Convergenza cyber e fisica, la nuova frontiera della sicurezza aziendale

Il rischio c’è ed è molto serio. La resilienza della supply chain non è uno slogan, ma una condizione necessaria per la tenuta dell’intero sistema industriale. È vero che un approccio esteso introduce complessità, soprattutto quando coinvolge fornitori critici o strategici, ma è una complessità inevitabile, e rinunciarvi significherebbe accettare vulnerabilità strutturali che prima o poi emergono. È una responsabilità che non può essere delegata solo alle funzioni tecniche, ma deve essere assunta in azienda a livello di vertice.

Il divario tra grandi imprese e PMI sulla sicurezza è noto da anni, ma sembra ampliarsi: quali leve possono ridurlo?

Non possiamo permetterci che questo divario di sicurezza tra grandi imprese e Pmi diventi un fattore strutturale di vulnerabilità del sistema industriale italiano. Le filiere sono interdipendenti e il livello di sicurezza complessivo è determinato dal loro anello più debole: rafforzare la sicurezza delle Pmi diventa quindi un interesse nazionale. Accanto alle leve di mercato, servono però strumenti pubblici concreti e gli esempi, anche recenti, in tal senso non mancano. Penso, per esempio, all’iperammortamento, che consente una deduzione maggiorata fino al 180% per investimenti in digitalizzazione e sicurezza e la ZES Unica che prevede crediti d’imposta fino al 60% per le aree eleggibili del Sud Italia. Sono in ogni caso interventi che devono essere intesi come investimento sistemico e non come semplice adempimento estemporaneo.

La pressione normativa scaricherà sui fornitori più piccoli costi e complessità difficilmente sostenibili, invece di rafforzare la filiera?

Sì, il rischio che la normativa si trasformi in un peso insostenibile per i fornitori più piccoli esiste. La normativa può diventare un elemento di forza per la filiera solo se viene completata con ciò che oggi manca, ovvero sia un sistema di controllo sull’effettiva applicazione delle regole. In assenza di questo elemento, il rischio è una compliance solo formale, orientata a essere “in regola” più che a ridurre il rischio reale. Un sistema di controllo efficace, invece, può spingere le aziende a investire in misure concrete, con benefici tangibili per l’intera supply chain. Porto questa stima per spiegare più concretamente il concetto: l’adeguamento alla NIS2 costerà alle aziende in media circa 283.000 euro, ma gli studi prevedono un ritorno positivo già dal secondo anno, con una riduzione degli incidenti del 6% annuo. La sicurezza reale nasce quando la compliance diventa uno strumento, non un obiettivo.

La convergenza tra sicurezza fisica e cyber è spesso evocata, ma nella pratica le organizzazioni restano divise in silos. È un problema di tecnologia, di competenze o di cultura manageriale poco evoluta?

Non è un problema di tecnologie: oggi esistono già soluzioni mature per un approccio realmente convergente, il vero limite è culturale e manageriale, prima ancora che di competenze. Nel 2024 le imprese italiane hanno speso oltre 2 miliardi di euro in cybersecurity, nel 2025 più di 2,2 miliardi, eppure, gli attacchi sono aumentati. Perché? Perché la sicurezza continua a essere trattata come una somma di domini separati, affidati a funzioni diverse, senza una responsabilità unitaria sul rischio. La convergenza richiede invece un cambio di paradigma: leggere la sicurezza come un tema di governance e di continuità operativa, supportato da competenze trasversali capaci di integrare fisico, cyber e OT. Finché la responsabilità resta frammentata, anche l’efficacia della sicurezza resterà frammentata.

Ultima domanda: l’adozione di modelli AI e data-driven promette maggiore capacità predittiva, ma introduce anche nuovi rischi. C’è il pericolo che si creino sistemi opachi e difficili da governare?

La prima attenzione va posta sul come questi modelli vengono adottati. È fondamentale che l’introduzione dell’intelligenza artificiale venga inquadrata all’interno di processi e procedure chiare, in grado di attribuire in modo preciso ruoli e responsabilità a chi progetta questi sistemi e a chi li utilizza. In questo contesto, più che creare opacità, i modelli AI e data-driven rappresentano un’opportunità per aumentare la consapevolezza dei vertici aziendali. Storicamente è sempre stato difficile rendere comprensibile l’impatto economico di un rischio cyber, oggi l’AI consente finalmente di rappresentarlo in modo quantitativo e tangibile. Il vero rischio non è rappresentato dall’intelligenza artificiale, ma dal prendere decisioni strategiche senza disporre dei necessari dati e di una adeguata visibilità.