Cybersecurity, perché le PMI restano vulnerabili anche se investono

Nel panorama italiano, il tema della cybersecurity assume sempre maggiore rilevanza, soprattutto per le PMI. Nonostante gli sforzi e l’aumento degli investimenti, la maturità delle imprese in termini di protezione digitale rimane un fattore critico. Il Cyber Index PMI 2025, realizzato da Confindustria in collaborazione con Generali, il Politecnico di Milano e l’Agenzia per la Cybersicurezza Nazionale, fotografa questa situazione con dati evidenti. Secondo l’indice, solo il 16% delle PMI italiane può essere considerato realmente “maturo” nella gestione dei rischi digitali.

Una crescente consapevolezza ma un’esecuzione ancora inadeguata

C’è una buona notizia: ildiverticità tecnologica delle PMI italiane in ambito cybersecurity si sta riducendo. Le imprese investono in strumenti più avanzati e riconoscono l’esistenza di rischi digitali crescenti. Tuttavia, il loro livello di maturità complessiva è ancora insufficiente. Il punteggio medio raggiunto dalle PMI italiane si attesta a 55 su 100, con una soglia di sufficienza fissata a 60. Il divario si manifesta tra un ristretto gruppo di imprese che gestiscono efficacemente le minacce e una fetta estremamente ampia di aziende ancora in difficoltà.

Il problema non è dunque solo tecnologico, ma soprattutto organizzativo. Molti investimenti restano inefficaci a causa di carenze strutturali che impediscono l’utilizzo ottimale degli strumenti acquisiti.

La consapevolezza strategica cresce, l’esecuzione no

La strategia è ormai riconosciuta come un elemento centrale per affrontare le minacce digitali. Il Cyber Index ha registrato un punteggio relativo all’approccio strategico pari a 62 su 100, superando la soglia di sufficienza. Questo indica che molte imprese hanno acquisito un’idea chiara del pericolo, ma quando si passa all’implementazione concreta, le criticità emergono rapidamente.

• Le attività relative alla valutazione del rischio si attestano a 47 su 100;
• L’implementazione di misure di sicurezza efficaci si ferma a 57, quasi identico all’anno scorso.

Questi dati confermano un fenomeno ormai consolidato: le PMI sanno cosa devono fare ma faticano a passare all’azione.

La sicurezza informatica non può essere relegata al solo IT

L’approccio ancora diffuso di considerare la cybersecurity una questione puramente tecnologica rappresenta un ostacolo importante per lo sviluppo di un modello organico. Il tema va ben al di là della responsabilità della funzione IT e diventa un aspetto di governance aziendale. Le nuove normative, come la direttiva NIS2, impongono una responsabilità ben più alta ai vertici delle imprese, considerando la cyber security come parte integrante della strategia e del governo aziendale.

Formazione del personale: una leva decisiva poco sfruttata

Uno degli aspetti più rilevanti emersi dal Rapporto Clusit 2025 riguarda l’importanza cruciale della formazione del personale. Secondo il rapporto, il phishing e il social engineering sono cresciuti del 35%. Tuttavia, circa un attacco su dieci sarebbe stato evitabile con una formazione adeguata.

Il fattore umano si afferma quindi come la principale via d’accesso per gli hacker. La protezione dei dati non può essere relegata esclusivamente agli esperti, ma deve diventare un impegno condiviso da tutta l’organizzazione. Ogni dipendente, indipendentemente dal ruolo che ricopre, deve diventare una prima linea di difesa.

• La formazione deve essere:
  
  • continua;
  • realistica;
  • misurabile;
  • pratiche di simulazione devono essere integrate.

Ruoli chiari e tempi di decisione veloci

Un altro elemento critico è la definizione chiara dei ruoli all’interno dell’organizzazione. Solo una parte limitata delle imprese ha una struttura capace di integrare in modo efficace le persone, i processi e le tecnologie. Molte aziende, infatti, non riescono a stabilire in modo chiaro chi debba prendere decisioni in caso di emergenza.

In assenza di definizioni precise, la capacità di risposta alle minacce si compromette. La velocità di intervento è un fattore altrettanto rilevante della chiarezza delle responsabilità. Per testare la capacità di reazione in tempo reale, alcune aziende hanno iniziato a utilizzare esercitazioni di simulazione periodiche.

Costruire modelli semplici ed efficaci

Non è la complessità del modello di governance ad assicurare la resilienza, ma la sua applicabilità concreta. Un approccio troppo articolato spesso rimane纸上谈兵, senza produrre risultati reali. Un modello semplice, chiaro e sostenibile permette invece una maggiore efficienza operativa.

Un esempio chiaro: molti imprenditori chiamano con il nome errato strumenti avanzati di protezione digitale. Tuttavia, la cosa più pericolosa non è un errore lessicale, ma la mancanza di sensibilizzazione di fronte a minacce concrete, come truffe via email.

Il salto di maturità delle PMI italiane avverrà non tanto con l’acquisto di nuovi strumenti, quanto con la capacità di governare al meglio quelli esistenti, trasformandoli in un modello operativo quotidiano.

Dalla cultura alla responsabilità concreta

La cybersecurity non è più una questione di tecnologie avanzate, ma una questione di cultura. La maturità digitale si misura non in base alle tecnologie schermate, ma in base alla capacità dell’organizzazione di imparare dagli incidenti. Ogni incidente, anche mancato, è un’occasione per migliorarsi.

Un aspetto fondamentale è il modo in cui si gestisce la responsabilità. Non si tratta soltanto di individuare colpevoli, ma di costruire una cultura in cui la sicurezza diventa pratica comune e responsabilità condivisa. Solo allora si potrà parlare di resilienza vera.

Il futuro delle PMI in ambito digitale passerà quindi da una maggiore integrazione tra strumenti, persone e processi. Solo attraverso un cambiamento culturale e organizzativo profondo sarà possibile ridurre il gap esistente.