Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

MAPPA DEI RISCHI

La nuova sicurezza aziendale, da costo a leva strategica

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Le imprese italiane riconoscono i rischi ma faticano a trasformarli in azione concreta. Il mid-market è l’anello più fragile, mentre cresce il peso strategico della funzione sicurezza, sempre più legata a competenze, investimenti e cultura del rischio condivisa

Pubblicato il 12 dic 2025
Alessandro Manfredini

presidente AIPSA

cyber sicurezza e appalti PA (1) aggiornamento dati NIS2 sicurezza aziendale

Le imprese italiane sono entrate in una nuova fase della sicurezza.
Una fase in cui le minacce non si limitano più a un ransomware o a un furto di dati, ma investono l’intero sistema produttivo, dai fornitori alla logistica, fino alla reputazione aziendale.
Il Security Risk Index 2025 dell’Osservatorio AIPSA – The European House Ambrosetti fotografa un Paese consapevole dei rischi, ma ancora troppo lento nel tradurli in azione.
E il tempo, in questo scenario, è la variabile più pericolosa di tutte.

Sicurezza aziendale al tempo dell’AI, come trovare la giusta strategia

Le imprese sanno di essere esposte. Ma non tutte sanno come reagire.

Sicurezza aziendale: dalla consapevolezza all’azione

L’indagine, che ha coinvolto 150 professionisti della security attivi in più di 20 settori industriali, per un fatturato aggregato di oltre 450 miliardi di euro, mette in luce un paradosso: cresce la percezione del rischio, ma la capacità di risposta resta frammentata.

Le priorità? Reati contro il patrimonio (36,7%), ransomware (26,9%) e attacchi alla supply chain (25,8%).

La vera novità, però, è la convergenza tra sicurezza fisica e digitale: quasi un’azienda su due (49%) ha un modello integrato, segno che la cultura della sicurezza sta evolvendo verso una visione più sistemica.
Eppure, il 59% delle imprese non possiede ancora un piano di gestione delle crisi.
Un numero che racconta la fragilità di un sistema che sa riconoscere i rischi, ma non sempre è in grado di orchestrare una risposta di sistema.
È come se avessimo capito che la minaccia è alle porte, ma non ancora costruito la porta stessa.

Rischi emergenti e sicurezza aziendale nella supply chain

Supply chain e ransomware: il doppio fronte caldo del 2025.
Due fenomeni emergono su tutti: ransomware e attacchi alla supply chain.

Nelle medie imprese (fatturato tra 50 e 250 milioni di euro), un singolo incidente può costare fino a 1,8 milioni di euro.
Sulla base del modello ideato da TEHA, di conseguenza, ridurre dell’1% il rischio ransomware equivale a un beneficio economico di circa 9.200 euro per una micro impresa, che sale a 79.000 euro per le aziende tra 250 milioni e 1 miliardo.
Per le multinazionali oltre i 10 miliardi, lo stesso punto percentuale di mitigazione del rischio sulla supply chain vale oltre 3,4 milioni di euro.

Numeri che mostrano un sistema interconnesso e vulnerabile, in cui il rischio si propaga come una corrente elettrica: un guasto in un nodo può bruciare l’intera rete.
La protezione dei fornitori, la tracciabilità delle terze parti e l’analisi predittiva diventano quindi pilastri della sicurezza moderna.

Perché il mid-market è l’anello debole della sicurezza aziendale

Le grandi aziende si muovono, spesso spinte da regolamentazioni e audit internazionali, ma il vero terreno critico è quello delle imprese di medie dimensioni.
Nel giro di un anno, le multinazionali sono riuscite a ridurre del 51% l’impatto medio di un attacco alla supply chain; le imprese da 500 milioni di euro di fatturato hanno invece visto salire l’incidenza di un potenziale incidente da 6 a oltre 9 milioni di euro.

Il mid-market è l’anello debole della catena. Qui il problema non è solo tecnologico.
È culturale.
Troppo spesso la sicurezza è ancora vissuta come una spesa “non strategica”, un servizio esterno da attivare all’occorrenza.
Ma la verità è che nessun business può permettersi di delegare la propria resilienza.
Il rischio va presidiato con la stessa competenza con cui si gestisce la finanza, la supply chain o la reputazione del brand.

Competenze, investimenti e sicurezza aziendale del futuro

Le competenze sono la nuova frontiera della sicurezza.
Il 22% delle imprese indica la cybersecurity avanzata come priorità assoluta per integrare nuove risorse, seguita da risk management (18%) e compliance (17%).
Ma quasi la metà preferisce rivolgersi a consulenti esterni.

È un segnale chiaro: il mercato del lavoro della sicurezza è in tensione, e la competenza sta diventando un fattore competitivo tanto quanto la tecnologia.
Eppure, gli investimenti restano marginali: il CAPEX medio per la sicurezza è pari allo 0,38% del fatturato, l’OPEX allo 0,51%.
In crescita decisa rispetto agli anni scorsi, ma non basta.

Finché la sicurezza resterà confinata a queste percentuali, continuerà a essere un tema di emergenza, non di strategia.
Il vero salto avverrà solo quando la governance aziendale considererà la sicurezza come leva di crescita e non solo come costo.

Nuovi ruoli e governance del rischio in impresa

Verso una sicurezza integrata, inclusiva e strategica.
La professione del Security Manager si sta trasformando: sempre più trasversale, più giovane e più diversificata.
Le donne rappresentano oggi il 57% dei professionisti nelle aree governance, compliance e legal.

È un segnale positivo, che racconta una visione più moderna della sicurezza: non più reattiva, ma collaborativa; non più gerarchica, ma partecipata.
Il passo successivo è istituzionalizzare la cultura del rischio.
Significa fare della sicurezza un linguaggio comune tra direzione, IT, operations e comunicazione. Significa che il risk management non è più un ufficio, ma un modo di pensare.

Dal reagire al prevedere: una cultura del rischio diffusa

Dal reagire al prevedere: il nuovo imperativo.

Il Security Risk Index 2025 non è un campanello d’allarme, è un cruscotto.
E indica chiaramente la direzione: le minacce cresceranno, ma cresceranno anche le opportunità per chi saprà anticiparle.
La differenza tra chi subirà un attacco e chi lo eviterà starà nella capacità di trasformare la sicurezza in una competenza strategica diffusa.

Per le imprese italiane è il momento di cambiare paradigma: non “fare sicurezza”, ma diventare organizzazioni sicure, in cui la protezione di dati, persone e processi è parte della stessa idea di sviluppo.
Chi saprà muoversi ora costruirà un vantaggio competitivo destinato a durare.
Chi aspetterà, scoprirà troppo tardi che la sicurezza non è un costo. È l’unico vero investimento che assicura il futuro.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Alessandro Manfredini
presidente AIPSA
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
AI per il lavoro
Mobile security
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • privacy, G7 Garanti privacy 2024 (1) Verticale sulla privacy

  • Garante italiano

    Imprese, come rendere la privacy un vantaggio competitivo

    08 Set 2025

    di Nicola Manzi

    Condividi
  • Verifica dell’età online (1)

  • age assurance

    Verifica dell’età online, nuove regole al via: cosa cambia per imprese e utenti

    10 Lug 2025

    di Simone Baldini

    Condividi
  • Travel Risk Management

  • guida pratica

    Travel Risk Management: come garantire la sicurezza dei lavoratori all’estero

    22 Mag 2025

    di Valeria Morosini

    Condividi