Siete pronti al prossimo attacco nel 2026?

Non basta un tool, la cybersecurity è una mentalità che si allena

In un qualunque giorno feriale, migliaia di attacchi cyber colpiscono l'Italia in silenzio. Mentre leggete queste righe, una piccola impresa potrebbe scoprire che i propri dati sono stati cifrati da un ransomware; un ministero potrebbe essere impegnato a respingere un'ondata di traffico anomalo sui siti istituzionali; un ospedale pubblico potrebbe trovarsi costretto a rimandare visite e prestazioni perché i sistemi informatici sono finiti “in ostaggio”.

È un assedio digitale che i numeri fotografano con chiarezza. Secondo il Rapporto Clusit 2025, nel solo primo semestre l'Italia ha concentrato il 10,2% dei cyberattacchi globali: un dato in crescita rispetto al 9,9% del 2024 e più che triplicato rispetto al 3,4% del 2021. In altre parole, circa un attacco su dieci, a livello mondiale, ha avuto come bersaglio il nostro Paese.

Eppure, di fronte a una pressione così alta, la maturità organizzativa resta disomogenea. L'Osservatorio Security Risk 2025 di AIPSA - TEHA - Cybrain, che monitora l'evoluzione della sicurezza aziendale italiana, indica che il percorso verso una gestione strutturata è ancora lungo: solo il 31% delle aziende dispone di un piano formalizzato di crisis management e quasi il 60% non ha ancora definito procedure complete per affrontare eventi complessi. Allo stesso tempo, quando si verificano incidenti informatici, la resilienza raggiunge livelli elevati nel 67% dei casi: la prova che la preparazione non è un dettaglio, ma un fattore decisivo.

Dati che collocano l'Italia tra i bersagli più esposti in Europa. E in questa guerra silenziosa, combattuta a colpi di bit, aziende e istituzioni stanno imparando - spesso a proprie spese - che la cybersicurezza non è più solo una questione tecnica: è una priorità strategica, culturale e manageriale.

Dalla “colpa dell'hacker” alla responsabilità dell'organizzazione: cultura e regole verso il 2026

Di fronte alla crescita delle minacce, la cybersicurezza si rivela prima di tutto una questione culturale. Molti incidenti nascono ancora da comportamenti quotidiani: un clic sbagliato, una password riutilizzata, un aggiornamento rimandato. Oltre il 70% degli incidenti cyber analizzati ha come vettore iniziale un comportamento umano: phishing, social engineering, credenziali deboli o riutilizzate, errori di configurazione. Tradotto: molto spesso non è l'hacker geniale, ma l'organizzazione impreparata.

E qui che si gioca una parte decisiva della difesa: nella consapevolezza delle persone e nella capacità delle organizzazioni di trasformare la sicurezza in pratica ordinaria, non in un costo “a margine”. Per questo formazione e awareness diventano parte integrante della risposta: campagne dedicate, training aziendali, simulazioni di attacco e figure interne di riferimento che aiutano i team a riconoscere e prevenire i rischi.

Su questo terreno si innesta la risposta istituzionale. Di fronte all'aumento delle minacce, Italia e Unione Europea stanno reagendo su due fronti: la diffusione di una cultura della cybersecurity e l'introduzione di regole sempre più stringenti. Sul piano normativo, il 2024 ha segnato una svolta. La direttiva NIS2 amplia in modo significativo gli obblighi di sicurezza e di notifica degli incidenti, coinvolgendo molti più settori rispetto al passato: non solo le infrastrutture critiche “classiche”, ma anche servizi digitali, pubbliche amministrazioni locali e numerose imprese di medie dimensioni strategiche.

L'entrata in vigore formale della direttiva non esaurisce però il percorso: l'attuazione è progressiva e richiede un adeguamento concreto di processi, governance e misure tecniche. In particolare, il mese di ottobre 2026 è l'orizzonte entro cui le misure minime di sicurezza dovranno essere adottate e pienamente operative per le organizzazioni soggette, segnando il passaggio definitivo da un approccio “di principio” a uno realmente esecutivo.

Per il settore finanziario il riferimento è DORA - Digital Operational Resilience Act, che introduce requisiti di resilienza operativa, test periodici e continuità dei servizi essenziali. A completare il quadro c'è il Cyber Resilience Act, che spinge verso prodotti hardware e software più sicuri “by design”, inclusi i dispositivi IoT, con obblighi su protezioni e aggiornamenti.

Il risultato è un cambio di paradigma: l'Europa sta passando da un approccio consigliato a uno obbligatorio e proattivo, con l'obiettivo di alzare la soglia minima per tutti ed evitare che l'anello debole diventi la porta d'ingresso per attacchi a catena.

In Italia, questo percorso si traduce anche in nuove strutture e maggiore coordinamento: ACN, CSIRT e centri di competenza a supporto di imprese e pubbliche amministrazioni, insieme a una strategia nazionale aggiornata che punta su tecnologie difensive, cooperazione pubblico-privato e sviluppo delle competenze.

Quando l'attacco arriva, vincono allenamento e routine

La domanda non è “quale prodotto ci manca”, ma quanto siamo allenati a riconoscere e gestire l'imprevisto. In un contesto in cui gli attacchi diventano più automatizzati e silenziosi, la prima difesa è la capacità di vedere cosa succede davvero dentro la propria infrastruttura: monitoraggio continuo, log che non restano solo archiviati “per compliance”, alert ragionati e un minimo di threat intelligence per collegare i puntini prima che l'incidente esploda.

Subito dopo arriva il punto che molte organizzazioni scoprono solo a disastro avvenuto: la sicurezza è collettiva, perché la rete è collettiva. Se un fornitore entra nei sistemi con credenziali deboli, se una terza parte ha accessi troppo ampi o non controllati, quello non è un dettaglio contrattuale: è una scorciatoia verso il cuore dell'azienda. Per questo la filiera va governata con criteri chiari, verifiche periodiche, accessi limitati e a tempo, e la regola non negoziabile del least privilege.

Poi c'è il fattore umano, che non si risolve con un corso una volta l'anno. La cultura di sicurezza funziona quando diventa un'abitudine, non un evento: formazione regolare, esempi pratici, simulazioni di phishing, procedure semplici per segnalare anomalie, e un messaggio costante dall'alto che la sicurezza non è un ostacolo al lavoro, ma una condizione per poter lavorare.

Infine, la capacità di ripartire. Backup regolari e isolati, sì, ma soprattutto un piano di risposta agli incidenti che venga provato davvero, come si fa con le prove antincendio: chi decide cosa, chi chiama chi, come si contiene l'attacco, come si comunica all'interno e all'esterno, quali sistemi si ripristinano per primi. Perché quando la crisi arriva, non vince chi aveva la slide più bella: vince chi ha fatto allenamento, e riesce a restare operativo anche sotto assedio.

Anche la Supply Chain rischia grosso, per scarsa cultura aziendale

E i fornitori che ruolo giocano? Spesso decisivo, perché la sicurezza non si ferma al perimetro interno: si estende a partner, consulenti, piattaforme e service provider che ogni giorno entrano nei processi e, talvolta, nei sistemi.

È qui che la cybersecurity torna a essere mentalità: non basta “scegliere un fornitore”, bisogna condividere aspettative, comportamenti e responsabilità.

Se la cultura aziendale premia velocità e scorciatoie, la filiera tenderà a replicarle; se invece premia disciplina e trasparenza, anche i partner saranno incentivati a fare sicurezza sul serio. In pratica significa considerare la supply chain parte della propria identità operativa: accessi concessi solo quando servono, attenzione costante a credenziali e configurazioni, disponibilità a segnalare incidenti senza ritardi e senza imbarazzi. Perché la fiducia è importante, ma in cyber sicurezza la fiducia, da sola, non è mai un controllo sufficiente.