La superficie d’attacco delle organizzazioni non coincide più con i loro confini. È l’ecosistema di fornitori, outsourcer, partner tecnologici e gestori di servizi a definire — nel bene e nel male — la vera postura di sicurezza.
I numeri italiani lo mostrano con chiarezza: secondo i dati citati dall’Agenzia per la Cybersicurezza Nazionale (ACN), nel primo semestre 2025 gli attacchi verso realtà italiane sono aumentati del 53% rispetto al 2024, mentre gli incidenti con impatto confermato sono cresciuti del 98%.
Un attacco su tre passa oggi dalla supply chain, spesso attraverso fornitori meno maturi dal punto di vista della sicurezza. I bersagli più colpiti restano Pubblica Amministrazione (centrale e locale), Sanità e Telco — e i recenti episodi che hanno coinvolto i gestori del traffico aereo ricordano quanto la dipendenza da terzi possa tradursi in disservizi sistemici ad alta risonanza.
Indice degli argomenti
Lo scenario globale del rischio cyber delle terze parti
Anche la prospettiva internazionale conferma la centralità del tema. Nella 13° survey globale 2025 sulla percezione dei “Top risk” presso 1.215 Membri di CdA e C-suite executive commissionata da PROTIVITI a NC University’s ERM Initiative, le relazioni con terze parti figurano nella Top 10 nei prossimi 2–3 anni. In termini di distribuzione, un terzo degli executive attribuisce a questo rischio un impatto “alto”, un terzo “medio” e un terzo “basso” — segno di esposizioni molto diverse tra settori e supply chain. Ancora più eloquente l’orizzonte a 10 anni: tra i rischi operativi di lungo periodo, le terze parti si piazzano al terzo posto, selezionate dal 26% dei dirigenti (con Cyber al 31%), a testimonianza di un’interdipendenza che nel tempo tende a impennarsi.
Il collegamento con l’ambito cyber è diretto. Il report evidenzia che outsourcing, accordi di strategic sourcing ed ecosystem partnership estendono i confini dell’organizzazione e contribuiscono in modo significativo al rischio cyber: non basta essere forti “in casa” se la catena del valore rimane porosa. Per reagire, i board più maturi stanno investendo in Horizon scanning abilitato da dati, scenario analysis, modernizzazione tecnologica e rapid-response planning — un pacchetto di misure che unisce prevenzione e prontezza operativa.
Normative europee e gestione del rischio cyber delle terze parti
Sul fronte regolatorio, la Direttiva NIS2 e il Regolamento DORA spostano l’asticella dalla “buona pratica” alla due diligence: entrambi richiedono alle aziende in perimetro di imporre requisiti di sicurezza ai fornitori, selezionarli anche in base alla loro maturità cyber, verificarli nel tempo e sostituirli quando non adeguati. Per PA, Sanità, Trasporti e Telco questo non è solo compliance: è vera resilienza operativa.
Il ritardo italiano tra compliance formale e resilienza operativa
L’Italia è ancora in fase preliminare. Dalla nostra esperienza sul campo emerge con chiarezza che in Italia la gestione del rischio cyber rispetto alle terze parti è ancora in una fase iniziale. Nella maggior parte delle aziende il tema viene affrontato principalmente come adempimento di compliance: vengono aggiornati contratti e policy, ma raramente viene considerato questo rischio tra le priorità strategiche di resilienza e continuità operativa.
Questo approccio si riflette nel modo in cui le organizzazioni lavorano con la propria filiera. In molti casi vediamo realtà impegnate ancora in attività di base: ricostruzione dell’elenco fornitori, analisi per capire fino a che punto si estende la supply chain, distinzione tra fornitori critici e fornitori non strategici. Nelle organizzazioni più complesse – grandi gruppi, filiere dedicate all’export, ecosistemi con molti fornitori – questa analisi di base è spesso frammentaria, affidata a singoli reparti (legale, IT, acquisti) e priva di una regia unica in grado di definire una direzione chiara.
Contestualmente il quadro normativo si sta muovendo in direzione opposta: richiede maggior maturità e per molte organizzazioni ciò significa colmare in pochi anni un ritardo accumulato in tempi più lunghi.
I dati e gli incidenti analizzati dimostrano che non si tratta di un rischio teorico: gli attacchi avvengono attraverso la catena di fornitura, cercando l’anello più debole all’interno dell’ecosistema di partner e fornitori. Ecco perché limitarsi a presidiare il perimetro interno di un’organizzazione non è più sufficiente.
Per il sistema Paese e per le singole imprese, la sfida dei prossimi anni sarà quindi passare da una gestione del rischio legato alle terze parti guidata dalla compliance a un modello integrato davvero. Questo significherà completare il censimento dei fornitori lungo tutta la filiera, classificarli per criticità, includere requisiti cyber nei criteri di selezione e implementare due diligence e monitoraggio continuo. Nei progetti a cui stiamo lavorando è proprio l’integrazione fra funzioni IT, legale, risk management, acquisti a fare la differenza tra un approccio superficiale e un reale percorso di rafforzamento della resilienza.
Come strutturare la gestione del rischio cyber delle terze parti
Come operare quindi? Affrontare in modo efficace il rischio relativo alle terze parti implica passare da interventi episodici a un modello strutturato e scalabile. Non è sufficiente aggiornare contratti o introdurre nuovi tool: servono governance, processi, competenze e tecnologie in grado di lavorare insieme, in continuità.
Governance integrata e tassonomia dei fornitori
Innanzitutto serve definire una tassonomia chiara dei fornitori e dei partner, identificando quelli potenzialmente critici per la continuità operativa e la protezione degli asset informativi. Basandosi su questo è possibile integrare requisiti di sicurezza, privacy e compliance nei processi di procurement, con criteri di selezione, qualificazione e due diligence coerenti e ripetibili. Nelle organizzazioni più strutturate, il coordinamento del reparto acquisti, IT, security, risk management e legale consente di superare approcci frammentati e avere una visione complessiva della situazione.
Tecnologia, continuous monitoring e vantaggio competitivo
La tecnologia diventa un terzo pilastro fondamentale: piattaforme di terze parti, soluzioni di risk management, strumenti di continuous monitoring e di analisi avanzata, intelligenza artificiale inclusa, permettono di automatizzare attività a basso valore aggiunto e concentrare le risorse interne sui casi di maggiore criticità.
Trattare la gestione del rischio delle terze parti in maniera continuativa – con metriche, obiettivi, reporting e aggiornamento costante di criteri e controlli – consente alle organizzazioni non solo di ridurre la propria vulnerabilità, ma soprattutto di trasformare la possibile criticità della supply chain in un elemento distintivo di affidabilità e resilienza sul mercato.
