La cybersecurity non si gioca più solo sulla qualità tecnica di prodotti e servizi. Un altro fattore entra con forza nelle scelte aziendali: la fiducia verso i fornitori. È questo il punto centrale del report “The Cybersecurity Trust Reality in 2026” di Sophos, ricerca indipendente realizzata su 5.000 responsabili IT e security in 17 Paesi, che descrive un mercato in cui la fiducia nei vendor è fragile, difficile da misurare e sempre più rilevante nelle decisioni di acquisto e di gestione del rischio. Il dato che colpisce di più è semplice e netto: solo il 5% degli intervistati dichiara di avere piena fiducia nei propri fornitori di cybersecurity. In parallelo, il 79% afferma di avere difficoltà nel valutare l’affidabilità di nuovi partner, mentre il 62% trova complesso farlo perfino con i vendor già presenti in azienda. Per oltre la metà del campione, questa incertezza ha anche un effetto concreto: il 51% teme che la carenza di fiducia possa aumentare la probabilità di un incidente cyber rilevante.
La fiducia entra nella gestione del rischio
Il report di Sophos sposta il focus su un aspetto spesso lasciato sullo sfondo: la sicurezza non dipende solo da capacità di rilevamento, tempi di risposta o qualità della telemetria. Dipende anche dalla possibilità, per un’azienda, di verificare in modo indipendente quanto un fornitore sia solido sotto il profilo della sicurezza, della trasparenza e della gestione degli incidenti.
Quando questa verifica non è semplice, il risultato è un effetto a catena. I team di sicurezza faticano a confrontare le offerte, il management procede con più cautela, i tempi decisionali si allungano e il rapporto con il vendor resta esposto a dubbi continui. Non a caso, il report segnala anche un altro elemento di frizione: il 78% delle organizzazioni rileva differenze di valutazione tra team IT e vertici aziendali sulla reale affidabilità dei fornitori scelti.
Il nodo italiano: competenze, chiarezza e qualità delle informazioni
Nel quadro italiano il problema appare ancora più concreto. Quasi il 70% delle organizzazioni trova difficile, o abbastanza difficile, valutare nuovi fornitori o partner di cybersecurity, mentre solo il 26% ritiene che il processo non presenti particolari criticità. A pesare non è solo la quantità di informazioni disponibili, ma soprattutto la loro qualità. Il 43% delle aziende italiane sostiene che le informazioni fornite dai vendor siano difficili da interpretare, il 49% le giudica non abbastanza dettagliate o affidabili, il 32% dice che sono difficili da reperire e il 40% segnala la presenza di indicazioni spesso contrastanti. A questo si aggiunge un altro dato rilevante: il 41% afferma di non avere all’interno dell’azienda le competenze necessarie per valutare in modo efficace un possibile partner di cybersecurity. Il risultato è un mercato nel quale la scelta del fornitore rischia di non dipendere solo da evidenze tecniche, ma anche dalla capacità del cliente di orientarsi tra documentazione incompleta, claim commerciali poco leggibili e segnali non sempre coerenti.
Non bastano le promesse commerciali
Uno degli aspetti più interessanti dello studio riguarda i fattori che alimentano davvero la fiducia. Per le aziende, il primo elemento non è il posizionamento del brand, ma la presenza di prove verificabili della maturità di sicurezza. Nel report rientrano in questa categoria strumenti come bug bounty, Trust Center pubblici, advisory sulle vulnerabilità, valutazioni di terze parti e certificazioni. Anche la trasparenza nelle comunicazioni durante incidenti o disclosure pesa in modo rilevante nelle valutazioni. Ne emerge un messaggio abbastanza chiaro: le aziende chiedono ai vendor meno rassicurazioni di principio e più elementi concreti da controllare. La fiducia, in altre parole, non è più un attributo reputazionale astratto. Diventa un indicatore che incide sulla continuità operativa, sulla governance del rischio e sulla stabilità della relazione tra cliente e fornitore.
AI, governance e accountability
Il tema assume un peso ancora maggiore nel momento in cui l’intelligenza artificiale entra con più decisione nei prodotti, nei servizi gestiti e nei workflow di difesa. In questo scenario le aziende non valutano solo l’efficacia della tecnologia, ma anche il modo in cui il fornitore documenta responsabilità, governance, controlli e gestione delle vulnerabilità. Il report Sophos insiste proprio su questo punto: la fiducia oggi passa da trasparenza, accountability e verifiche indipendenti. Non basta dichiarare che una piattaforma è sicura o resiliente. Serve mostrare come lo è, con dati, processi, audit, certificazioni e comunicazioni tempestive. Sophos, da parte sua, collega questa impostazione anche al proprio Trust Center, l’area in cui pubblica advisory di sicurezza, informazioni sulle vulnerabilità e dettagli relativi a compliance e protezione dei dati.
Perché questa ricerca conta
Il valore della ricerca sta soprattutto nel cambio di prospettiva. Per anni il rapporto tra azienda e vendor di cybersecurity è stato letto quasi esclusivamente in chiave tecnologica: efficacia del prodotto, prestazioni, copertura, costo. Oggi, invece, entra in scena una domanda più ampia: quanto è verificabile il fornitore che dovrebbe ridurre il mio rischio? Nel mercato italiano questa domanda pesa ancora di più, perché si intreccia con la difficoltà di reperire competenze specialistiche interne e con la necessità di prendere decisioni su supply chain digitali sempre più complesse. In questo contesto, la fiducia non è un elemento accessorio. Diventa parte della postura di sicurezza dell’azienda stessa.
