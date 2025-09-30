Da anni mi occupo di sicurezza e rischi tecnologici.

Nel settore bancario il ruolo del Chief Information Security Officer (CISO) è chiaro, normato e regolato, ma fuori da questo contesto la percezione cambia: spesso il CISO è visto come il “tecnico della sicurezza”, colui che si occupa di firewall e di antivirus.

Questa percezione è ancora molto diffusa, tanto che in diversi settori il ruolo del CISO non esiste nemmeno: non sapendo esattamente cosa faccia, molte aziende non ne sentono la necessità.

L’essenza del Ciso del futuro- Cybersecurity360 Awards 2025

Ne ho avuto conferma di recente, partecipando come giurato ai Cybersecurity360 Awards 2025, a Lazise. In quell’occasione, tra survey[1] (vedi slide in quest’articolo) e confronti nei tavoli di lavoro, è emerso un quadro chiaro: i CISO sanno bene qual è il loro incarico, ma riconoscono che all’esterno non sempre c’è la stessa consapevolezza. Non a caso molti si sono riconosciuti nelle definizioni di “custodi” ed “equilibristi”, non più semplici “pompieri” chiamati a spegnere incendi.

È un’immagine che rende bene il cambio di passo: custodire significa proteggere e garantire continuità, fare l’equilibrista vuol dire tenere insieme innovazione e rischio, velocità e resilienza.

Ed il contesto di riferimento, tra innovazione e rischi emergenti, non è tra i più semplici: cloud, servizi esternalizzati, applicazioni integrate, dati che viaggiano ovunque e, naturalmente, Intelligenza Artificiale nelle sue diverse declinazioni ed applicazioni.

La trasformazione digitale avanza in tutti i settori, portando con sé benefici enormi, ma anche nuovi rischi: maggiore superficie di attacco, perdita di controllo sui dati in ambienti esternalizzati e distribuiti, un cybercrime sempre più organizzato e sofisticato, nuove normative (DORA, NIS2, AI Act) che chiedono processi robusti e, non da ultimo, la necessità di bilanciare innovazione e sicurezza senza rallentare il business.

Come deve essere il Ciso nel 2026

Nel 2026 il CISO dovrà, più che mai, governare la complessità crescente e trasformarla in opportunità.

Governance: il primo mattone della sicurezza

Il CISO non è (solo) un tecnico: è un manager della sicurezza, ed il primo passo è la governance.

Senza un modello organizzativo chiaro che definisca ruoli, responsabilità, flussi di reporting con indicatori chiari e misurabili, la sicurezza rischia di restare un insieme di buone intenzioni.

Il top management deve esserne parte attiva: approvare il modello, monitorarne l’efficacia, misurare periodicamente se la direzione intrapresa sia coerente con gli obiettivi aziendali.

Questo modello deve considerare che la sicurezza non appartiene più a un dipartimento isolato (ICT Information Security), ma coinvolgere tutta l’azienda: compliance, legale, innovazione, risorse umane, procurement, fino ai team di business.

Di conseguenza, il CISO dovrà essere in grado di parlare linguaggi diversi: tecnico con l’ICT, normativo con la compliance, economico ed orientato al valore con il business e con il top management.

Un aspetto emerso chiaramente anche nei confronti tra CISO e CIO all’evento è che la competenza davvero distintiva non è la conoscenza dell’ultima tecnologia, ma la capacità di gestire il rischio e di saper interagire con gli stakeholder. È questa la leva che permetterà al CISO di passare dal ruolo di tecnico a quello di manager strategico.

AI: opportunità da cogliere, rischi da governare (anche per il ruolo del CISO, da reattivo a proattivo)

L’Intelligenza Artificiale è la metafora perfetta delle sfide del nostro tempo: da un lato è un alleato prezioso, capace di velocizzare l’analisi degli incidenti, ridurre i tempi di risposta, supportare le decisioni: dall’altro è un’arma nelle mani dei criminali, che la sfruttano per rendere i phishing più credibili, automatizzare gli attacchi e generare manipolazioni difficili da individuare.

Nei tavoli di lavoro dell’evento di Lazise è emerso chiaramente che l’AI non sta cambiando solo gli strumenti, ma anche il modo in cui il CISO debba interpretare se stesso: meno tecnico operativo, più figura strategica chiamata a guidare il cambiamento.

Quindi, il compito del buon CISO non è alimentare la paura, ma promuovere un utilizzo consapevole e sicuro di queste tecnologie, fissando paletti chiari e spiegandoli con un linguaggio comprensibile a tutti.

In questo scenario, non basta più reagire agli incidenti: la sicurezza non può essere solo una funzione reattiva. Oggi, e ancora di più domani, il CISO deve diventare proattivo: anticipare scenari di rischio, contribuire alla definizione delle strategie, essere coinvolto prima dell’avvio dei progetti, immaginare possibili crisi e allenare l’organizzazione a rispondere sotto stress.

Soft skill: la competenza chiave

Se dovessi scegliere una competenza distintiva per il CISO del 2026, non sarebbe tecnica ma relazionale. Il CISO deve saper:

spiegare il rischio “cyber” in termini comprensibili al top management e al business,

negoziare soluzioni con i colleghi, sia di business sia ICT,

convincere il top management e il business che sicurezza e innovazione possono andare di pari passo.

La sicurezza perde credibilità se è percepita come un ostacolo; diventa invece un vantaggio competitivo quando è raccontata come abilitatore di innovazione sicura.

Un CISO che si limita a dire “no” rallenta l’azienda; un CISO presente al tavolo dei progetti fin dall’inizio, invece, grazie alle sue capacità relazionali, contribuisce ad integrare la sicurezza nelle decisioni ed a prevenire problemi che, se affrontati troppo tardi, comporterebbero costi aggiuntivi e ritardi nei progetti.

Dove collocare il CISO nell’organigramma

È un tema sempre discusso e trattato anche ai Cybersecurity360 Awards 2025: il CISO dovrebbe riportare al CIO, al CEO o al COO?

Non esiste una risposta unica: ogni modello ha pro e contro, e meriterebbe un approfondimento dedicato.

L’aspetto davvero importante è la chiarezza di mandato del CISO: indipendenza sufficiente, responsabilità definite, assenza di conflitti di interesse.

In sintesi, va definita la governance della sicurezza, con ruoli e responsabilità ben delineati e condivisi a livello aziendale.

Il CISO nel 2026: da funzione di difesa a motore culturale

Il CISO non è più soltanto colui che difende i sistemi o che presidia i confini digitali.

È il motore di una trasformazione culturale che deve permeare tutta l’organizzazione: far sì che la sicurezza diventi parte naturale del modo in cui si progetta, si innova e si lavora ogni giorno.

Una cultura della sicurezza diffusa è ciò che rende un’azienda resiliente. Non si tratta di inseguire l’illusione del rischio zero, impossibile, ma di imparare a governare i rischi, così che la sicurezza non sia un freno, ma la condizione che renda possibile l’innovazione.

Per questo, lascio due inviti concreti a chi legge:

definite con chiarezza il ruolo del CISO nella vostra azienda: responsabilità, collocazione, flussi decisionali;

coinvolgetelo fin dall’inizio delle nuove iniziative: se lo chiamate solo a ridosso del go-live del progetto rischiate ritardi e costi imprevisti per rimediare ai gap di sicurezza.

La vera sfida del 2026 non sarà decidere se adottare nuove tecnologie, ma capire come farlo in modo sicuro e consapevole. Per riuscirci sarà fondamentale riconoscere nel CISO un partner strategico del business: dalla sua capacità di unire sicurezza e innovazione potrà nascere un vantaggio competitivo reale.

Note

[1] Ref. “L’Essenziale nel Digitale: L’impatto dell’AI sul ruolo dei CISO e sull’Area Cybersecurity” di Raffaello Balocco, Professore Politecnico di Milano, Co-founder Digital360 e Nextwork360.