proprio lavoro alla protezione del patrimonio informativo e degli asset IT, specialmente nel settore delle Infrastrutture Critiche e/o finanziarie, l’introduzione di quel concetto che il Regolamento UE 2022/2554 (DORA: Digital Operational Resilience Act), chiama “Resilienza Operativa Digitale“. Ad un pubblico più esteso, invece, sarà saltata all’occhio l’attenzione posta da questa pubblicazione sul rischio cibernetico in quanto elemento suscettibile di compromettere la continuità aziendale.

Viene di fatto estesa, sebbene ancora solo concettualmente, quella che oggi la normativa richiede soltanto a determinate categorie di soggetti economici o di particolare rilevanza. Si riconosce, infatti, che la gestione del rischio cibernetico in una visione integrata:

  • con la gestione del rischio delle terze parti (fornitori);
  • con la gestione degli incidenti;
  • di conseguenza con la gestione del rischio di indisponibilità del servizio o dei processi di business erogati

contribuisce alla solidità economica e finanziaria di un operatore economico di qualsiasi entità o dimensione.

Quello che per un Chief Information Security Officer è ben noto:

  • oltre alla Riservatezza e all’Integrità delle informazioni, anche la Disponibilità è un attributo fondamentale del patrimonio immateriale e materiale di un’azienda da proteggere

viene progressivamente introdotto anche nella normativa cogente e nella letteratura specializzata. Si tratta di una piccola, ma faticosa conquista che, a dire il vero, la normativa volontaria, gli standard di riferimento e le best practice già considerano da tempo, riconoscendola come il terzo pilastro del modello CIA (Confidentiality, Integrity, Availability).

La logica è semplice ma potente: un’azienda che subisce un attacco ransomware e si trova impossibilitata a operare per giorni o settimane non ha solo un problema di sicurezza informatica. Ha un problema di sopravvivenza economica. La perdita di fatturato, i costi di ripristino, i danni reputazionali, le sanzioni normative e l’eventuale perdita di clienti si sommano in un impatto che può mettere a rischio la stessa continuità aziendale. Banca d’Italia lo riconosce esplicitamente, e questo cambia il paradigma.

Compliance e certificazioni: dalla burocrazia alla competitività

Il secondo elemento di novità introdotto dalla pubblicazione di Banca d’Italia è, appunto, includere nella nuova tassonomia di valutazione del merito creditizio anche il grado di rispetto della regolamentazione e l’acquisizione di certificazioni di sicurezza specifiche del dominio cibernetico. Non si tratta di un aspetto marginale: significa che la conformità a determinati standard — come ISO/IEC 27001, la NIS2, il framework NIST o i requisiti DORA — smette di essere percepita come un onere burocratico e diventa un segnale di affidabilità e solidità verso il mercato.

Rendere la conformità a determinate prassi standardizzate o requisiti consolidati rende valutabile e misurabile la postura di sicurezza o, per meglio dire, di resilienza, così da tutelare la propria azienda di fronte al legislatore ma, soprattutto, di fronte al mercato: competitor, stakeholder, clienti e fornitori. Una contaminazione al miglioramento che fa bene al sistema Paese, al panorama economico e finanziario complessivo e all’azienda stessa e al proprio management.

In un contesto in cui le supply chain sono sempre più interconnesse e le imprese sono valutate anche in base alla solidità dei propri fornitori, una postura di sicurezza verificabile e certificata diventa un vantaggio competitivo concreto. Chi investe nella propria resilienza digitale non solo si protegge dai rischi, ma migliora la propria capacità di accedere al credito, di attrarre investitori e di instaurare relazioni fiduciarie con partner commerciali esigenti.

Cyber resilience: quando la sicurezza incontra la continuità del business

Legislatori, enti di normazione, università e centri specialistici già da tempo hanno introdotto il concetto di “Cyber Resilience” come punto di contatto tra due discipline e domini: la cybersecurity, intesa come prevenzione e protezione, e la business continuity, cioè la resilienza e il ripristino. Eppure, nella pratica aziendale, queste due funzioni hanno spesso vissuto in silos separati, con team, budget, metriche e linguaggi distinti. Il risultato è stato una frammentazione della risposta al rischio che, in caso di incidente grave, si è rivelata costosa e inefficace.

Integrare gestione del rischio e continuità operativa significa avere una piena governance del rischio, una piena consapevolezza dell’impatto che l’interruzione di processi e servizi aziendali può comportare, definire priorità di ripristino e procedure testate che riescano a indirizzare la ripresa, minimizzare i danni e, in definitiva, rendere l’organizzazione resiliente dal punto di vista dell’operatività digitale. Non si tratta di una formula astratta: significa che, prima che un incidente accada, l’azienda sa esattamente cosa proteggere per primo, quanto tempo può permettersi di essere offline, chi deve fare cosa e come tornare operativa nel minor tempo possibile.

Perché la cybersecurity da sola non basta

Se è pertanto vero che la cybersecurity, da sola, resta insufficiente a garantire la resilienza dell’organizzazione, questa impostazione rafforza la necessità per le imprese di dotarsi di professionisti e di unità operative che abbiano piena visibilità e consapevolezza del business e delle attività aziendali e, non da ultimo, risorse sufficienti per comprendere a pieno i rischi aziendali e autonomia decisionale per completare analisi approfondite volte a definire piani, procedure, test e valutazioni in merito alla risposta e al ripristino in caso di emergenza o indisponibilità.

Il CISO come funzione strategica: da costo a generatore di valore

Ciò che al di fuori di un ristretto gruppo di addetti ai lavori può apparire una provocazione corporativa, cioè che un Chief Information Security Officer debba essere un manager con un ruolo attivo nella generazione di valore per la propria impresa, sta prepotentemente imponendosi a un pubblico via via più ampio. E la pubblicazione di Banca d’Italia ne è la conferma più autorevole finora registrata in Italia.

Il CISO non è soltanto il custode della sicurezza informatica: è il professionista che deve saper tradurre i rischi tecnici in termini comprensibili per il board, quantificare l’impatto economico di una violazione o di un’interruzione del servizio, e proporre investimenti in sicurezza non come voci di costo, ma come misure di protezione del valore aziendale. È il manager che deve sedersi al tavolo delle decisioni strategiche non perché imposto dalla normativa, ma perché l’assenza della sua prospettiva espone l’azienda a rischi esistenziali che il solo CFO, o il CTO, non sono attrezzati a gestire pienamente.

Questa evoluzione non è improvvisa. È il risultato di un percorso lungo anni, accelerato da incidenti clamorosi, dalle violazioni di dati che hanno travolto grandi aziende internazionali, fino ai ransomware che hanno paralizzato ospedali, organizzazioni e infrastrutture critiche in tutto il mondo, Italia compresa. Ogni volta, la domanda ricorrente è stata la stessa: come è possibile che nessuno avesse previsto questo? Come è possibile che non ci fosse un piano? La risposta, quasi sempre, è la medesima: perché la funzione di sicurezza non aveva voce in capitolo a livello strategico.

Il CISO nelle PMI: la sfida più grande, e la più importante

Il ragionamento si fa ancora più urgente se si considera che il tessuto produttivo italiano è composto in larghissima misura da piccole e medie imprese (PMI). Sono proprio queste le organizzazioni per cui l’indicatore proposto da Banca d’Italia avrebbe il maggiore impatto pratico: aziende che spesso non hanno ancora formalizzato una funzione di sicurezza dedicata, che magari affidano la gestione IT a un responsabile interno con competenze generaliste, o che si appoggiano a fornitori esterni senza una governance strutturata del rischio.

Per queste realtà, la strada verso la cyber resilience passa necessariamente per scelte pragmatiche: non si può pretendere che una PMI con cinquanta dipendenti abbia un CISO a tempo pieno con un team dedicato. Ma si può e si deve pretendere che abbia una strategia di sicurezza, una mappatura dei rischi, un piano di risposta agli incidenti e la consapevolezza di cosa proteggere e perché. In molti casi, questa funzione può essere svolta attraverso figure di CISO virtuali o in outsourcing, professionisti che supportano più organizzazioni e portano competenza specialistica là dove non sarebbe economicamente sostenibile assumerla internamente.

La direzione indicata da Banca d’Italia è chiara: la resilienza digitale non è più un’opzione riservata alle grandi organizzazioni. È un requisito di sistema che riguarda ogni operatore economico, indipendentemente dalla dimensione. E il mercato del credito è destinato a diventare uno dei principali vettori attraverso cui questa consapevolezza si trasformerà in comportamento concreto.

Verso un ecosistema della resilienza: cosa ci aspetta

Il documento di Banca d’Italia non è un punto di arrivo, ma un punto di partenza. Rappresenta il segnale che la trasformazione culturale, quella che spinge a vedere la cybersecurity non come un costo da minimizzare ma come un investimento da valorizzare, sta finalmente trovando riconoscimento nelle istituzioni che governano il sistema economico. Il passo successivo sarà l’integrazione sistematica di questi indicatori nei processi di valutazione del credito, con ricadute pratiche sui tassi, sulle condizioni di accesso al finanziamento e, in prospettiva, sui requisiti di assicurabilità delle imprese.

In parallelo, cresce la pressione normativa europea. La NIS2, in vigore dal 2024, ha esteso significativamente il perimetro dei soggetti obbligati agli standard di sicurezza. Il Cyber Resilience Act introduce obblighi per i produttori di dispositivi connessi. DORA impone alla finanza standard stringenti di resilienza operativa digitale. Questo corpus normativo in rapida espansione richiede alle imprese di strutturarsi, di investire in competenze e di costruire processi solidi di gestione del rischio cibernetico.

In questo contesto, il CISO, o chi ne svolge la funzione è destinato a diventare una figura sempre più centrale nella vita delle organizzazioni. Non come tecnico da relegare nelle stanze server, ma come executive capace di dialogare con il consiglio di amministrazione, con gli investitori, con i regolatori e con i clienti. Un manager che sa tenere insieme la dimensione tecnica della sicurezza con quella economica, giuridica e strategica del business.

Conclusioni: per fare business, ci vuole un CISO

Quello che fino a qualche anno fa appariva come uno slogan da convegno, il CISO al tavolo del board, la cybersecurity come leva di valore, sta diventando sempre di più realtà normativa, economica e di mercato. La pubblicazione di Banca d’Italia lo certifica con la forza di un documento istituzionale: la postura di sicurezza di un’impresa è un indicatore della sua solidità complessiva, della sua capacità di sopravvivere agli shock, della sua affidabilità come partner commerciale e come prenditore di credito.

Per chi lavora nella sicurezza informatica, questo è un momento di straordinaria opportunità e di altrettanta responsabilità. L’opportunità è quella di far valere finalmente il proprio ruolo in modo commisurato all’impatto che la cybersecurity ha sulla vita delle organizzazioni. La responsabilità è quella di essere all’altezza di questa aspettativa: di saper comunicare il rischio in termini di business, di costruire alleanze con il management, di guidare le proprie organizzazioni verso una resilienza genuina e misurabile.

Chissà che di qui a qualche tempo non riusciremo, con tutto l’orgoglio del caso, a parafrasare la nota filastrocca e affermare con piena consapevolezza: “per fare business… ci vuole un CISO“.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Giovanni Lamberti
Membro fondatore Associso

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • Google vaultgemma; furto documenti; indipendenza garanti privacy ISO/IEC 27701:2025 europrivacy

  • l'analisi

    Potere e responsabilità nella cultura della protezione dei dati: la relazione annuale 2024 del Garante privacy

    15 Lug 2025

    di Anna Cataleta

    Condividi
  • replika (1)

  • privacy e gdpr

    Replika sanzionata dal Garante: ecco le falle nel sistema di verifica dell'età

    12 Giu 2025

    di Aurelia Losavio

    Condividi
  • cloud orbitale digitalizzazione; infrastrutture AI; private AI evoluzione del cloud computing scelta del database cloud cloud sovranità dei dati multicloud; cloud region; egress fee datacenter in orbita

  • Sovranità dei dati

    Aerospazio e difesa, l’Ue punta sul cloud sovrano: ecco la strategia

    15 Ott 2025

    di Vincenzo E. M. Giardino

    Condividi
0
Lascia un commento, la tua opinione conta.x