Login

Cybersecurity e protezione dei dati: la guida per le imprese

di Filippo Poletti.

Le minacce informatiche non sono tutte uguali, ma variano in base al settore e agli obiettivi degli attaccanti. Per le aziende che operano in settori strategici come le infrastrutture critiche o la difesa, il pericolo maggiore proviene dagli Advanced Persistent Threat (APT). Si tratta di gruppi criminali altamente organizzati, spesso finanziati da Stati, che conducono attacchi mirati al furto di dati, credenziali e informazioni sensibili. Per le piccole e medie imprese, specialmente in settori come quello manifatturiero, la minaccia principale è invece il “cyber crime” a scopo di lucro. In questo contesto, gli attacchi più comuni sono il furto di dati e il ransomware, una tecnica con cui i criminali criptano i file dell’azienda e richiedono un riscatto per fornire la chiave di decifratura.

Un nuovo e crescente fattore di rischio è rappresentato dall’intelligenza artificiale (AI), che agisce su due fronti. Da un lato, potenzia le capacità degli attaccanti, rendendo le loro offensive più efficaci. Dall’altro, introduce un rischio legato alla proprietà del dato, che si verifica quando un’azienda fornisce informazioni sensibili (dati di bilancio o segreti industriali) a un servizio di AI.

 

Tutto quello che c’è da sapere su cybersecurity e protezione dei dati

Proviamo a vedere come tutelarsi con l’aiuto di un esperto di difesa ICT, Pietro Russo, ingegnere informatico con un dottorato di ricerca in cybersecurity, che ha maturato un’esperienza professionale in contesti di alto livello come le Forze Armate, la NATO e aziende specializzate nel settore della difesa:

  1. 1. Le minacce informatiche
  2. 2. La miccia degli attacchi informatici
  3. 3. Le principali evoluzioni regolatorie, dal GDPR alla NIS2
  4. 4. Ruoli organizzativi, strutture e strumenti operativi per la gestione del rischio e la prevenzione dei reati informatici

Si tratta di alcuni spunti che potranno essere approfonditi nei momenti formativi proposti da  Generazione Vincente Academy all’interno del suo ampio catalogo.

Le minacce informatiche attuali

Il panorama delle minacce informatiche varia sensibilmente in base al settore di operatività dell’azienda, indipendentemente dalle sue dimensioni. Per le realtà che operano in ambiti ad alto rischio o strategici, come le infrastrutture critiche e il settore della difesa, i principali attori ostili sono gli APT (Advanced Persistent Threat). Si tratta di attacchi perpetrati da gruppi organizzati a livello internazionale, spesso finanziati e supportati direttamente dagli Stati (“State sponsored”), che conducono campagne mirate al furto di credenziali, dati e informazioni sensibili.

Per le aziende attive in settori tradizionalmente considerati meno esposti, come il comparto manifatturiero o la piccola produzione, la minaccia principale è rappresentata dal cosiddetto “cyber crime”. In questo caso, piccoli criminali o gruppi organizzati agiscono esclusivamente a scopo di lucro. La tecnica più diffusa è il furto di dati finalizzato all’estorsione, tipicamente perpetrato tramite ransomware: i sistemi aziendali vengono cifrati e viene richiesto il pagamento di un riscatto per ottenere la chiave di decifratura.

Per monitorare costantemente l’evoluzione di questi scenari, le fonti di riferimento istituzionali in Italia sono l’ACN (Agenzia per la Cybersicurezza Nazionale) e il comparto intelligence nazionale con il Sistema di Informazione per la Sicurezza della Repubblica (SISR), il Dipartimento delle Informazioni per la Sicurezza (DIS), l’Agenzia Informazioni e Sicurezza Esterna (AISE) e l’Agenzia Informazioni e Sicurezza Interna (AISI). Queste istituzioni rilasciano bollettini periodici con analisi dettagliate settore per settore.

A questo scenario si aggiunge l’impatto dell’intelligenza artificiale, che agisce come un potente moltiplicatore di minacce secondo due direttrici:

  1. 1. Potenziamento degli attacchi: l’AI aumenta le capacità offensive dei cybercriminali, rendendo più semplice ed efficace il superamento delle difese perimetrali delle aziende.
  2. 2. Perdita di controllo e proprietà del dato: per elaborare report o analisi rapide, i dipendenti spesso inseriscono nelle piattaforme di AI dati aziendali sensibili (come bilanci, dati di fatturazione o segreti industriali). Queste informazioni rimangono di fatto a disposizione del provider del servizio di intelligenza artificiale, esponendo l’organizzazione al rischio che il proprio know-how protetto venga utilizzato contro di essa o comunque sottratto.

La miccia degli attacchi informatici

La quasi totalità degli incidenti informatici trae origine da una vulnerabilità non tecnologica, bensì umana. Secondo i dati dell’U.S. Cyber Command, il 98% degli attacchi informatici inizia proprio dal fattore umano. Gli attaccanti sfruttano la disattenzione, l’errore o l’inganno per spingere il personale a compiere azioni che normalmente eviterebbe, come cliccare su link malevoli ricevuti via e-mail, scaricare malware o fornire credenziali di accesso (username e password).
Una volta che l’attaccante è riuscito a penetrare nell’infrastruttura aziendale e ad atterrare su una postazione di lavoro, si attivano due dinamiche principali:

  1. 1. Lateral movement (alla lettera, movimento laterale): è il tentativo di connettersi e infettare altri dispositivi presenti sulla stessa rete aziendale.
  2. 2. Privilege escalation (in italiano, l’elevazione dei privilegi): consiste nell’acquisizione di permessi di livello superiore sulla macchina o sulla rete, puntando a ottenere le credenziali di amministratore di sistema. Questo percorso di attacco è codificato all’interno del framework internazionale MITRE ATT&CK, il quale mappa le diverse “kill chain” (ossia le “catene di attacco”) che i criminali possono seguire a seconda del vettore d’ingresso utilizzato. Va inoltre evidenziato che il fattore umano può manifestarsi sotto due forme: colposa, legata alla disattenzione del dipendente che cade in un tranello, o dolosa, nel caso dell’operato di un insider che agisce intenzionalmente dall’interno dell’azienda per scopi di lucro o per sottrarre informazioni a favore di terzi.

Le principali evoluzioni regolatorie, dal GDPR alla NIS2

Il quadro normativo europeo ha subito un’evoluzione profonda, guidata principalmente dal GDPR (acronimo di General Data Protection Regulation) e dalla recente direttiva NIS2 (sigla che sta per Network and Information Security 2). Entrambe le normative condividono un limite geografico intrinseco: si applicano rigorosamente all’interno del contesto europeo. Questa specificità territoriale crea una forte discrepanza con il mercato tecnologico globale, dominato dai tre principali cloud provider mondiali (Microsoft, Google e Amazon), i quali, essendo organizzazioni statunitensi, non rispondono direttamente a tali normative, lasciando scoperta una fetta enorme del patrimonio IT globale.

Nonostante questo limite, l’impatto delle due norme è strutturale:

  • – GDPR: è focalizzato sulla tutela della privacy e sul trattamento dei dati sensibili delle persone fisiche. La norma stabilisce con precisione “cosa” l’azienda debba proteggere, ma non definisce il “come”, lasciando al titolare del trattamento la responsabilità di individuare e implementare le misure di sicurezza tecniche e organizzative adeguate.
  • – NIS2: recepita in Italia alla fine del 2025, questa direttiva rappresenta una svolta epocale per la sicurezza cibernetica. A differenza del GDPR, la NIS2 impone l’adozione di misure di sicurezza informatica non solo per proteggere la singola azienda, ma per mettere in sicurezza l’intera catena di fornitura (indicata spesso come “supply chain”). La norma suddivide le aziende in settori critici, sensibili e ordinari, modulando gli obblighi di sicurezza in base alla categoria di appartenenza.

La vera rivoluzione della NIS2 risiede nell’attribuzione delle responsabilità: se in precedenza la gestione dell’incidente informatico ricadeva quasi esclusivamente sul CISO (il Chief Information Security Officer) o sul responsabile IT, oggi la responsabilità ultima, anche di natura penale e civile, viene posta direttamente in capo all’amministratore delegato e al consiglio di amministrazione (CDA).

Ruoli organizzativi, strutture e strumenti operativi per la gestione del rischio e la prevenzione dei reati informatici

Per contrastare efficacemente le minacce e adempiere agli obblighi normativi, le aziende devono dotarsi di una struttura organizzativa chiara e di strumenti operativi adeguati.

 

Ruoli e strutture organizzative

Il pilastro organizzativo è rappresentato dal responsabile della sicurezza informatica che abbiamo appena citato, il CISO. Per garantire la massima imparzialità e trasversalità, questa figura dovrebbe essere gerarchicamente indipendente dal dipartimento IT (sotto il quale storicamente nasceva) e riportare direttamente all’amministratore delegato.
Il dimensionamento e l’organizzazione dell’area di sicurezza dipendono dalla grandezza dell’azienda, dalla sua superficie d’attacco e dal livello di esposizione al rischio. Per le piccole e medie imprese, una pratica molto diffusa è l’esternalizzazione parziale o totale delle attività di monitoraggio e di governance a fornitori specializzati. Tuttavia, come prescritto anche dalla NIS2, il vertice decisionale e di controllo della sicurezza deve rimanere tassativamente interno all’azienda.

 

Strumenti operativi e gestione del rischio

Lo strumento operativo fondamentale per il monitoraggio continuo è il SOC (sigla che sta per Security Operation Center). Il SOC, che può essere gestito internamente o affidato in outsourcing, ha il compito di analizzare il traffico di rete, rilevare anomalie o attività malevole in tempo reale, e attivare le procedure di contenimento e risposta in caso di incidente.

La gestione del rischio deve estendersi necessariamente alla catena dei fornitori (o “supply chain”). Per evitare che un attacco penetri attraverso i sistemi di un partner commerciale, le aziende possono adottare due strategie:

  1. Assessment tecnico esterno: analisi della superficie d’attacco del fornitore condotta simulando il punto di vista di un attaccante esterno per individuarne le criticità.
  2. Questionari di conformità: invio di autodichiarazioni dettagliate per verificare le misure di sicurezza adottate dal fornitore per specifici scenari di rischio. In base al livello di rischio rilevato, l’azienda può vincolare l’inserimento del partner nel proprio albo fornitori all’adozione di precise misure di mitigazione.

 

Prevenzione e Formazione

Poiché il 98% degli attacchi sfrutta l’errore umano, la formazione del personale (indicata spesso come “cybersecurity awareness”) rappresenta la principale misura di prevenzione. I programmi di addestramento devono coinvolgere l’intera popolazione aziendale, dai dipendenti operativi fino al top management. I vertici aziendali devono essere formati non solo per via delle responsabilità legali introdotte dalla NIS2, ma anche perché dispongono delle leve decisionali necessarie a gestire una crisi.

In questo ambito, uno degli strumenti preventivi più efficaci è rappresentato dalle “Table Top Exercise”: si tratta di simulazioni pratiche di incidenti informatici che coinvolgono i livelli apicali dell’azienda, addestrandoli a coordinare le azioni di contenimento e a prendere decisioni rapide sotto pressione.

👉 Connettiamoci

Se vuoi rimanere in contatto, scrivi QUI oppure seguici sui nostri canali.

Newsletter LinkedIn → articoli, aggiornamenti e corsi.

Grazie per aver letto TOP | Training Opportunity People. Iscriviti gratuitamente per ricevere tutti i nuovi contenuti e supportare il nostro lavoro. 👋

Luglio 2, 2026


Generazione Vincente Academy s.r.l.

C.F./P.IVA: 04925701213
CCIAA: NA722509
Capitale i.v.: € 50.000

Centro Direzionale Napoli, Is. E1
0815824911
info@geviacademy.it

Napoli Basket Sponsor

top
Gevi Academy Copyright @ 2021