La fotografia scattata dal 2025 Global Cybersecurity Skills Gap Report di Fortinet è nitida e, per molti versi, impietosa: l’intelligenza artificiale è ormai percepita come leva essenziale per colmare il divario di competenze nella cybersecurity, ma senza investimenti mirati in formazione rischia di diventare un boomerang. La quasi totalità dei professionisti del settore riconosce che l’AI può migliorare efficienza e qualità del lavoro, e tuttavia ammette di non possedere ancora tutte le skill necessarie per sfruttarne appieno il potenziale. In parallelo, il mercato soffre una carenza globale di oltre 4,7 milioni di figure qualificate, con ruoli critici vacanti proprio mentre la superficie d’attacco cresce e la pressione sulle difese aumenta.
Una carenza che si traduce in rischio concreto per la cybersecurity
Il report collega in modo diretto la mancanza di competenze alla crescita dei rischi operativi e finanziari. Nel 2024 l’86% delle organizzazioni intervistate ha subito almeno una violazione, e quasi un terzo ha riportato cinque o più incidenti nello stesso anno, in aumento rispetto al 2021. La dinamica è chiara: quando competenze e processi non tengono il passo con l’evoluzione delle minacce, gli attacchi non sono più un’eventualità, ma una certezza con impatto misurabile. Più della metà delle aziende prevede costi superiori al milione di dollari per gli incidenti informatici del 2024, un dato che conferma come il tema sicurezza sia entrato stabilmente nella sfera delle decisioni strategiche e finanziarie.
AI come moltiplicatore di efficacia della sicurezza, ma non di per sé risolutiva
Lo studio evidenzia una diffusione capillare di tecnologie di sicurezza con funzionalità AI, adottate o in fase di implementazione dal 97% delle organizzazioni. Per l’87% dei professionisti, l’AI non sostituisce il ruolo umano, bensì lo potenzia: supporta il rilevamento, accelera la risposta, riduce i tempi di analisi su grandi volumi di eventi. Eppure, questa adozione non basta. Molti team non dispongono ancora delle competenze per progettare, governare e integrare in modo sicuro modelli e strumenti basati su AI. Non è un dettaglio: tra le realtà che hanno subito nove o più attacchi nel 2024, oltre tre quarti utilizzavano già strumenti di AI, a riprova che la tecnologia, priva di adeguate skill, non garantisce automaticamente resilienza.
Consapevolezza crescente nei board, comprensione dell’AI ancora parziale
La cybersecurity è salita nell’agenda dei consigli di amministrazione, con un’attenzione in crescita nel 2024 e una quasi unanimità nel considerarla priorità sia di business sia finanziaria. Resta però un punto cieco: meno della metà degli intervistati ritiene che i board comprendano davvero i rischi specifici posti dall’AI. Le organizzazioni, in altre parole, stanno già inserendo l’intelligenza artificiale nei programmi di sicurezza, ma la governance ai massimi livelli non sempre dispone delle chiavi interpretative per valutarne impatti, limiti e dipendenze. Questo scollamento può rallentare decisioni critiche su investimenti, controllo dei modelli, gestione dei dati e conformità.
Competenze, certificazioni e il nodo dell’upskilling nella cybersecurity
Il mercato continua a premiare i profili certificati: l’ampia maggioranza dei decision maker preferisce assumere candidati con attestazioni formali, ritenute un indicatore di competenza, aggiornamento continuo e familiarità con gli strumenti dei principali fornitori. Al tempo stesso, il sostegno economico delle aziende ai percorsi di certificazione risulta in calo rispetto all’anno precedente. È un paradosso solo apparente: la domanda di skill cresce, ma la pressione su budget e priorità può frenare investimenti che, invece, dovrebbero essere considerati strutturali. Senza un programma coerente di upskilling e reskilling, la distanza tra minacce e difese tenderà ad ampliarsi.
Dalla sicurezza percepita alla sicurezza operativa
I numeri del report suggeriscono un cambio di prospettiva: non basta incrementare strumenti e controlli, se questi non sono accompagnati da competenze mirate al loro impiego. La mancanza di consapevolezza e formazione rimane tra le principali cause delle violazioni. La maturità organizzativa, in questo contesto, si misura nella capacità di integrare tecnologia, processo e capitale umano. Significa costruire percorsi formativi continui, misurare le competenze in modo oggettivo, colmare i gap più critici e accompagnare l’adozione dell’AI con regole di governo chiare su dati, modelli, catena di fornitura e responsabilità.
La posizione di Fortinet e il ruolo della formazione
La visione emersa è netta anche nelle parole del management. “Lo studio di quest’anno sottolinea ancora una volta l’urgente necessità di investire in talenti di cybersecurity”, afferma Carl Windsor, CISO di Fortinet. “Senza colmare la carenza di competenze, le organizzazioni continueranno a registrare tassi di violazione in aumento e costi crescenti”. È un richiamo all’azione che attraversa tutto il documento: sviluppare, attrarre e trattenere competenze è la condizione abilitante per sfruttare l’AI in sicurezza, migliorare i processi e consolidare la resilienza digitale.
Tre priorità per colmare il divario
Il report riconduce la trasformazione a un approccio coordinato su tre direttrici complementari. La prima è la sensibilizzazione diffusa, per elevare il livello medio di igiene digitale e ridurre il peso dell’errore umano. La seconda è l’accesso ampliato a corsi e certificazioni mirati, capaci di creare pipeline di talenti e di aggiornare i team già in forza. La terza è l’adozione di tecnologie avanzate che semplifichino il lavoro, aumentino l’automazione e rendano più efficace l’orchestrazione della difesa. Solo la combinazione di queste leve consente di trasformare l’AI da promessa a vantaggio competitivo misurabile.
Security awareness e competenze AI: dal dire al fare
Nell’ottica di accelerare il percorso, Fortinet indica nel Training Institute uno strumento concreto per democratizzare competenze e opportunità. I programmi includono percorsi di security awareness con moduli dedicati all’intelligenza artificiale, un’introduzione alla GenAI e uno studio strutturato delle minacce abilitate dall’AI, con l’obiettivo di spiegare tecniche e schemi d’attacco che i criminali informatici stanno già adottando. L’ambizione non è solo tecnica, ma culturale: creare una forza lavoro consapevole, capace di riconoscere segnali deboli, applicare procedure corrette e sfruttare in modo responsabile gli strumenti basati su AI.
Un impegno misurabile, una sfida globale
Il percorso è ampio e non si esaurisce nell’arco di pochi trimestri. Fortinet conferma l’impegno a formare un milione di persone nel mondo entro la fine del 2026, una scala che risponde alla natura sistemica della sfida. Parallelamente, il report ricorda la metodologia della ricerca, basata su oltre 1.850 decision maker di 29 Paesi e su un campione che attraversa settori tecnologico, manifatturiero e finanziario, a testimonianza di una carenza trasversale e non confinata a singole industry.
Conclusioni: dall’adozione alla padronanza
Dall’analisi emerge una conclusione chiara. L’intelligenza artificiale è la più grande opportunità di efficienza e difesa che la cybersecurity abbia incontrato negli ultimi anni, ma la sua efficacia dipende da un fattore semplice e rigoroso: la padronanza. Portare l’AI nei SOC, nei processi di analisi e nei controlli di prevenzione è un primo passo; trasformarla in valore richiede competenze, governance e una cultura del rischio matura. La direzione è tracciata: colmare il divario di skill non è solo un obiettivo di HR, ma una scelta strategica di business, la più concreta assicurazione sulla resilienza digitale di domani.
