La cybersecurity sta provando ad uscire definitivamente dai confini dell’IT per entrare nella governance delle Pmi. La spinta esercitata dalla pressione normativa, la diffusione dell’intelligenza artificiale e l’aumento senza fine delle minacce informatiche stanno infatti spingendo anche le organizzazioni di dimensioni medio-piccole a considerare la sicurezza digitale come una leva per garantire continuità operativa, tutela del patrimonio informativo (dati critici in testa) e competitività. È questo il quadro che emerge dai dati italiani del Cyber Readiness Index 2026 di Eset, realizzato su un campione di 500 aziende con un numero di endpoint compreso tra 25 e 1.000 e che il Sole24Ore ha potuto analizzare in anteprima. Lo studio restituisce l’immagine di imprese complessivamente più mature rispetto al recente passato e – almeno nelle intenzioni e nelle dichiarazioni rilasciate in sede di indagine – più consapevoli del rischio e delle proprie capacità di risposta. Il tutto condito da investimenti che sembrano ormai consolidati. È quindi uno scenario realmente incoraggiante quello che racconta il rapporto di ESET? Fino a un certo punto, perché restano aperte alcune criticità, soprattutto sul fronte delle competenze e della gestione dell’intelligenza artificiale. Una lettura critica delle risultante della ricerca arriva anche da Fabio Buccigrossi, Vice President of South West Europe Sales di ESET, secondo cui “il punto chiave è fare sicurezza oltre l’aspetto tecnologico e la compliance normativa. Le Pmi italiane sono generalmente convinte di essere protette ma in molti casi in realtà non lo sono, e dimenticano che tutti i cyber criminali sanno perfettamente identificare qualsiasi obiettivo sensibile”.
Più attenzione al rischio e budget adeguati
Il livello di attenzione con cui le piccole e medie imprese italiane guardano allo scenario delle minacce lascia pensare a una maturità superiore nei confronti del rischio cyber. Tre imprese su quattro, infatti, ritengono probabile subire un attacco informatico nei prossimi dodici mesi, e si tratta di una percentuale sensibilmente superiore al dato medio globale, fermo al 61%. Per contro, solo il 35% delle aziende intervistate dichiara infatti di aver subito almeno un incidente nell’ultimo anno, e in questo caso sono i dieci punti percentuali in meno rispetto alla media internazionale (pari al 45%). La sensazione, leggendo questi numeri, è che il livello di preparazione delle organizzazioni sia in aumento, e tale interpretazione trova conferma anche nella valutazione delle capacità di risposta. Il 76% delle Pmi italiane si considera resiliente rispetto alle minacce informatiche, mentre addirittura il 92% giudica adeguato il budget di spesa destinato alla cybersecurity (a livello internazionale la stessa percentuale scende all’80%). Visti i presupposti, non dovrebbe preoccupare più di tanto il fatto che solo il 29% delle imprese prevede un ulteriore incremento degli investimenti nel prossimo anno, ma siamo veramente avviati in una nuova fase della cybersecurity nelle Pmi? Si è effettivamente superato lo step della costruzione delle difese di base e si è avviato il loro consolidamento e affinamento? Secondo il manager di Eset, i dati sull’adeguatezza degli investimenti meritano comunque una riflessione prudente, perché “spesso c’è molta differenza fra le reali disponibilità di spesa e le reali esigenze di protezione, senza dimenticare che rimane un problema anche la disponibilità di risorse e competenze dedicate. Spesso, l’IT manager della Pmi non vuole bussare alla porta dell’ufficio acquisti o della direzione”.
Il fattore umano resta il punto debole
Se la protezione tecnologica appare in progressivo rafforzamento, il principale elemento di vulnerabilità continua a essere rappresentato dalle persone e dall’organizzazione. Problema noto ma non deve passare certo come “fatto normale” che la carenza di formazione e sensibilizzazione dei dipendenti sia indicata come la prima criticità dal 27% delle aziende, più del sovraccarico dei team IT e cybersecurity (26%) e delle difficoltà legate all’introduzione di nuove tecnologie. La tanto osannata resilienza informatica, in altre parole, si raggiunge anche grazie alla capacità dell’organizzazione di sviluppare competenze diffuse e comportamenti corretti, altrimenti torna ad essere una sorta di utopia. “Bisogna partire dal presupposto – precisa in proposito Buccigrossi – che l’antivirus non basta più, e da un pezzo: lo scenario è drasticamente cambiato, ed è mancata un’azione sistemica di acculturamento e di formazione sulla sicurezza. Quante Pmi non dispongono ancora di una protezione H24 e non si affidano a un fornitore di security in grado di garantire protezione dagli attacchi da remoto?” Dati alla mano, le principali aree di investimento previste nei prossimi dodici mesi confermate dalle Pmi italiane riguardano la formazione del personale e la sicurezza del cloud, entrambe indicate dal 32% delle imprese, mentre l’86% degli intervistati considera le attività di awareness un fattore determinante nella prevenzione degli attacchi.
La sfida più grande, però, è appena cominciata e si riflette nella progressiva penetrazione dell’intelligenza artificiale: nel 60% dei casi è già entrata nei processi aziendali ma il 71% delle imprese (la media globale arriva al 73%) è dell’idea che il suo utilizzo possa ampliare la superficie di attacco e creare nuove vulnerabilità. E solo meno della metà (il 49%) ha già definito una policy interna per disciplinarne l’impiego. C’è dunque un vuoto evidente di risposta al possibile impatto legato all’adozione incontrollata dell’AI e questo è un divario che apre le porte alla proliferazione della cosiddetta shadow AI e dei rischi correlati all’utilizzo di strumenti generativi al di fuori delle procedure aziendali. Per Buccigrossi, tuttavia, va considerata anche un altro aspetto divenuto prioritario per chi difende le aziende: “oggi la sicurezza informatica non può fare a meno di questo strumento per non essere inferiore alle capacità degli attaccanti”.
La sicurezza diventa una scelta strategica
L’evoluzione della maturità digitale delle Pmi sembra infine emergere anche dai criteri con cui vengono selezionati i fornitori di cybersecurity, con il 79% delle imprese che guardano alla sovranità dei dati e ritengono importante sapere dove vengono conservate le informazioni aziendali e il 71% che valuta il Paese di origine del vendor (il 64%, a parità di condizioni, dichiara di preferire soluzioni di sicurezza sviluppate da operatori europei). Per il manager di Eset, la scelta del partner tecnologico sarà sempre più determinante e risponde a una precisa domanda: “la strada da intraprendere? Affidarsi a un vendor di sicurezza affidabile e far diventare le persone dell’azienda i primi attori protagonisti della protezione del dato”. Che le modalità di affrontare il tema cybersecurity nell’ambito delle Pmi stiano cambiando non è in discussione; quanto sia già diventato un elemento veramente strategico della governance aziendale che coinvolge investimenti, organizzazione e competenze è invece un tema aperto. E anche il quadro regolatorio, come lascia intendere Buccigrossi, pone interrogativi ancora irrisolti. “La direttiva NIS2 – ha infatti concluso il manager italiano – impone di segnalare i tentativi di attacco registrati rispettando determinati requisiti ma nessuno si chiede come vengono gestite queste segnalazioni. La Polizia Postale è attrezzata per gestire in modo adeguato il volume di segnalazioni che riceve?”. Una domanda che atterra ancora una volta sulle risorse e sulle competenze disponibili, terreno dove si gioca la partita più importante per superare senza pagare troppi dazi la nuova trasformazione imposta dall’intelligenza artificiale.











