“Quando abbiamo iniziato, dieci anni fa, il cloud suscitava ancora diffidenza. Molti clienti ci dicevano: «No, preferiamo tenere i dati sotto il cuscino». Era il segno di un’epoca in cui il controllo fisico equivaleva alla fiducia”, ha ricordato Emilio Turani, Managing Director per Italia, South Eastern Europe, Turchia e Grecia di Qualys, aprendo la conferenza stampa che vedeva come protagonista Sumedh Thakar, CEO e Presidente dell’azienda californiana. Oggi la situazione è ribaltata: oltre 500 aziende italiane – tra banche, assicurazioni, industria e pubblica amministrazione – si affidano a Qualys. “Il cloud non è più un rischio, ma un acceleratore”, ha aggiunto. “E la sicurezza non è più un add-on, ma una componente strutturale del valore digitale”. Turani ha individuato tre fasi della maturazione del mercato italiano: la normalizzazione del cloud, ormai percepito come infrastruttura affidabile; la spinta normativa di GDPR, NIS2 e DORA, che hanno reso la gestione del rischio una funzione di governance;la transizione verso una sicurezza proattiva, dove l’obiettivo è prevenire, non reagire. “Le imprese hanno capito che la sicurezza non è un vincolo ma un fattore abilitante”, ha dichiarato Turani, secondo il quale “integrare la sicurezza nei processi significa innovare in modo sostenibile”.
Nel passaggio di testimone a Sumedh Thakar, Turani ha introdotto il tema della cybersecurity predittiva: visibilità continua, automazione e intelligenza artificiale come strumenti per anticipare gli eventi, non subirli. “Non basta più reagire”, ha detto. “Bisogna prevedere, correlare e agire prima che il rischio diventi incidente”.
Visibilità, automazione e AI
“Non puoi proteggere ciò che non vedi”, ha esordito Thakar, sintetizzando la filosofia di Qualys. La visibilità è il fondamento, l’automazione il metodo, e l’intelligenza artificiale il moltiplicatore. “Viviamo in un mondo dove la superficie d’attacco cresce ogni giorno. L’unico modo per ridurre il rischio è mantenere una vista unificata e aggiornata di tutto ciò che l’azienda possiede e utilizza”.
La piattaforma Qualys Enterprise raccoglie segnali da ambienti IT, cloud, container e infrastrutture OT, li correla e li trasforma in decisioni automatiche basate sul rischio, con l’obiettivo di ridurre i tempi di esposizione e rendere la sicurezza misurabile.
Il rischio, ha spiegato Thakar, non è una somma di vulnerabilità ma una relazione tra gravità, esposizione e valore. “Ogni azienda scopre migliaia di vulnerabilità,” ha detto, “ma solo poche contano davvero. Il nostro compito è capire quali possono realmente influire sul business, e in che misura”. Gli algoritmi di prioritizzazione contestuale integrano gravità tecnica, probabilità di sfruttamento, importanza dell’asset e impatto operativo, generando punteggi dinamici che si aggiornano in tempo reale. “Non vogliamo ridurre il numero di vulnerabilità, ma ridurre il rischio effettivo”.
Dal SOC al ROC: il passaggio dalla reazione al governo del rischio
La transizione dal Security Operations Center (SOC) al Risk Operations Center (ROC) — non è una semplice evoluzione tecnologica, ma è un cambio di paradigma nella gestione della sicurezza. “Il SOC è nato per reagire, il ROC nasce per decidere. Non si tratta più di gestire allarmi, ma di orchestrare priorità”.
Nel SOC tradizionale, l’attenzione è rivolta alla raccolta di eventi, alla correlazione di log e alla risposta a incidenti. Ma, ha osservato Thakar, questo modello non scala più: genera enormi volumi di dati e allarmi senza distinguere ciò che è rilevante da ciò che è rumoroso. “Non serve sapere tutto quello che accade”, ha spiegato, “Serve sapere cosa conta davvero, e perché”.
Il ROC nasce per superare questo limite: non si concentra sull’evento, ma sul rischio che quell’evento rappresenta per il business. Integra i flussi del SOC con i dati provenienti da sistemi di governance, ITSM e analisi economica, traducendo l’informazione tecnica in una priorità di rischio misurabile. “Nel SOC chiediamo: qual è il prossimo allarme da gestire? Nel ROC chiediamo: qual è il prossimo rischio da ridurre?”
È una rivoluzione concettuale: il centro operativo della sicurezza diventa un centro di decisione basata sul valore.
Le metriche di performance non sono più il numero di alert chiusi, ma la quantità di rischio ridotto. L’intelligenza artificiale, l’automazione e la correlazione contestuale sono i pilastri di questo nuovo modello. Qui la sicurezza non è più misurata dal numero di incidenti gestiti, ma dalla quantità di rischio ridotto.
L’obiettivo non è l’efficienza reattiva, ma la capacità decisionale: orientare gli interventi in base al valore che proteggono.
“Il futuro non è un SOC più grande, ma un ROC più intelligente”, ha sintetizzato Thakar. “Non contiamo più quanti incidenti gestiamo, ma quanto rischio eliminiamo ogni giorno”.
I dati tecnici possano essere collegati ai processi aziendali attraverso modelli di correlazione e strumenti di business mapping. “Non possiamo più dire:«abbiamo chiuso 300 vulnerabilità». Dobbiamo dire: «abbiamo ridotto del 27% l’esposizione sui servizi che generano il 40% dei ricavi»”.
Il Risk Operations Center unifica analisi di rischio, AI contestuale, automazione e metriche economiche, creando un livello di governance del rischio in tempo reale.
La piattaforma Qualys consente di associare ogni asset tecnico — server, applicazione, container, API — al processo aziendale corrispondente, costruendo mappe di rischio orientate al valore.
Gli strumenti impiegati includono motori di scoring dinamico, dashboard di impatto economico e API che esportano i punteggi verso sistemi di governance e risk management (come ServiceNow GRC, SAP o RSA Archer).
“È così che la sicurezza entra nel linguaggio della governance”, ha aggiunto Thakar.
“Rischio evitato, valore protetto, tempo di esposizione ridotto: metriche che parlano anche ai CFO”.
Come misurare il valore del business
L’intelligenza artificiale e le fonti esterne possano servire a stimare il valore reale delle attività di business, andando oltre i dati interni. La sicurezza non può ragionare solo sui propri dati: deve guardare anche all’esterno: ai dati che descrivono quanto un servizio o un processo contribuisce davvero al valore dell’azienda. Varie sono le fonti utilizzate per costruire questo modello: dati di supply chain, che mostrano la dipendenza da fornitori o terze parti critiche; indicatori economici e finanziari di settore, come margini e livelli di produttività medi; metriche reputazionali ed ESG, per valutare l’impatto immateriale di un incidente di sicurezza; dati operativi e transazionali provenienti da ERP, CRM e sistemi di business intelligence.
Attraverso l’AI, queste informazioni vengono correlate con il contesto tecnico per generare una stima del valore di continuità di ogni servizio: quanto costa, in termini di perdita di produttività o danno reputazionale, un’interruzione.
Nella visione di Qualys, non tutte le vulnerabilità hanno lo stesso peso, ma quelle che toccano servizi ad alto valore vanno trattate prima, anche se la gravità tecnica è minore.
La piattaforma costruisce così un modello adattivo che riflette la realtà economica di ogni organizzazione. Questo approccio sposta il focus: la sicurezza non è più solo una funzione IT, ma una funzione di governance basata su misurazioni oggettive del valore.
“Il rischio non è solo una minaccia tecnica. È una misura del valore che possiamo perdere. E solo l’AI, alimentata da dati esterni, può dirci quanto vale ciò che stiamo proteggendo”, ribadisce Thakar.
Il ruolo dei consulenti: l’intelligenza umana come livello di calibrazione del rischio
Dopo l’AI, Thakar ha sottolineato il valore del fattore umano: “L’AI sa vedere, ma solo l’uomo sa scegliere”. I consulenti Qualys — interni e partner — fungono da livello cognitivo di calibrazione, validando i modelli e assicurando che la mappa di rischio resti aderente alla realtà dell’impresa.
Con la Qualys Consulting Edition, possono gestire più ambienti clienti, verificare coerenze, tarare priorità e supervisionare la remediation automatizzata. È la sintesi tra intelligenza algoritmica e giudizio esperto.
Il marketplace di agenti specializzati: l’ecosistema AI di nuova generazione
Nel proseguire, Thakar ha annunciato l’arrivo di un marketplace di agenti specializzati, dove AI verticali — per vulnerabilità, compliance, threat intelligence, remediation o risk quantification — cooperano tra loro in tempo reale. “Non un’unica intelligenza che sappia tutto”, ha spiegato, “ma tante intelligenze che sappiano collaborare”.
Il marketplace sarà aperto anche ai partner, che potranno sviluppare e pubblicare agenti per settori o normative specifiche, certificati da Qualys. Un modello aperto e modulare, dove la piattaforma diventa un ecosistema di intelligenze cooperative.
MCP per collegare agenti AI e sistemi esterni
Questa collaborazione passa attraverso l’adozione di Model Context Protocol (MCP), lo standard aperto che consente ai modelli e agli agenti AI di dialogare con sistemi esterni in modo strutturato, sicuro e semantico. “Con MCP ogni agente può parlare la lingua dei sistemi aziendali”, ha spiegato. “È il passo che rende reale la convergenza tra intelligenza artificiale e infrastruttura”.
MCP permette agli agenti di interrogare sistemi come CMDB, SIEM, ITSM o piattaforme cloud, ricevere dati contestuali e agire in base a policy predefinite, mantenendo tracciabilità e controllo. Per esempio un agente individua una vulnerabilità, un altro calcola l’impatto economico, un terzo aggiorna la policy in ServiceNow. Tutto attraverso MCP, senza script o integrazioni custom. “Non stiamo solo collegando API,” ha detto Thakar. “Stiamo creando un linguaggio comune tra intelligenze e infrastrutture”.
MCP introduce coerenza semantica, auditabilità e neutralità tecnologica, diventando la spina dorsale di un ecosistema di AI interoperabili, dove la sicurezza è un linguaggio condiviso tra sistemi, persone e processi. “MCP è ciò che trasforma l’AI da strumento analitico a infrastruttura di governance,” ha concluso, “è il linguaggio che farà parlare la sicurezza con ogni parte dell’impresa”.
Con AI, consulenti, marketplace e MCP, la visione di Qualys converge: una governance del rischio dinamica, economica e misurabile. Dashboard condivise mostrano quanto valore è protetto e quanto è esposto, e le priorità non nascono più dall’urgenza tecnica, ma dall’impatto reale sul business.
“Il futuro della sicurezza non sarà IT-driven, ma business-driven”, ha concluso Thakar; “ogni decisione di sicurezza dovrà essere anche una decisione economica”.
