Quattro aziende italiane su cinque hanno aumentato gli investimenti in resilienza informatica nell’ultimo anno. Eppure oltre la metà concentra ancora le proprie difese esclusivamente all’interno del proprio perimetro organizzativo, trascurando i rischi che arrivano da fornitori, partner e collaboratori esterni. È il paradosso al centro del nuovo report di Zscaler, The Ripple Effect: A Hallmark of Resilient Cybersecurity, presentato a Milano da Elena Accardi, Country Manager Italia, e Marco Catino, Senior Manager Sales Engineering.

Il paradosso degli investimenti

La ricerca, condotta da Sapio Research su 1.750 decision maker IT in 14 paesi, fotografa un divario preoccupante tra fiducia percepita e preparazione reale. L’83% delle aziende italiane dichiara di aver aumentato la spesa in resilienza nell’ultimo anno, e il 98% ha aggiornato la propria strategia in risposta a fattori esterni. Eppure solo il 19% ritiene le proprie misure davvero efficaci di fronte alla volatilità della supply chain, e il 45% riconosce che i sistemi di sicurezza attuali non sono in grado di fronteggiare minacce avanzate.

“Le cause delle interruzioni dell’operatività aziendale oggi possono essere esterne all’azienda”, ha dichiarato Elena Accardi. “La vera resilienza deve estendersi a tutti gli anelli della catena, dai partner alle piattaforme fino alla supply chain, per assorbire gli impatti esterni prima che compromettano l’operatività aziendale”.

Elena Accardi, Country Manager Italia e Marco Catino, Sales Engineer Manager di Zscaler

Elena Accardi, Country Manager Italia e Marco Catino, Sales Engineer Manager di Zscaler

La filiera come punto cieco

Il rischio esterno è concreto e misurabile: il 69% dei responsabili IT italiani prevede di subire entro i prossimi dodici mesi un’interruzione significativa causata da un fornitore o da un partner esterno, e il 55% ha già vissuto un episodio simile nell’ultimo anno. Nonostante questo, meno della metà ha intrapreso iniziative concrete per aggiornare le proprie strategie di resilienza in funzione delle dipendenze da terze parti.

Il problema è strutturale: la gestione del rischio lungo la filiera si riduce spesso a un questionario annuale inviato ai fornitori. Una pratica che lo stesso Catino ha sintetizzato con una certa ironia durante la presentazione, osservando che chi riceve questi questionari – Zscaler inclusa, in quanto parte della supply chain di altri – sa bene quanto siano insufficienti come strumento di valutazione continuativa.

Shadow AI e visibilità perduta

Tra i rischi emergenti più rilevanti c’è quello legato all’uso non governato dell’intelligenza artificiale all’interno delle organizzazioni. Il 62% delle aziende italiane dichiara di non avere visibilità sull’utilizzo della cosiddetta shadow AI, ovvero l’impiego di strumenti di AI generativa da parte dei dipendenti senza supervisione IT, e il 47% teme che questo esponga dati aziendali sensibili.

Il nodo, come ha spiegato Catino, è che la soluzione più ovvia non è praticabile: “Bloccare gli strumenti AI non sarebbe particolarmente complesso, ma vorrebbe dire darsi la zappa sui piedi per quanto riguarda la produttività. È necessario trovare quella via di mezzo: vedo come stanno usando lo strumento, lo controllo, ma non lo blocco”. Sul fronte dell’AI agentica, il quadro è altrettanto critico: il 66% delle aziende italiane che hanno già adottato agenti AI lo ha fatto senza aver definito in precedenza adeguati controlli di sicurezza.

Il rischio quantum: raccogliere oggi, decifrare domani

Il 73% delle aziende italiane non ha ancora integrato la crittografia post-quantistica (PQC, Post Quantum Cryptography) nella propria strategia di sicurezza, nonostante il 64% riconosca che i dati sottratti oggi potrebbero essere a rischio entro tre-cinque anni, quando i sistemi crittografici attuali potrebbero risultare vulnerabili ai computer quantistici.

Catino ha illustrato il meccanismo con una metafora efficace: “È come il ladro che porta via una cassaforte che non è in grado di aprire oggi, ma se la tiene lì da parte perché sa che fra una decina d’anni sarà in vendita un trapano in grado di aprirla”. L’attacco prende il nome di harvest now, decrypt later: i dati vengono sottratti cifrati oggi, nella prospettiva di decifrarli in futuro.

L’architettura legacy è anello debole

Alla base di questo accumulo di vulnerabilità c’è un problema infrastrutturale che il report definisce “l’anello debole”: l’86% delle aziende italiane continua a fare affidamento su sistemi legacy (firewall, VPN, modelli di sicurezza perimetrale) e il 49% segnala che l’architettura IT attuale limita la capacità di rispondere efficacemente a violazioni e interruzioni.

Catino ha sintetizzato il problema con una metafora automobilistica: “Voglio competere in Formula 1, però ho un’utilitaria e comincio a fare modifiche: cambio il filtro dell’aria, metto la marmitta più performante, cambio le sospensioni, e poi alla prima curva vado dritto e mi schianto, perché non ho un mezzo adatto a competere. Oggi siamo in Formula 1 dal punto di vista della cybersecurity: non possiamo più permetterci di competere con qualcosa di raffazzonato”. Una consapevolezza diffusa: l’81% degli intervistati a livello globale, e l’86% in Italia, riconosce di avere un’architettura inadeguata rispetto alle minacce attuali.

La risposta: “Resilient by Design” e Zero Trust

Il report delinea un framework in tre passi che Zscaler definisce Resilient by Design.

  • Il primo è la visibilità: capire dove risiedono i dati, chi vi ha accesso e come si muovono,  inclusi i flussi che coinvolgono terze parti.
  • Il secondo è la semplificazione architetturale, separando la sicurezza dall’infrastruttura di rete e adottando un modello Zero Trust basato sul principio del privilegio minimo.
  • Il terzo è costruire una piattaforma in grado di evolversi in modo nativo, attivando nuove funzionalità di sicurezza, dall’AI generativa alla crittografia post-quantistica, senza dover sostituire ogni volta i layer esistenti.

“Le aziende più lungimiranti stanno abbandonando le tradizionali architetture centralizzate per adottare modelli distribuiti, con sovranità e localizzazione al centro” – ha osservato Marco Catino. “Questi approcci moderni consentono configurazioni granulari in grado di soddisfare requisiti regolamentari e operativi specifici”.

L’indagine completa, The Ripple Effect: A Hallmark of Resilient Cybersecurity, è disponibile sul sito di Zscaler.