Le imprese continuano a considerare la supply chain uno dei fronti più delicati della sicurezza informatica, ma la risposta resta debole. Secondo un nuovo studio globale di Kaspersky, la mancanza di personale qualificato e la necessità di gestire troppe priorità contemporaneamente stanno riducendo la capacità delle organizzazioni di controllare i rischi collegati a fornitori, appaltatori e relazioni di fiducia.
Il quadro descritto dalla ricerca parte da un dato concreto: il 31% delle aziende coinvolte nell’indagine dichiara di avere subito almeno un attacco alla supply chain negli ultimi dodici mesi. Nello stesso periodo, gli attacchi che sfruttano relazioni di fiducia tra organizzazioni hanno colpito un’azienda su quattro a livello globale. Per Kaspersky si tratta di minacce ormai strutturali, favorite dall’aumento delle integrazioni digitali, dal numero crescente di fornitori software e hardware e da ecosistemi aziendali sempre più interconnessi.
A emergere con forza è soprattutto il problema delle competenze. Nel nuovo approfondimento diffuso il 18 marzo, Kaspersky indica la carenza di professionisti qualificati come uno dei principali ostacoli nella riduzione del rischio, insieme alla difficoltà di assegnare la giusta priorità alle attività di sicurezza. Entrambi i fattori vengono citati dal 42% degli intervistati. Questa pressione operativa, secondo la società, limita il monitoraggio sistematico delle vulnerabilità che possono annidarsi nei soggetti terzi dell’ecosistema aziendale.
Il tema non riguarda soltanto singoli mercati. Anche nel contesto europeo il nodo delle competenze resta centrale. Un recente intervento di ISC2 dedicato al quadro normativo UE segnala che il 94% dei professionisti cybersecurity nell’Unione europea rileva almeno un gap di competenze nella propria organizzazione, mentre il 54% considera queste carenze critiche o significative. Nello stesso approfondimento, la scarsità di skill viene indicata come il primo ostacolo al rispetto dei requisiti normativi europei in materia di cybersicurezza.
Lo studio Kaspersky mostra inoltre che molte aziende sanno di dover rafforzare le difese, ma non hanno ancora trasformato questa consapevolezza in un modello operativo maturo. L’85% delle organizzazioni ammette la necessità di migliorare la protezione contro i rischi legati a supply chain e relazioni di fiducia, mentre solo il 15% ritiene efficaci le misure oggi in uso. Il dato scende ancora in alcuni Paesi chiave: in Italia la quota si ferma all’8%, un valore che segnala un livello di fiducia particolarmente basso nella capacità di presidio attuale.
Il problema, peraltro, non si esaurisce nel numero di specialisti disponibili. Tra le criticità citate compaiono anche aspetti organizzativi e contrattuali. Secondo Kaspersky, il 39% degli intervistati segnala che i contratti con gli appaltatori non includono obblighi chiari in materia di cybersecurity, mentre il 32% ritiene che il personale non specializzato non comprenda pienamente questi rischi. In altre parole, la sicurezza della filiera continua a restare confinata ai team tecnici, senza diventare una responsabilità condivisa tra funzioni acquisti, legale, compliance e management.
A rendere il quadro più delicato c’è anche la frammentazione delle misure di mitigazione. Kaspersky rileva che nessuna pratica di protezione supera il 40% di adozione tra le aziende coinvolte nello studio. Perfino l’autenticazione a due fattori, la misura più diffusa, arriva soltanto al 38%. Ancora più significativo il dato sui controlli ai partner: appena il 35% delle organizzazioni effettua verifiche periodiche sul livello di sicurezza informatica dei propri fornitori. Questo significa che quasi due aziende su tre non hanno una visibilità costante sul rischio che può maturare lungo la catena di fornitura.
Il tema trova riscontro anche nelle analisi europee più recenti. Nel report NIS Investments 2025 di ENISA, gli attacchi alla supply chain risultano la seconda preoccupazione più citata per i prossimi dodici mesi, scelta da quasi un’organizzazione su due, il 47%. Lo stesso documento evidenzia che la fiducia nella preparazione resta più bassa rispetto ad altre minacce e collega questa esposizione all’aumento dell’outsourcing di funzioni ICT e servizi di sicurezza, che amplia la dipendenza da terze parti.
Secondo Sergey Soldatov, Head of Security Operations Center di Kaspersky, quando i team sono sovraccarichi e costretti a rincorrere le urgenze, l’azienda resta esposta a minacce che possono propagarsi in modo silenzioso lungo l’intero ecosistema dei fornitori. La risposta, nella lettura del manager, richiede valutazioni standardizzate dei partner, maggiore consapevolezza tra i reparti e una gestione della supply chain come responsabilità distribuita in tutta la rete aziendale.
Dal lato operativo, Kaspersky indica alcune priorità: valutare con maggiore attenzione i fornitori prima della firma dei contratti, introdurre requisiti di sicurezza più stringenti negli accordi, rafforzare il monitoraggio continuo e investire nella formazione del personale. Nelle raccomandazioni ufficiali compaiono anche l’uso di servizi gestiti per la risposta agli incidenti e la collaborazione più stretta con i partner sui temi di sicurezza.
Il punto centrale, però, resta uno: la supply chain non è più un elemento periferico della difesa aziendale. È uno dei luoghi in cui il rischio si concentra di più, proprio mentre il mercato soffre una cronica scarsità di competenze e una governance ancora incompleta. In questo scenario, il confine tra vulnerabilità interna ed esposizione esterna appare sempre più sottile.
