Le aziende italiane investono di più nella resilienza informatica, ma continuano a mostrare un limite strutturale: la tendenza a concentrare la difesa quasi solo all’interno del perimetro aziendale. È il quadro che emerge dall’ultima indagine diffusa da Zscaler, secondo cui l’83% delle organizzazioni in Italia ha aumentato gli investimenti in cyber resilienza negli ultimi dodici mesi, mentre il 53% ammette che la propria strategia resta troppo focalizzata sulle minacce interne.
Il dato assume un peso particolare in una fase in cui il rischio non arriva più soltanto da malware, phishing o vulnerabilità interne, ma anche da fornitori, partner tecnologici, supply chain, instabilità geopolitica, strumenti di AI non governati e prospettive legate al quantum computing. Secondo il report, il 69% dei responsabili IT italiani ritiene probabile, entro i prossimi 12 mesi, un’interruzione significativa causata da un soggetto esterno, mentre il 55% dichiara di avere già vissuto un episodio simile nell’ultimo anno.
Più spesa, ma fiducia limitata sull’efficacia reale
L’indagine, condotta da Sapio Research su 1.750 decisori IT in 14 Paesi e riferita, per l’Italia, ad aziende con oltre 500 dipendenti, mostra un paradosso ormai evidente: gli investimenti crescono, ma la fiducia nell’efficacia delle misure adottate resta modesta. Solo il 19% delle imprese italiane considera davvero adeguate le proprie difese rispetto alla volatilità della supply chain. In un altro passaggio del report, Zscaler indica che appena il 24% giudica efficaci le strategie di resilienza di fronte a questo tipo di rischio, comunque sotto la media EMEA, che si attesta al 30%.
Il messaggio di fondo è chiaro: investire non basta, se l’impianto difensivo continua a poggiare su presupposti ormai superati. La resilienza, oggi, non coincide solo con la capacità di proteggere la rete interna, ma con quella di assorbire l’impatto di eventi che nascono fuori dall’azienda e che possono bloccare processi, dati e continuità operativa.
Il nodo dei sistemi legacy
A complicare il quadro c’è il peso delle infrastrutture tradizionali. L’86% delle aziende italiane continua infatti a fare affidamento su sistemi legacy, come firewall, VPN e modelli di sicurezza perimetrale, mentre il 49% riconosce che l’architettura IT attuale limita la capacità di reagire in modo efficace a violazioni, guasti o interruzioni operative.
Si tratta di un elemento centrale, perché molte delle architetture nate per difendere un perimetro chiuso risultano meno efficaci in ambienti distribuiti, dove applicazioni, utenti, dispositivi e fornitori esterni si intrecciano in modo continuo. In questo contesto, il rischio non dipende solo dalla robustezza dei controlli interni, ma anche dalla rapidità con cui un’organizzazione riesce a vedere, isolare e gestire una minaccia che si propaga lungo la catena delle dipendenze digitali.
Shadow AI e governance: il nuovo fronte di esposizione
Tra i punti più delicati emersi dalla ricerca c’è quello legato all’uso dell’intelligenza artificiale. Il 45% dei responsabili IT italiani ritiene che i sistemi di sicurezza attuali non siano adeguati ad affrontare minacce avanzate, mentre il 62% ammette di non avere visibilità sull’uso della cosiddetta shadow AI. A questo si aggiunge un altro dato significativo: il 47% teme che l’impiego di applicazioni di AI pubbliche possa esporre dati sensibili.
Il problema non riguarda soltanto l’adozione degli strumenti, ma anche la loro governance. Secondo Zscaler, il 35% delle aziende che sta testando o implementando forme di AI agentica non dispone di framework di controllo solidi. In pratica, molte organizzazioni aprono alla sperimentazione senza avere ancora definito in modo rigoroso regole, limiti, supervisione e processi di valutazione del rischio.
Il ritardo sulla crittografia post-quantistica
Un altro segnale di fragilità riguarda la preparazione al cosiddetto scenario post-quantum. Il report indica che il 73% delle aziende italiane non ha ancora integrato la crittografia post-quantistica nella propria strategia di sicurezza, nonostante il 64% riconosca che i dati sottratti oggi potrebbero diventare vulnerabili entro 3-5 anni.
Il tema, per ora, resta spesso confinato alla pianificazione strategica o alla compliance di lungo periodo. Tuttavia il principio del “harvest now, decrypt later” rende il problema più concreto: dati cifrati intercettati oggi possono conservare valore anche in futuro, nel momento in cui strumenti di calcolo più avanzati dovessero ridurre l’efficacia degli schemi crittografici attuali. L’assenza di una roadmap su questo fronte segnala quindi non solo un ritardo tecnologico, ma anche una difficoltà di visione.
Sovranità digitale: l’Italia sotto la media europea
La ricerca dedica attenzione anche al tema della sovranità dei dati, che si intreccia con dipendenza da fornitori esteri, requisiti normativi e controllo dell’infrastruttura. Su questo punto, l’Italia appare in ritardo rispetto ad altri Paesi europei: secondo Zscaler, a livello europeo il 79% dei responsabili IT interviene attivamente per mitigare questi rischi, mentre in Italia la quota scende al 60%, il dato più basso tra le principali economie del continente. Inoltre il 56% delle aziende italiane ha aggiornato la strategia di resilienza nell’ultimo anno per adeguarsi a nuove norme o a regole in evoluzione sulla sovranità digitale, mentre il 65% l’ha rivista in risposta a modifiche normative come NIS2, DORA e GDPR.
È un passaggio che mostra come la resilienza informatica non sia più solo una questione tecnica. Oggi entra direttamente nella governance, nella localizzazione dei dati, nella scelta dei fornitori e nella capacità di rispondere a vincoli regolatori che cambiano con rapidità.
L’impostazione proposta da Zscaler
Nel report, Zscaler sintetizza la risposta in un approccio definito “Resilient by Design”, che si articola su tre direttrici: maggiore visibilità end-to-end sulla superficie di rischio, semplificazione tramite piattaforme integrate e rafforzamento di un’architettura Zero Trust capace di adattarsi alle nuove minacce senza ricostruire da zero l’intero stack di sicurezza.
Al di là della formula proposta dal vendor, il punto sostanziale resta questo: la resilienza non può più essere letta come una capacità interna isolata. Per le imprese italiane, il nodo si sposta sulla capacità di controllare dipendenze esterne, ridurre la frammentazione tecnologica, governare l’adozione dell’AI e prepararsi a uno scenario normativo e infrastrutturale sempre più instabile.
