C’è una buona notizia, e vale la pena partire da qui: il deficit tecnologico delle PMI italiane in ambito cybersecurity si sta progressivamente riducendo. Le imprese investono di più, adottano strumenti più evoluti e dimostrano una crescente consapevolezza dei rischi digitali. Tuttavia, questa evoluzione non è sufficiente a colmare un gap più profondo, che riguarda la capacità di governare tali strumenti in modo organico ed efficace.
A fotografare con chiarezza questa situazione è il Cyber Index PMI 2025, promosso da Confindustria e Generali con il supporto scientifico del Politecnico di Milano e dell’Agenzia per la Cybersicurezza Nazionale. Il punteggio medio raggiunto dalle PMI italiane è pari a 55 su 100: un dato ancora sotto la soglia di sufficienza fissata a 60, che evidenzia una polarizzazione significativa tra un gruppo ristretto di imprese mature e una platea molto più ampia ancora esposta ai rischi.
Il problema, quindi, non è più (solo) tecnologico. È organizzativo.
Indice degli argomenti
Il problema della governance senza esecuzione
Negli ultimi anni, molte PMI hanno compiuto passi avanti sul piano della consapevolezza strategica. Il punteggio relativo all’approccio strategico alla cybersecurity ha infatti raggiunto quota 62 su 100, superando la soglia della sufficienza. Ma è quando si passa dalla teoria alla pratica che emergono le criticità più evidenti.
Le attività di identificazione e valutazione del rischio si fermano a 47 su 100, mentre l’implementazione concreta delle misure di sicurezza si attesta a 57, rimanendo sostanzialmente stabile rispetto all’anno precedente. In altre parole, le imprese sanno cosa dovrebbero fare, ma faticano a tradurlo in azioni operative coerenti e continuative.
Alla base di questo scollamento c’è un approccio ancora diffuso che considera la sicurezza informatica come una questione puramente tecnologica, spesso delegata interamente alla funzione IT. Una visione che oggi mostra tutti i suoi limiti, soprattutto alla luce delle nuove normative europee, come la direttiva NIS2, che spostano la responsabilità della cybersecurity ai vertici aziendali, rendendola a tutti gli effetti un tema di governance e organizzazione.
Formazione: l’anello mancante
Dal nostro punto di vista, il fattore umano resta il vettore di attacco più sfruttato. Il Rapporto Clusit 2025 evidenzia come phishing e social engineering siano cresciuti del 35%, confermandosi tra le principali modalità di attacco. Ancora più significativo è un altro dato: un attacco su dieci avrebbe potuto essere evitato con una migliore formazione del personale.
Questo significa che la protezione dei dati non può più essere considerata una responsabilità confinata a pochi specialisti, ma deve diventare un elemento diffuso all’interno dell’organizzazione. Ogni dipendente, indipendentemente dal ruolo, rappresenta un potenziale punto di ingresso per un attacco e, allo stesso tempo, una prima linea di difesa. La formazione, tuttavia, non può essere episodica o formale. Deve essere continua, concreta e misurabile, attraverso simulazioni realistiche e aggiornamenti costanti che permettano alle persone di riconoscere e gestire le minacce in modo efficace.
Responsabilità diffuse = responsabilità di nessuno
Un ulteriore elemento critico riguarda la definizione dei ruoli e delle responsabilità. Solo il 16% delle PMI italiane può essere considerato realmente “maturo” in ambito cybersecurity, ovvero capace di integrare in modo efficace persone, processi e tecnologie all’interno di una strategia coerente.
Nella maggior parte dei casi, invece, manca chiarezza su chi debba prendere decisioni, chi monitorare i rischi e chi intervenire in caso di incidente. Questa ambiguità organizzativa compromette la capacità di risposta, anche quando gli strumenti tecnologici disponibili sarebbero adeguati.
Un aspetto spesso trascurato non è solo “chi è responsabile”, ma quanto tempo serve perché una decisione venga presa e attuata. Nella sicurezza informatica, la velocità di risposta è tanto importante quanto la chiarezza dei ruoli. Anche un’organizzazione formalmente ben strutturata può risultare inefficace se i processi decisionali sono troppo lunghi o frammentati. Per questo motivo, alcune aziende stanno introducendo esercitazioni periodiche di simulazione degli incidenti, non tanto per verificare gli strumenti, quanto per misurare la reattività reale del sistema organizzativo e individuare colli di bottiglia decisionali.
La direzione da prendere per la cybersecurity delle PMI italiane
Il punto, dunque, non è introdurre ulteriori strumenti, ma imparare a governare quelli già disponibili. Il salto di qualità per le PMI italiane passa dalla costruzione di modelli organizzativi semplici, concreti e sostenibili, capaci di tradurre la strategia in azioni quotidiane.
Un modello troppo complesso, infatti, rischia di rimanere sulla carta, trasformandosi in un esercizio formale privo di reale efficacia. Al contrario, un approccio pragmatico, calibrato sulle dimensioni e sulle esigenze dell’impresa, può garantire risultati tangibili nel tempo.
In questo contesto, vale forse una provocazione: è davvero più grave che un dipendente chiami “antivirus” una soluzione avanzata come un sistema EDR, oppure che non si accorga di essere vittima di una truffa via email? La risposta è evidente e riassume il cuore del problema.
La cybersecurity, oggi, non è più una questione di strumenti. È una questione di cultura, responsabilità e capacità di esecuzione. La sua maturità non si misura solo nella prevenzione, ma nella capacità di apprendere dagli errori in modo strutturato. L’analisi degli incidenti dovrebbe evitare derive colpevolizzanti e trasformarsi in un processo di miglioramento continuo, in cui anche gli “incidenti mancati” diventano segnali utili per rafforzare l’organizzazione. È qui che la responsabilità smette di essere un’etichetta e diventa una pratica concreta.
