La resilienza informatica si consolida come priorità strategica per le imprese italiane, ma l’evoluzione degli investimenti e delle policy non è ancora accompagnata da un adeguato salto qualitativo nella capacità di risposta. È il quadro delineato dall’indagine The Ripple Effect: A Hallmark of Resilient Cybersecurity di Zscaler, che mette in evidenza un disallineamento strutturale tra la crescente fiducia nelle strategie adottate e la reale preparazione rispetto a un contesto dominato da incidenti informatici, attacchi alla supply chain, volatilità dei mercati e instabilità geopolitica, sempre più interconnessi tra loro e capaci di generare effetti a catena sull’operatività aziendale.
Più investimenti, ma la sicurezza non tiene il passo
In questo scenario, il dato sugli investimenti appare solo parzialmente rassicurante e va letto insieme agli indicatori di efficacia. Se da un lato l’83% delle aziende italiane ha aumentato la spesa in resilienza informatica e il 98% ha aggiornato le proprie strategie in risposta a fattori esterni, dall’altro la percezione di efficacia resta limitata: solo il 19% ritiene adeguate le proprie misure rispetto alla volatilità della supply chain, mentre appena il 24% considera realmente efficaci le strategie adottate in questo ambito, un valore inferiore alla media EMEA (30%).
Il dato evidenzia un contrasto marcato tra fiducia e capacità reale: le organizzazioni dichiarano un livello elevato di confidenza nelle proprie strategie di resilienza, ma tale sicurezza non trova riscontro nella capacità di gestire scenari complessi. Questo scarto emerge con ancora maggiore evidenza nella valutazione delle capacità difensive: il 45% dei responsabili IT riconosce che i sistemi di sicurezza attuali non sono in grado di contrastare minacce avanzate, segnalando una fragilità che non dipende tanto dal livello di investimento quanto dall’impostazione delle architetture e dei modelli operativi adottati.
Il perimetro non basta più
Il nodo centrale individuato dalla ricerca riguarda infatti la persistenza di un approccio prevalentemente interno alla resilienza, ancora ancorato a logiche di controllo perimetrale. Il 53% delle aziende italiane ammette che le strategie restano troppo concentrate sulla protezione del perimetro aziendale, nonostante le principali fonti di rischio si collochino ormai all’esterno, lungo una filiera digitale sempre più articolata che comprende fornitori, partner, piattaforme tecnologiche e mercati globali soggetti a instabilità.
“Le cause delle interruzioni dell’operatività aziendale oggi possono essere esterne all’azienda”, osserva Elena Accardi, Country Manager di Zscaler. “La vera resilienza deve estendersi a tutti gli anelli della catena, dai partner alle piattaforme fino alla supply chain, per assorbire gli impatti esterni prima che compromettano l’operatività aziendale”.
Quando il rischio arriva dalla filiera
La dimensione del rischio legato alle terze parti si riflette direttamente nella continuità operativa e nella previsione di eventi critici. Il 69% dei responsabili IT prevede un’interruzione significativa causata da fornitori o partner nei prossimi 12 mesi, mentre il 55% ha già vissuto episodi analoghi nell’ultimo anno, a dimostrazione di un rischio non solo potenziale ma già concretizzato. Nonostante ciò, meno della metà delle organizzazioni ha avviato iniziative concrete per adattare le strategie alla complessità della supply chain, che emerge così come uno dei principali punti ciechi nella gestione della resilienza estesa.
Tecnologie vecchie, minacce nuove
A questo limite si somma una componente infrastrutturale altrettanto rilevante, che incide direttamente sulla capacità di risposta. L’86% delle aziende continua a basarsi su tecnologie legacy – firewall, VPN, modelli perimetrali – che riflettono un paradigma non più coerente con la natura distribuita delle architetture digitali contemporanee, caratterizzate da accessi diffusi e ambienti cloud. Non sorprende quindi che il 49% segnali l’architettura IT come un limite diretto alla capacità di risposta, riducendo l’efficacia nella gestione di violazioni, interruzioni e malfunzionamenti e rallentando i tempi di reazione.
L’AI fuori controllo
Il quadro si complica ulteriormente con l’emergere di nuove variabili tecnologiche che ampliano la superficie di attacco. L’adozione dell’intelligenza artificiale introduce elementi di discontinuità che non sempre trovano un corrispettivo in termini di governance: il 35% delle aziende che stanno implementando AI agentica non dispone di framework adeguati, mentre il fenomeno della “shadow AI” evidenzia una perdita di controllo più ampia, con il 62% privo di visibilità sull’utilizzo di applicazioni non autorizzate e il 47% che teme l’esposizione di dati sensibili attraverso strumenti pubblici o non governati.
Il tempo del quantum è già iniziato
Parallelamente, il tema della crittografia post-quantistica (PQC) introduce una dimensione di rischio differita ma concreta, che impone una pianificazione anticipata. Il 73% delle aziende italiane non ha ancora integrato la PQC, nonostante il 64% riconosca che i dati sottratti oggi potrebbero essere compromessi entro 3-5 anni, evidenziando un disallineamento tra consapevolezza strategica e capacità di implementazione tecnologica.
Chi controlla davvero i dati?
Un ulteriore livello di complessità riguarda la sovranità digitale, sempre più centrale nel contesto europeo. La dipendenza da fornitori esteri sta ridefinendo le priorità delle organizzazioni, spingendole verso un maggiore controllo su dati, infrastrutture e processi operativi. Tuttavia, in Italia solo il 60% interviene attivamente per mitigare questi rischi, contro una media europea del 79%, il dato più basso tra le principali economie considerate, a indicare un ritardo relativo su questo fronte.
Il tema normativo si intreccia direttamente con questa dinamica e contribuisce a ridefinire le strategie. Il 56% delle aziende ha aggiornato le strategie per adeguarsi a nuove leggi sulla sovranità dei dati, mentre il 65% lo aveva già fatto in risposta a normative come NIS2, DORA e GDPR, a conferma di un contesto in cui la compliance rappresenta un driver sempre più rilevante nella definizione delle politiche di resilienza.
Ripensare la resilienza, oltre l’azienda
Alla luce di queste evidenze, il report individua alcune direttrici operative che puntano a superare i limiti dell’approccio tradizionale e a costruire un modello più esteso. In primo luogo, emerge la necessità di estendere la visibilità sull’intera superficie di rischio, includendo supply chain, partner e utilizzo dell’intelligenza artificiale attraverso piattaforme integrate in grado di offrire controllo end-to-end.
“Sebbene sia comprensibile che le aziende internazionali siano caute nell’investire nella trasformazione digitale in questo contesto geopolitico, ciò potrebbe far sì che chi resta indietro perda terreno in modo significativo”, osserva Marco Catino, Senior Manager Sales Engineering di Zscaler. “Le aziende più lungimiranti stanno abbandonando le tradizionali architetture centralizzate per adottare modelli distribuiti, con sovranità e localizzazione al centro, così da mitigare qualsiasi problema legato alla sovranità dei dati”.
In secondo luogo, si sottolinea l’importanza di semplificare le architetture attraverso modelli basati su piattaforma e approcci Zero Trust, fondati sul principio del privilegio minimo e capaci di proteggere tutte le connessioni in modo uniforme. Infine, viene evidenziata l’esigenza di costruire infrastrutture adattive, capaci di evolvere rapidamente integrando nuove funzionalità di sicurezza – attivabili da un’unica dashboard – dalla protezione dell’AI generativa alla gestione della crittografia post-quantistica, senza richiedere interventi strutturali complessi o discontinui.
Nel complesso, l’indagine restituisce l’immagine di un ecosistema aziendale che ha già avviato un percorso di trasformazione significativo, ma che deve ancora completare il passaggio da una resilienza centrata sull’organizzazione a una resilienza estesa, capace di includere l’intero perimetro operativo e le dinamiche di interdipendenza che oggi definiscono il rischio digitale.
