La cybersecurity è stata a lungo confinata a una funzione prevalentemente tecnica, relegata all’interno dei perimetri IT e associata a strumenti e attività operative come firewall, antivirus, backup e monitoraggio di rete.
In questa prospettiva, il tema risultava sostanzialmente delegabile, spesso percepito come distante dalle dinamiche decisionali del management e dalle priorità strategiche del board. Questo modello interpretativo oggi non è più sostenibile.
La sicurezza informatica non può essere ridotta a una questione infrastrutturale. Le vulnerabilità non emergono soltanto a livello tecnologico, ma riflettono scelte organizzative, modelli di governance, allocazione delle risorse e soprattutto il modo in cui il rischio viene definito, misurato e gestito. Tutti elementi che rientrano pienamente nel perimetro di responsabilità del vertice aziendale.
Indice degli argomenti
La cybersecurity entra nella governance aziendale
A confermare la crescente centralità del tema è anche il quadro emerso dal Rapporto Clusit 2026. Secondo il report, nel 2025 in Italia sono stati registrati 507 incidenti cyber gravi, con una crescita del +42% rispetto all’anno precedente. Il nostro Paese rappresenta oggi il 9,6% degli incidenti cyber gravi censiti a livello mondiale, un dato particolarmente elevato rispetto al peso economico italiano nello scenario globale. Il Rapporto evidenzia inoltre come gli attacchi ad alto impatto continuino ad aumentare: nel 2025 gli incidenti classificati come “High” e “Critical” hanno rappresentato oltre l’84% del totale globale censito. Particolarmente esposto anche il settore manifatturiero, considerando che circa il 16% degli attacchi globali contro il manufacturing ha colpito organizzazioni italiane (fonte: Rapporto Clusit 2026).
Negli ultimi anni, l’evoluzione normativa e regolatoria ha reso esplicito un cambio di paradigma in virtù del fatto che il rischio cyber non è più classificabile unicamente come rischio operativo, ma assume le caratteristiche di un rischio di governance, con possibili ricadute dirette anche sulla responsabilità personale di CEO, amministratori e senior management. In questo contesto si inserisce anche la Direttiva NIS2, che rafforza in modo significativo gli obblighi di gestione del rischio informatico e introduce un livello più stringente di accountability per gli organi di amministrazione e direzione, rendendo esplicito che la cybersecurity non può più essere considerata un ambito delegabile esclusivamente all’IT, ma un elemento strutturale della governance aziendale.
Dal rischio tecnico alla responsabilità personale
Quando si verifica un incidente informatico, l’impatto economico rappresenta solo la manifestazione più immediata e visibile. Le conseguenze reali, tuttavia, si sviluppano su più livelli e spesso con effetti più rilevanti nel medio periodo.
Possono emergere indagini da parte delle autorità di regolazione, sanzioni amministrative, contenziosi con clienti e partner, oltre a verifiche approfondite sulla diligenza degli amministratori e sulla qualità dei processi decisionali adottati prima dell’incidente. A questo si aggiungono impatti reputazionali che non riguardano solo l’azienda, ma anche la credibilità personale del management agli occhi del mercato e degli stakeholder.
In molti casi, infatti, il punto critico non è l’attacco in sé, quanto ciò che viene messo in luce nella fase successiva: le misure adottate erano proporzionate al livello di esposizione? Il rischio era stato formalmente identificato e valutato? Le decisioni erano tracciabili e coerenti con una logica di controllo? Esisteva un impianto di governance realmente funzionante o solo dichiarato?
È in questo passaggio che un incidente tecnico può trasformarsi in una questione di accountability manageriale. Non si tratta più soltanto di protezione dei sistemi, ma della capacità dell’organizzazione di dimostrare, anche ex post, di aver esercitato una governance adeguata e documentabile.
Gli errori più diffusi nella gestione del rischio cyber
Il problema più diffuso non è l’assenza di consapevolezza del rischio cyber, quanto piuttosto la sua interpretazione attraverso schemi mentali non più adeguati alla complessità attuale.
Una prima distorsione ricorrente è l’idea che la presenza di un reparto IT interno equivalga, di per sé, a una copertura sufficiente. In realtà, la gestione tecnica delle infrastrutture non coincide con un sistema strutturato di governo del rischio. La cybersecurity efficace richiede infatti un livello diverso che contempli una definizione chiara di ruoli e responsabilità, processi decisionali formalizzati e criteri espliciti di priorità e controllo.
Un secondo errore è la sottovalutazione dell’esposizione in base alla percezione di rilevanza del proprio business. L’idea di non essere un bersaglio interessante si scontra con la natura degli attacchi contemporanei, sempre più automatizzati e opportunistici, orientati alla vulnerabilità piuttosto che al profilo della singola organizzazione. Inoltre, molte compromissioni avvengono in modo indiretto, attraverso fornitori, partner o componenti della supply chain digitale.
Un’ulteriore semplificazione riguarda la convinzione che le azioni già intraprese nel passato siano sufficienti a garantire un livello adeguato di protezione. La cybersecurity, tuttavia, non è un progetto con un punto di arrivo definito, ma un processo continuo di adattamento. Minacce, architetture tecnologiche e requisiti normativi evolvono con tale rapidità da rendere rapidamente obsoleti assetti che, in precedenza, erano considerati adeguati.
Cybersecurity come sistema di controllo
Il cambiamento più rilevante consiste nel riconoscere la cybersecurity non come un insieme di iniziative tecniche, ma come una componente strutturale del sistema di controllo aziendale.
In questa prospettiva, non è sufficiente adottare strumenti o reagire agli incidenti. È necessario costruire un modello di gestione del rischio continuo, basato su processi formalizzati, responsabilità chiaramente attribuite, valutazioni periodiche e policy costantemente aggiornate. A questo si aggiunge la necessità di mantenere evidenze documentali, garantire tracciabilità decisionale e prevedere momenti di verifica e audit.
La qualità della governance diventa quindi un elemento centrale anche in sede regolatoria e legale. In molti casi, infatti, la discriminante non è l’assenza di incidenti, ma la capacità di dimostrare di aver adottato misure proporzionate, coerenti e ragionevolmente aggiornate rispetto al livello di rischio.
La maturità cyber di un’organizzazione non si misura soltanto sulla base della sua capacità di prevenire gli attacchi, ma anche sulla solidità con cui è in grado di gestirli e governarne le conseguenze nel tempo.
Il ruolo del management
Le evoluzioni normative europee degli ultimi anni stanno consolidando un principio ormai difficile da ignorare secondo il quale la cybersicurezza è parte integrante delle responsabilità del management.
Questo comporta un’evoluzione significativa nel modo in cui vengono affrontate le decisioni relative a investimenti, priorità operative e tolleranza al rischio. Non si tratta più di scelte esclusivamente tecniche, ma di elementi che devono essere integrati stabilmente nella discussione strategica del board.
Per i CEO questo implica un cambio di prospettiva non marginale. La delega tecnica non è più sufficiente se non è accompagnata da una reale comprensione del rischio e dalla capacità di dimostrare di averlo governato in modo strutturato, continuativo e verificabile.
La vulnerabilità principale, in questo contesto, non è soltanto tecnologica. È organizzativa e, soprattutto, gestionale.
Dalla protezione tecnica al governo del rischio
È importante riconoscere che nessun sistema di cybersecurity è in grado di eliminare completamente il rischio. Anche i contesti più maturi e strutturati non possono puntare a una condizione di assenza totale di incidenti, che nella pratica non rappresenta un obiettivo realistico.
La questione centrale diventa quindi un’altra: non tanto la capacità di evitare ogni attacco, quanto la possibilità di dimostrare, nel caso in cui un incidente si verifichi, di aver adottato tutte le misure ragionevolmente necessarie per prevenirlo, gestirlo e governarlo in modo adeguato.
È su questo piano che si definisce la differenza tra una semplice protezione tecnica e una vera struttura di governo del rischio.
Partecipa alla community