Il recente rapporto Clusit non lascia spazio a interpretazioni: l’Italia è in stato di assedio digitale. Con un’anomalia che ci vede oggetto del 10,2% di tutti gli attacchi gravi a livello globale, il nostro Paese appare come un bersaglio sproporzionato. Ma il dato più allarmante, che definisce la nostra unicità in negativo, è la motivazione: se nel mondo la minaccia principale è il cybercrime a scopo di lucro, in Italia il fenomeno dominante è l’hacktivism, che costituisce addirittura il 54% degli incidenti, tipicamente declinato su attacchi DDoS che mirano a paralizzare i servizi essenziali, colpendo settori strategici come quello governativo (+600% di attacchi) e dei trasporti.
In questo scenario di pressione costante, con l’Italia che detiene l’ultimo posto nel G7 per quanto riguarda gli investimenti in cybersecurity (lo 0,12% del PIL, rispetto allo 0,34% degli Stati Uniti o lo 0,29% del Regno Unito, secondo Deloitte), chi si trova a difendere il perimetro aziendale è sottoposto oggi a uno stress senza precedenti. I Chief Information Security Officer (CISO) sono in prima linea, e stanno pagando il prezzo di questa guerra digitale. La crescente sofisticazione e il volume delle minacce, unite alla pressione normativa, stanno portando a un’emergenza nell’emergenza: il burnout di chi ci protegge. Il 61% dei CISO italiani, infatti, dichiara di affrontare aspettative irrealistiche e il 55% ha sperimentato un esaurimento nell’ultimo anno.
È una pressione insostenibile, che nasce non solo dalle minacce esterne, ma anche da una consapevolezza interna difficile da gestire: la tecnologia da sola non basta. Il vero tallone d’Achille, come evidenzia la nostra ricerca “Voice of the CISO 2025”, rimangono le persone. Il 68% dei CISO italiani cita proprio l’errore umano come il rischio maggiore per la propria organizzazione. I fatti lo confermano: il 77% ha subìto una perdita di dati significativa nell’ultimo anno e, dato ancora più allarmante, il 94% ritiene che un ruolo in queste fughe di informazioni sia stato giocato dagli ex dipendenti. La disconnessione è evidente: da un lato, il 64% dei CISO crede che i dipendenti comprendano le migliori pratiche di sicurezza; dall’altro, come evidenziato dal nostro report “Data Security Landscape 2025”, il 54% delle aziende italiane attribuisce gli incidenti più gravi alla scarsa attenzione del personale. La sola consapevolezza, quindi, non è più sufficiente.
Si tratta di un problema diffuso in tutto il mondo, tanto che il mercato globale della formazione in cybersecurity – già in forte crescita e valutato 4,5 miliardi di dollari nel 2023, sulla spinta della rapida digitalizzazione e della crescente superficie di attacco viene proiettato a 13,7 miliardi entro il 2030.
È necessario e urgente un cambio di paradigma. Bisogna passare da una sicurezza basata solo sulla tecnologia a un approccio “human-centric”, che metta le persone al centro della strategia. Questo non significa solo fare formazione, ma creare una vera cultura della sicurezza, fornire strumenti che proteggano gli utenti senza ostacolarli e implementare soluzioni di Data Loss Prevention (DLP) e Insider Risk Management che colmino il divario tra la conoscenza delle regole e il comportamento reale. Proteggere le persone significa salvaguardare il patrimonio più importante di un’azienda: i dati. E in un’Italia sotto attacco, non possiamo più permetterci di trascurare il nostro anello più debole, ma anche più prezioso.
