La maggior parte delle piccole e medie imprese italiane non è pronta ad affrontare le minacce informatiche moderne. È quanto emerge dal nuovo report di Kaspersky, “Real Talk on Cybersecurity: cosa preoccupa, cosa manca e cosa è davvero utile?”, che fotografa uno scenario in cui il 68% delle PMI italiane segue una strategia di sicurezza più teorica che pratica, con obiettivi frammentati e scarsa capacità di risposta agli incidenti.
Il 32% dei decision-maker IT ammette di non possedere le competenze necessarie per gestire un attacco informatico, mentre solo un’azienda su quattro dichiara di aver implementato una strategia di sicurezza informatica completa. Questa lacuna operativa lascia il tessuto produttivo nazionale esposto a minacce sempre più sofisticate, in un contesto in cui il ransomware, gli infostealer e i malware mirati continuano a colpire con frequenza crescente.
Strategia sulla carta, ma non nei fatti
Il dato più significativo riguarda il divario tra la pianificazione e l’attuazione concreta. In Italia, il 38% delle PMI dichiara di aver pianificato una strategia di sicurezza, ma di non averla ancora applicata in modo completo. Un altro 30% ammette di limitarsi a perseguire singoli obiettivi, senza una visione integrata.
Questa frammentazione si traduce in vulnerabilità strutturali nelle operazioni quotidiane: mancano processi di risposta coerenti, piani di continuità testati e figure dedicate alla gestione delle crisi informatiche. In altre parole, la sicurezza resta spesso confinata ai documenti, non ai comportamenti aziendali.
L’Italia tra i Paesi più colpiti in Europa
Secondo i dati Kaspersky relativi al primo quadrimestre 2025, l’Italia rappresenta il 25% degli attacchi informatici contro PMI in Europa, superando Germania (11%), Spagna (10%) e Portogallo (6%). Solo l’Austria mostra un’incidenza più alta, con il 40% degli attacchi registrati.
Tra le principali minacce individuate emergono software potenzialmente indesiderati (PUA) e malware che imitano marchi legittimi, sfruttando la fiducia delle imprese e dei dipendenti per introdursi nei sistemi. Si tratta di un fenomeno che mette in evidenza un punto debole: la mancanza di consapevolezza diffusa e la difficoltà di riconoscere i segnali di compromissione.
Le carenze di conoscenza e fiducia
La ricerca mette in luce anche un problema culturale. Un terzo dei leader IT (32%) afferma di non sapere come ottimizzare la risposta agli incidenti o valutare l’efficacia delle proprie soluzioni di sicurezza. Un altro 27% dubita che le soluzioni endpoint adottate siano realmente adeguate alle minacce odierne.
Molti intervistati segnalano inoltre la difficoltà di orientarsi tra le offerte dei fornitori di sicurezza:
il 22% non sa quali strumenti siano realmente indispensabili,
il 18% vorrebbe capire meglio la visibilità del cloud e la gestione delle vulnerabilità,
mentre un altro 18% dichiara di non conoscere pienamente le normative di riferimento per la propria attività.
Un quarto dei manager, infine, non si fida delle descrizioni dei rischi fornite dai vendor, ritenendole poco aderenti alla realtà delle PMI. Il risultato è un ecosistema frammentato, in cui la fiducia e la conoscenza tecnica non camminano di pari passo.
Dalla teoria alla pratica
Secondo Cesare D’Angelo, General Manager Italy, Mediterranean & France di Kaspersky, “molte PMI seguono strategie apparentemente valide sulla carta, ma che nella pratica non funzionano perché prive di misure operative concrete. Due terzi delle aziende non hanno ancora reso effettive queste misure, restando esposte a minacce sempre più complesse”.
Per colmare il divario, le imprese devono integrare la sicurezza nelle decisioni e nei processi quotidiani, passando dalla teoria alla pratica. Kaspersky individua quattro linee d’azione concrete per migliorare la resilienza digitale:
- Trasformare i piani in protezione reale. Soluzioni come Kaspersky Next offrono protezione avanzata degli endpoint con funzioni EDR ed XDR, garantendo visibilità e risposta in tempo reale.
- Proteggersi anche con risorse limitate. Kaspersky Small Office Security consente alle microimprese di prevenire furti di dati e ransomware con configurazioni semplici e gestibili.
- Investire nella formazione. Programmi come Kaspersky Automated Security Awareness aiutano a diffondere cultura e prontezza alla sicurezza tra tutti i livelli aziendali.
- Costruire una cultura di resilienza. La sicurezza deve diventare parte dell’identità aziendale, non un’attività accessoria.
Sicurezza come priorità strategica
Il quadro tracciato da Kaspersky evidenzia come la sicurezza informatica nelle PMI italiane resti una sfida culturale prima ancora che tecnologica. Le imprese che sapranno colmare il divario tra teoria e pratica, investendo in competenze e strumenti integrati, potranno ridurre la propria esposizione e guadagnare un vantaggio competitivo.
