Dalla cyber resilience alla gestione del rischio, dall’awareness delle persone all’AI agentica, passando per OT, infrastrutture critiche e gestione dei dati: il Security Forum di Data Manager ha messo a confronto visioni ed esperienze, ribadendo una certezza: la cybersecurity non è più una funzione tecnica, ma una leva strategica di sopravvivenza e competitività. Con la partecipazione di A2A, CrowdStrike, Cyber Guru, Elastic, Prada Group, ReeVo, SOL Group e TXOne Networks
di Gianni Rusconi
La sicurezza informatica ha smesso da tempo di essere un affare per soli specialisti. Negli ultimi anni, sotto la spinta dell’accelerazione della trasformazione digitale, della diffusione dell’intelligenza artificiale e dell’inasprimento del quadro normativo, la cybersecurity è entrata stabilmente nell’agenda del top management. Non come tema tecnico, ma come questione di governo dell’impresa. Il Security Forum di Data Manager (19 novembre – Grand Visconti Palace Hotel di Milano) ha affrontato questo tema chiamando a raccolta responsabili della sicurezza e fornitori di tecnologia con l’obiettivo di andare oltre la superficie del problema e interrogarsi su cosa significhi oggi “fare sicurezza” in azienda.
Il punto di partenza condiviso è che il rischio cyber non è più un evento remoto o circoscritto: gli attacchi sono sempre più frequenti, sofisticati e mirati, colpiscono indistintamente grandi imprese e PMI e sfruttano vulnerabilità tecnologiche, ma soprattutto organizzative e culturali. In questo scenario, la semplice difesa del perimetro non è sufficiente. Serve una capacità più ampia di resilienza, intesa come attitudine dell’organizzazione a prevenire, assorbire e superare eventi avversi senza compromettere la continuità del business. Nel corso dell’evento, il concetto di resilienza è emerso come chiave di lettura trasversale rispetto a processi, infrastrutture, persone e modelli decisionali. Dall’OT security alla gestione degli accessi privilegiati, dall’awareness dei dipendenti all’uso dell’AI nei SOC, il confronto ha confermato la tendenza che vede la cybersecurity non essere più un dominio separato, ma una componente strutturale della strategia aziendale.
L’URGENZA NON PERCEPITA
La sicurezza non è più una funzione di presidio, né un costo da giustificare a posteriori: è una componente strutturale dei processi di trasformazione digitale e, sempre più spesso, una condizione di sopravvivenza per le imprese. È il messaggio centrale dell’intervento di Federica Maria Rita Livelli, specialista di business continuity e risk management, che ha aperto i lavori del Security Forum tracciando un quadro dello scenario cyber attuale. I dati CLUSIT, richiamati nel corso dell’analisi, confermano una tendenza ormai consolidata: gli attacchi crescono in numero, sofisticazione e impatto economico, colpendo in modo trasversale settori, dimensioni aziendali e filiere. A cambiare, però, è soprattutto il perimetro da difendere. La convergenza tra IT e OT ha ampliato la superficie di rischio, rendendo obsolete molte delle tradizionali strategie di protezione. «Oggi un incidente cyber può fermare una linea produttiva, compromettere la sicurezza fisica delle persone o interrompere una supply chain globale» – ha spiegato Livelli. In questo contesto, parlare solo di cybersecurity è quindi riduttivo. Serve un approccio più ampio, che integri continuità operativa, gestione del rischio e sicurezza in un unico framework di cyber resilience che riflette la capacità di un’organizzazione di reagire e ripristinare rapidamente le proprie funzioni critiche. «La domanda non è più se un evento accadrà, ma quando. La differenza la fa la preparazione» – ha sottolineato ancora Livelli, evidenziando come business continuity, risk management e cybersecurity debbano smettere di essere silos separati.
A rendere il quadro ancora più complesso è la componente normativa. La “galassia” regolatoria europea – da NIS2 a DORA, passando per il Cyber Resilience Act, l’AI Act e le direttive sulla supply chain – adotta un approccio sempre più esplicitamente risk-based e resilience-based. Non basta dimostrare di aver implementato controlli, occorre provare di aver compreso i rischi e introdotto misure proporzionate ed efficaci. «I costi della non conformità – ha precisato l’esperta – non sono solo sanzioni ma riguardano l’accountability del management, la responsabilità lungo la catena di fornitura e il rischio di obsolescenza competitiva». La mancata compliance può tradursi in esclusione dai mercati, perdita di fiducia e interruzione dei rapporti con partner e clienti. Da qui l’invito a superare la fase dei proclami. «È tempo di mettere a terra strategie concrete» – ha ribadito Livelli. Strategie che spaziano da una chiara identificazione delle risorse critiche a piani di continuità realmente testati fino a modelli di governance che coinvolgono il top management. La resilienza, in altre parole, non può essere delegata esclusivamente all’IT o alla funzione security ma va intesa come una responsabilità trasversale che riguarda l’intera organizzazione. In questo percorso, anche l’intelligenza artificiale può giocare un ruolo chiave, sia come strumento di difesa – per il rilevamento avanzato delle minacce e l’automazione delle risposte – sia come nuovo fattore di rischio se adottata senza adeguati controlli.
A rendere ancora più urgente il cambio di paradigma è anche il fattore tempo. «Oggi abbiamo 24 ore o meno per reagire» – ha spiegato Livelli, descrivendo uno scenario che definisce senza mezzi termini “una sorta di torre di Babele”, in cui diventa sempre più complesso far circolare informazioni corrette e tempestive durante una crisi cyber. Sul tavolo di CEO e CISO c’è l’obbligo di implementazione della direttiva NIS2, che molte organizzazioni stanno ancora cercando di inquadrare, domandandosi se rientrano o meno nel suo perimetro di applicazione. «È fondamentale evitare che la governance della sicurezza diventi un ostacolo alla reattività» – ha messo in guardia l’esperta, richiamando il ruolo delle istituzioni – dall’Agenzia per la Cybersicurezza Nazionale a ENISA – e sottolineando la necessità di un coordinamento chiaro e funzionale. Il fattore umano resta infine l’anello debole. «Finché continueremo a fare formazione passiva, non saremo efficaci» – ha concluso Livelli, indicando nella consapevolezza diffusa e nell’approccio orchestrato alla sicurezza – come in una vera e propria orchestra sinfonica – la chiave per costruire una resilienza strutturale, capace di reggere l’urto di un “cyber universo” destinato a restare intrinsecamente caotico.
OLTRE LA COMPLIANCE
Se la compliance è il punto di partenza, l’obiettivo finale resta la riduzione concreta del rischio. È questo il filo conduttore dell’intervento congiunto di Marco Bonicelli, presales manager di Cyber Guru, e Casto Cremonesi, Direction Architecture Infrastructure & Security manager di SOL Group, per riflettere in modo pragmatico sul ruolo della cybersecurity awareness nello scenario attuale, segnato da minacce sempre più sofisticate e da obblighi regolatori stringenti. «La pervasività del digitale è totale e non riguarda più solo il lavoro, ma ogni dimensione della vita quotidiana, ampliando la superficie d’attacco» – ha esordito Bonicelli. Le minacce, infatti, crescono non solo in numero ma anche in qualità, con campagne di phishing sempre più sofisticate, spesso generate o potenziate dall’intelligenza artificiale. In questo contesto, nonostante i progressi tecnologici, il fattore umano resta centrale. È un punto su cui converge anche l’esperienza operativa di SOL Group.
«Chi sta tra la sedia e il computer è oggi l’elemento più critico» – ha sottolineato in modo colorito Cremonesi, ricordando come gli «utenti con privilegi elevati rappresentano un rischio reale, ed è per questo che investiamo da anni in campagne strutturate di sensibilizzazione». Il gruppo brianzolo, attivo a livello internazionale nel campo dei gas tecnici, della sanità domiciliare, del biotech e dell’energia, opera in contesti fortemente esposti sia sul fronte IT sia su quello OT e ha colto l’opportunità offerta dalla NIS2 per accelerare il percorso di formazione della propria forza lavoro.
«L’awareness non è più solo una buona pratica ma è diventata un requisito sanzionabile, e di pari passo la sicurezza non è più solo un tema dell’IT ma è una responsabilità condivisa» – ha aggiunto Cremonesi, evidenziando come la vera criticità non sia tanto la norma in sé, quanto l’adesione degli utenti, già sottoposti a un sovraccarico di corsi obbligatori.
Entrano quindi in gioco nuovi modelli formativi, capaci di coinvolgere senza appesantire. Cyber Guru ha costruito la propria crescita proprio su questo approccio, scegliendo di non focalizzarsi soltanto sulla produzione di contenuti tecnologici. «La nostra metodologia – ha spiegato Bonicelli – si basa su come funziona il cervello umano e su come apprendono gli adulti. Portiamo la formazione nel momento in cui serve, davanti a una mail sospetta o a una navigazione potenzialmente pericolosa». Accanto alla didattica tradizionale trovano quindi spazio format esperienziali, serie video, simulazioni di phishing adattivo e strumenti di micro-learning integrati direttamente nel contesto operativo dell’utente. Un ruolo importante è giocato anche dall’intelligenza artificiale, utilizzata per il training conversazionale tramite chatbot o per generare banner in tempo reale che aiutano l’utente a interpretare segnali di minaccia deboli, come toni anomali, richieste finanziarie incongrue, allegati sospetti.
Se l’obiettivo di Cyber Guru è stimolare consapevolezza fra le persone dell’azienda, la dimensione globale di SOL ha reso centrale per l’azienda anche il tema della localizzazione. «Formiamo gli utenti nella loro lingua» – ha confermato Cremonesi. «E dove necessario, con sottotitoli e contenuti adattati ai contesti locali. Inoltre misuriamo l’adesione e la confrontiamo con i nostri KPI, intervenendo direttamente quando emergono scostamenti».
Sul fronte operativo, le simulazioni di phishing restano uno strumento centrale: ogni mese SOL lancia campagne internazionali con livelli di difficoltà progressivi, che aumentano man mano che l’utente diventa più esperto. «Il risultato è che oggi riceviamo più segnalazioni di falsi positivi che di attacchi reali: segno che l’attenzione è cresciuta» – ha confermato con soddisfazione il manager.
La misurabilità resta uno snodo chiave, come emerge anche dalle dichiarazioni di Bonicelli, secondo cui «la compliance non è mettere una spunta ma richiede un approccio virtuoso che sappia dimostrarne l’efficacia». Dashboard, reportistica estraibile, correlazione dei dati per funzione e area geografica sono strumenti operativi fondamentali per individuare punti di debolezza e attivare percorsi mirati, anche in ottica di audit e accountability verso il management. Le nuove minacce, dai deepfake alle truffe via WhatsApp, impongono infine un ulteriore salto culturale. «Bisogna diffidare delle richieste urgenti e usare sempre un secondo canale di verifica» – ha ammonito il manager di Cyber Guru, ricordando come autenticazione multi-fattore, protezione dei device, uso rigoroso dei canali ufficiali e, per i ruoli aziendali più esposti, codici condivisi o domande di verifica diventino accorgimenti essenziali. Il messaggio conclusivo, e condiviso da entrambi, è assai chiaro: la consapevolezza resta la prima linea di difesa e la cybersecurity awareness, quando non si limita all’adempimento normativo, può concretamente diventare una leva strutturale di resilienza per l’intera organizzazione.
CON GLI OCCHI DELL’HACKER
Non è più sufficiente rafforzare le mura di protezione: occorre capire da dove e come un attaccante può entrare. È il cambio di prospettiva che Simone Crevenna, head of SMB & S/M Enterprise Sales Italy di ReeVo, ha sintetizzato illustrando il concetto di Continuous Threat Exposure Management (CTEM) come risposta alla crescente complessità del rischio informatico. «I normali sistemi di difesa restano fondamentali, ma da soli non bastano più» – ha spiegato il manager. «Oggi serve lavorare in profondità sull’infrastruttura IT esistente per capire cosa non funziona e sapere sempre come muoversi in uno scenario in cui le superfici di attacco continuano ad ampliarsi, mentre le risorse interne, e quindi team di sicurezza e competenze, faticano a tenere il passo». In quest’ottica, ReeVo, cloud e cybersecurity provider europeo con otto data center certificati Tier IV all’attivo, propone il CTEM come un processo continuo, più che come una singola tecnologia, seguendo un approccio che – secondo Gartner – è destinato a diventare centrale nei prossimi anni. «Nonostante investimenti significativi in soluzioni difensive, molti CISO ci parlano di un persistente senso di insicurezza» – ha confermato Crevenna, ricordando che «all’attaccante basta una porta aperta per creare un danno e oggi le porte sono molte di più rispetto al passato».
Il contesto in cui ReeVo si muove è quello di una crescita esponenziale delle vulnerabilità note, di configurazioni errate che si stratificano nel tempo, di ambienti ibridi sempre più complessi e di un perimetro che non coincide più con il firewall aziendale. Il CTEM, se integrato in un servizio chiavi in mano in grado di trasformare la complessità tecnica in una capacità decisionale concreta, rappresenta la soluzione più idonea per contrastare queste criticità: si assume il fatto che l’attaccante possa già essere “in casa” e si prova a ragionare dal suo punto di vista attraverso un framework che comprende definizione dello scenario, discovery, validazione, prioritizzazione e remediation. «Non chiediamo al cliente quale attacco vuole testare» – ha spiegato il manager. «Perché la nostra piattaforma lavora come farebbe un attaccante, sfruttando tutto ciò che trova, dalle vulnerabilità note alla misconfiguration fino alle password in chiaro».
Grazie all’uso di sensori leggeri distribuiti sull’infrastruttura reale (workstation, server, ambienti cloud) è possibile simulare percorsi di attacco senza impatti operativi, per un risultato finale che non è un elenco indistinto di problemi, bensì la ricostruzione dei percorsi più rapidi ed efficaci per arrivare agli asset critici. «Il valore che offriamo non è dire alle aziende che hanno mille vulnerabilità, ma indicare quali sono davvero rilevanti per il loro business in quel momento, evidenziando i nodi su cui intervenire per ridurre drasticamente la probabilità di compromissione» – ha sottolineato ancora Crevenna, ricordando come in un caso reale si è passati da una percentuale del 93% di asset compromessi al 7% in soli tre mesi di lavoro continuo. Per spiegare la valenza della soluzione, l’esperto di ReeVo ha usato la metafora del labirinto, in cui un attaccante cerca sempre la via più veloce per raggiungere l’uscita (e nel caso di un’azienda questa uscita sono i suoi asset critici). «Il CTEM rende visibile quel percorso e permette di interromperlo prima che venga sfruttato. A differenza dei sistemi tradizionali, per loro natura reattivi, questo tipo di risposta garantisce la necessaria visibilità: se un percorso non è ancora stato utilizzato, nessun SOC può intercettarlo, mentre noi andiamo a stimolare ciò che potrebbe accadere» – ha concluso Crevenna.
LA RESILIENCE DIVENTA SAFETY
Gestire il rischio cyber nelle infrastrutture critiche non è più un esercizio teorico, ma una questione di continuità dei servizi essenziali e di sopravvivenza operativa. Per Gaetano Sanacore, Group Security & Cyber Defence – OT Security senior manager di A2A, le sfide all’ordine del giorno riflettono un obiettivo ben definito: delineare un approccio concreto per proteggere infrastrutture critiche dove l’interazione tra sistemi informatici (IT) e sistemi di controllo industriale OT e IIoT cresce di anno in anno, con un impatto diretto sulla resilienza delle aziende. Citando le direttive europee NIS2 e Cyber Resilience Act, Sanacore ha ripercorso il tracciato che ha portato alla situazione attuale. «Dal 2018-2019, la normativa ha indicato chiaramente che le infrastrutture critiche devono iniziare a conoscere e trattare il rischio cyber, non limitandosi a standard di base (IT) come l’ISO 27001, utile ma insufficiente per i sistemi industriali. Applicare un’analisi del rischio IT in un ambiente OT – ha continuato il manager – è un errore se viene fatta in modo indifferenziato, in quanto ogni asset industriale deve essere valutato localmente, secondo gli standard IEC 62443, per garantire la resilienza cyber dell’infrastruttura».
La differenza sostanziale tra IT e OT è alla base di questa riflessione: nel mondo informatico (IT), aggiornamenti e interventi possono avvenire in finestre temporali limitate, spesso notturne, con sistemi ridondanti che permettono di limitare l’impatto; nei sistemi Operational Technology la logica è diversa perché «non si può semplicemente spegnere per mettere in aggiornamento un sistema SCADA o un impianto di produzione energetica. Ogni intervento deve essere pianificato per evitare i rischi di interruzione dei servizi essenziali, come nel caso della fornitura di energia verso le utenze domestiche». Una differenza, quella fra information e operational technology, che impone un approccio modellato sulla “specificità” di ciascun asset e della sua criticità operativa (Security Level associato). «Alcuni casi reali verificatisi in Europa mostrano come vulnerabilità nei sistemi IT possano compromettere direttamente gli ambienti OT» – ha rimarcato in proposito Sanacore, ricordando episodi di multiutility in cui falle nei software gestionali hanno permesso movimenti laterali fino ai sistemi di controllo OT degli impianti, esponendo le infrastrutture a scenari di compromissione molto gravi, con conseguenze operative ed economiche rilevanti.
Per affrontare queste sfide, la soluzione passa da un approccio differenziato, secondo il quale «non bisogna forzare la convergenza tra analisi del rischio IT e OT e non bisogna trattare i due ambiti come se fossero speculari». L’adozione di queste pratiche diventa cruciale anche alla luce dell’evoluzione tecnologica. L’integrazione di sistemi di automazione sempre più intelligenti, basati su machine learning ed agentic AI, amplia la superficie di attacco potenziale e introduce nuovi scenari di minaccia. «Garantire la resilienza cyber – ha precisato in proposito Sanacore – significa anticipare questi rischi e implementare soluzioni ridondanti e piani di continuità operativa che considerino la complessità dell’infrastruttura». Un ulteriore elemento di complessità, infine, è la gestione degli incidenti: se nel mondo IT un fuori servizio a causa di minacce cyber o a causa di un aggiornamento critico può essere affrontato in poche ore, nei sistemi industriali l’intervento deve preservare la continuità dei servizi essenziali e ciò implica un’organizzazione interna che sappia intervenire rapidamente e in modo coordinato. Non basta insomma seguire procedure standard – questo il messaggio finale rivolto alla platea dal manager di A2A – ma serve conoscere profondamente l’infrastruttura per segmentarla bene, valutando i rischi in modo localizzato e gestendo con rigore le interazioni tra i due mondi operativi.
LA SICUREZZA COME CULTURA
Quando si parla di cybersecurity, il mondo del fashion non è storicamente in cima alla lista delle referenze. Eppure, anche un gruppo simbolo del lusso Made in Italy come Prada si è trovato a fare i conti con una realtà sempre più evidente: dati, sistemi e reputazione sono asset critici da proteggere quanto – e forse più – dei prodotti fisici. Ugo Vignolo Lutati, chief information security officer di Prada Group, ha condiviso un’esperienza fatta di gradualità, pragmatismo e scelte culturali prima ancora che tecnologiche. «Quando sono arrivato due anni e mezzo fa, la cybersecurity non era una priorità» – ha ammesso senza giri di parole. «Prada è sinonimo di moda, eventi, creatività. La tecnologia, e ancora meno la sicurezza, non erano il primo pensiero». Poi qualcosa è cambiato. La scintilla è stata la consapevolezza del rischio reputazionale. «Un data breach, per un marchio come il nostro, non viene perdonato, perché i nostri clienti si aspettano eccellenza in tutto, anche – e soprattutto – nella protezione dei loro dati» – ha spiegato il CISO. Da qui la decisione di avviare un percorso strutturato, coinciso con l’arrivo di nuove figure in azienda (CIO e CTO) e con la creazione di una funzione CISO autonoma, che riporta direttamente alla presidenza.
Il risultato è stato un cambiamento rapido ma calibrato. «Siamo partiti da una postura di sicurezza molto basica e in pochi anni siamo arrivati a un livello più che dignitoso grazie al fatto di aver remato tutti nella stessa direzione» – ha spiegato il manager, ribadendo come Prada abbia scelto una roadmap realistica nella cybersecurity, costruita in stretta sinergia con l’IT ma mantenendo una chiara distinzione dei ruoli. Guardando al presente, le sfide principali sono due: intelligenza artificiale e compliance normativa. Sul fronte della Gen AI, il gruppo Prada ha scelto una linea di equilibrio. «L’AI va sfruttata, ma in modo consapevole e controllato» – ha spiegato Vignolo Lutati, precisando come il rischio, soprattutto in un’azienda creativa, è quello di violare inconsapevolmente la proprietà intellettuale o di esporre informazioni sensibili. La risposta a questa esigenza è un modello di governance basato sulla trasparenza e sulla comunicazione, rispetto a un approccio che non demonizza l’innovazione ma la porta “alla luce del sole”, trasformando il controllo in cultura. L’errore umano resta la prima causa di incidente cyber, ha ricordato il CISO, e per questo l’azienda ha ripensato completamente il modo di fare formazione, passando dalla semplice awareness all’ingaggio del dipendente attraverso un mix di iniziative non convenzionali, pensate per coinvolgere attivamente le persone e per rendere la sicurezza realmente digeribile.
Sul tema della compliance (da NIS2 al GDPR fino all’AI Act), invece, Prada ha adottato un approccio tattico nel senso più positivo del termine. «Non avere scadenze pressanti aiuta» – ha ammesso in tal senso Vignolo Lutati. «Perché possiamo prendere il buono delle normative e adattarlo alla nostra realtà». E rispetto a questa filosofia che mette l’awareness al centro, corre anche la sicurezza di Luna Rossa. «I membri del team – ha ricordato infatti il CISO – sono concentrati sulla performance sportiva, ma sono iperconnessi: prepararli prima delle competizioni in mare significa proteggere non solo i sistemi ma l’intero ecosistema della Coppa America». La lezione pratica che arriva dal caso Prada è chiara: la cybersecurity è (anche) una questione di maturità e non esistono scorciatoie tecnologiche che possano sostituire strategia, cultura e coinvolgimento delle persone.
MINACCE NASCOSTE TRA I DATI
La sicurezza informatica, ed è un concetto emerso più volte nel corso dell’evento, non è più solo sinonimo di difese perimetrali o reazione agli incidenti. Sempre più spesso le minacce si mimetizzano nei comportamenti quotidiani dei sistemi e degli utenti, diventando visibili solo a chi è in grado di leggerne i segnali deboli. Stefano Radaelli, senior solution architect di Elastic, ha puntato proprio su questo aspetto per ricordare come la sua azienda sia nata come motore di ricerca ma nel tempo si sia evoluta in una piattaforma capace di raccogliere e analizzare dati in tempo reale, individuando pattern anomali che altrimenti resterebbero nascosti. Un’evoluzione che ha portato Elastic a estendere il proprio raggio d’azione dalla semplice analisi dei log a una visione più ampia della sicurezza, che comprende endpoint, infrastrutture e ambienti cloud.
Secondo Radaelli, uno dei limiti storici di molte soluzioni di sicurezza è stato quello di fermarsi alla visibilità. «Raccogliere dati è fondamentale, ma non basta. Se non si interpretano e non si trasformano in informazioni utili, si rischia di annegare nei falsi allarmi» – ha precisato Radaelli, confermando come da questo presupposto derivi la scelta di affiancare alla raccolta dei dati anche funzioni di protezione attiva e di analisi avanzata, in grado di ridurre il carico operativo sui team di sicurezza. Una scelta che ha trovato un punto di svolta nell’intelligenza artificiale. «Per noi l’AI è uno strumento che aiuta a fornire un livello di intelligenza aggiuntivo, amplificando le capacità delle persone e aumentando la possibilità di correlare eventi e incidenti in modo più profondo, così come farebbe un vero analista esperto» – ha chiarito Radaelli.
In altre parole, la tecnologia Elastic lavora su ciò che è già stato segnalato dai sistemi, rilegge gli eventi, li mette in relazione e li trasforma in una storia coerente. E genera benefici: uno dei più immediati è la drastica riduzione dei falsi positivi, uno dei problemi cronici dei centri di sicurezza, dove un analista passa fino al 60-70% del tempo a verificare allarmi che poi si rivelano innocui. «Automatizzare questa fase del processo di sicurezza significa liberare risorse e concentrare l’attenzione sugli incidenti reali» – ha rimarcato Radaelli. «Grazie all’AI è possibile chiedere al sistema in linguaggio naturale di spiegare cosa sta succedendo, quali sono i rischi e quali azioni intraprendere, rendendo la sicurezza più comprensibile anche a chi non ha competenze specialistiche». La capacità di individuare anomalie nel tempo è un altro elemento distintivo della proposta di Elastic. Non si tratta solo di intercettare un comportamento sospetto nel momento in cui si manifesta, ma di analizzarne l’evoluzione nel corso di mesi. «Molti attacchi sono lenti e silenziosi.
La possibilità di rivedere ciò che è accaduto sei o dodici mesi prima, in modo automatico, consente di scoprire minacce che altrimenti passerebbero inosservate. La nostra forza è la capacità di cercare informazioni in tempi rapidissimi e in profondità indipendentemente dalla quantità di dati da analizzare, di collegare eventi apparentemente scollegati e di trasformare la complessità in decisioni rapide, senza richiedere stravolgimenti infrastrutturali».
AGENTIC SOC E OT
C’è un fattore che unisce molti degli interventi dei relatori del Security Forum: la velocità. Quella degli attaccanti, innanzitutto. Ma anche quella con cui le aziende sono chiamate a rivedere i propri modelli di difesa, spinte da una tecnologia – l’intelligenza artificiale – che sta cambiando le regole del gioco e da un panorama di minacce sempre più ricco, fra uso massiccio di credenziali rubate e social engineering in forte crescita. Quando si parla di SOC e di risposta agli incidenti, la riflessione di Luca Nilo Livrieri, SE director Southern Europe di CrowdStrike, va per l’appunto in questa direzione: «Siamo passati dall’AI generativa all’AI agentica: strumenti in grado di operare autonomamente per noi, in modo coordinato, all’interno di processi di sicurezza. Questi devono permetterci di rispondere ad attaccanti capaci di effettuare movimenti laterali in appena 51 secondi e di completare campagne end-to-end in meno di 24 ore».
Il concetto di Agentic SOC, un centro operativo in cui l’analista diventa l’orchestratore di una flotta di agenti, è la risposta a questa evoluzione delle minacce. Gli agenti intervengono nelle fasi di rilevazione, investigazione e risposta, riducono drasticamente il tempo speso in attività ripetitive e facilitano di conseguenza il lavoro dell’analista, che trova già un triage pronto da validare, senza necessità di costruirlo da zero. Il vero salto in avanti è però un altro, ben descritto da Livrieri: «Gli agenti non si limitano a segnalare cosa è successo, ma ricostruiscono l’attacco, anticipano i passi successivi e suggeriscono le azioni di remediation. Il principio di fondo resta però quello dell’human in the loop, secondo cui l’essere umano rimane al centro del processo decisionale».
L’intelligenza artificiale, oltre a essere un potente strumento di difesa, definisce anche un nuovo livello di protezione ed è qui che entra in gioco il tema dell’AI-driven detection and response. «L’AI in azienda – ha osservato Livrieri – apre opportunità enormi, ma anche nuovi rischi. Il primo è quello della shadow AI, e quindi il non sapere quali strumenti di AI stanno usando i dipendenti e soprattutto di come li stanno usando. Il secondo fronte di intervento riguarda il comportamento degli agenti stessi, che vanno trattati come utenti con identità, privilegi minimi e regole chiare». Il rischio di attacchi legati all’intelligenza artificiale (avvelenamento dei dati, manipolazione dei modelli, generazione inconsapevole di codice malevolo) è tale da imporre alle aziende di governare in modo attento e responsabile i flussi, i modelli d’uso e i permessi, esattamente come si fa con le persone.
Se nel mondo IT, l’intelligenza artificiale è una leva ormai inevitabile, nel mondo OT il discorso cambia radicalmente. A ricordarlo è Marcello Romeo, presales manager South Europe di TXOne Networks, che ha messo subito in guardia dall’errore ricorrente di applicare all’Operational Technology logiche e soluzioni nate per l’IT. «Sono due mondi diversi: trattarli come se fossero uguali è un rischio. Nel mondo industriale dominano sistemi legacy, processi in tempo reale e ambienti spesso isolati. Stiamo parlando di impianti che funzionano da 10, 15 o anche 20 anni e di un contesto, quello industriale, dove anche un ritardo minimo può avere effetti devastanti. Il comportamento atteso della macchina e dei processi che governano la produzione è noto a priori e deve essere sempre lo stesso, ripetibile nel tempo e quindi deterministico. Una soluzione IT che rallenta di mezzo secondo un processo può essere irrilevante per un umano, ma disastrosa per una linea di produzione». Ed è per questo che l’intelligenza artificiale nell’OT va inquadrata con attenzione. «In molti casi si fa confusione» – ha precisato il manager di TXOne Networks. «Per comprendere se l’AI serve oppure no e le sue limitazioni, prima dobbiamo definire il contesto, soffermandoci sullo scenario di produzione OT. L’intelligenza artificiale può essere utile e avere senso nella fase transitoria di ottimizzazione dei processi, per individuare i parametri migliori di funzionamento attraverso miriadi di simulazioni, ma una volta definiti, quei parametri devono restare invariati, proprio perché gli impianti a regime devono funzionare in modo costante nel tempo».
Nella cybersecurity OT, l’obiettivo è un altro, non è quello di prevedere bensì quello di prevenire qualsiasi deviazione dal comportamento atteso. «Per rilevare un’anomalia e capire la deviazione dalla normalità non serve un’AI complessa» – ha osservato ancora Romeo. «Ma serve un meccanismo di auto-apprendimento che conosca a fondo il funzionamento della macchina». La priorità di ogni azienda, in altre parole, è costruire una baseline dei comportamenti leciti e bloccare tempestivamente ogni alterazione, anche quando è causata da un errore umano o da un intervento non autorizzato, consapevoli del fatto che «ogni deviazione è sintomo di errore e può trasformarsi in un problema di safety con impatti diretti sulle persone che lavorano a stretto contatto dell’impianto». La sfida della resilienza, in definitiva, è una sfida di consapevolezza: l’intelligenza artificiale non è una scorciatoia universale, ma una tecnologia che va governata, contestualizzata e adattata (dall’uomo) alla realtà e al contesto in cui è chiamata a operare.
Cyber resilience in azione, la risposta dei settori critici
Banche, industrie e utility energetiche affrontano le minacce digitali cambiando l’approccio alla cybersecurity. Non si tratta più solo di proteggere perimetri o prevenire intrusioni, ma di costruire resilienza sistemica in ecosistemi digitali sempre più complessi e interconnessi. Con la partecipazione di ENGIE Italia, Ferrero, Snam e UniCredit
di Federica Maria Rita Livelli
La cybersecurity deve coincidere con la governance aziendale, la strategia e la continuità operativa. DORA, NIS2 e l’AI Act stanno trasformando il modo in cui le organizzazioni affrontano il rischio digitale. Tra convergenza IT/OT, intelligenza artificiale e supply chain distribuite, il quadro emerso dal confronto con UniCredit, Ferrero, Snam ed ENGIE Italia che hanno partecipato al Security Forum di Data Manager, è che proteggere dati, processi e infrastrutture critiche richiede un approccio che integra compliance normativa, gestione del rischio e resilienza digitale. La lezione dei protagonisti è netta: la sicurezza non è più un adempimento, ma una leva strategica per innovare, proteggere la reputazione e garantire continuità in un mondo digitale sempre più complesso.
DORA E RESILIENZA OPERATIVA
Ha aperto la tavola rotonda Stephane Speich, head of Business Continuity & Resilience Group di UniCredit, portando la prospettiva del settore bancario, dove DORA sta ridefinendo completamente la resilienza operativa digitale. Come ha affermato Speich: «Non si tratta semplicemente di conformarsi a una nuova normativa, ma di ripensare la governance per garantire la cyber resilience in un contesto di compliance normativa cogente». Per questo motivo, è stata condotta una gap analysis dei requisiti DORA, inclusi gli aspetti di cybersecurity, e sviluppato un framework per la gestione dell’IT continuity, capace di affrontare scenari severi ma plausibili.
Inoltre, Speich ha sottolineato: «Le sfide del contesto attuale comportano l’utilizzo di strumenti e approcci nuovi. L’AI Act avrà un impatto anche sul settore bancario, introducendo nuove minacce, in particolare sull’integrità dei dati. In generale, l’obiettivo della pratica della continuità operativa è quello di garantire una capacità adeguata di risposta e recovery dei servizi e dei processi di business anche per gli scenari IT e cyber che prevedono una perdita di integrità dei dati».
IT E OT CONVERGONO
Il tema della sicurezza del settore manifatturiero è stato enfatizzato da Francesco Lucio Corrado, head of Cybersecurity di Ferrero che ha sottolineato come la convergenza tra IT e OT non sia più teoria, ma una realtà quotidiana che impatta direttamente i processi industriali. «In questo contesto – ha spiegato Corrado – normative come NIS2 e standard come IEC 62443 devono dialogare con ambienti produttivi che non ammettono interruzioni e dove la disponibilità dei sistemi è vitale e la confidenzialità dei dati resta imprescindibile. Mantenere aggiornati i sistemi operativi è fondamentale, ma la vera sfida è gestire la connessione tra IT e OT e l’orchestrazione necessaria per affrontare due prospettive di rischio differenti: da un lato la protezione dei dati e dall’altro la continuità operativa».
Il settore manifatturiero è oggi tra i più esposti agli attacchi informatici, con ransomware e compromissioni della supply chain in forte crescita. Gli impatti non si limitano alle perdite economiche, ma coinvolgono anche la reputazione e la sicurezza fisica delle persone. Per questo – ha evidenziato Corrado – la risposta non può essere confinata alla protezione perimetrale: «Serve una strategia di cyber resilience che integri continuità operativa, gestione del rischio e cybersecurity in un approccio olistico. Solo così è possibile affrontare minacce sempre più sofisticate e normative sempre più stringenti».
All’interno delle organizzazioni, la sfida non è solo tecnologica, ma anche culturale. È necessaria una responsabilizzazione diffusa sul rischio cyber, che coinvolga non solo i team IT e OT, ma anche il management e la supply chain. La sicurezza deve diventare parte integrante della strategia aziendale, non un requisito accessorio. Come ha rimarcato Corrado – «implementare la cyber resilience significa adottare un modello che unisca business continuity, risk management e cybersecurity, creando un ecosistema sicuro e resiliente capace di sostenere l’innovazione, senza compromettere la stabilità operativa».
ECOSISTEMI DISTRIBUITI E AI
Il settore dell’energia e delle utility è stato analizzato da Dario Brambilla, manager Technical & Digital Security di Snam, e Paolo Cannistraro, CISO di ENGIE Italia. Un contesto complesso, dove reti di distribuzione intelligenti, impianti di generazione connessi e sistemi SCADA governano infrastrutture critiche per milioni di utenti. La transizione verso fonti rinnovabili e reti smart ha creato un ecosistema distribuito, in cui l’innovazione si traduce nell’uso massiccio dell’intelligenza artificiale per bilanciare la rete, ottimizzare il demand response, gestire dinamicamente i prezzi e prevedere i consumi. Per Paolo Cannistraro – «è importante diffondere la NIS2 all’interno dell’organizzazione, considerando che molte realtà aziendali, con sedi in diversi Paesi europei, devono altresì gestire la sfida del recepimento disomogeneo della normativa a livello nazionale».
Mentre per quanto riguarda l’impiego dell’AI nel mondo utility, Cannistraro ha sottolineato: «L’adozione di questa tecnologia dirompente da parte dell’azienda implica di eseguire un’analisi del rischio non solo cyber, ma anche di privacy e legale per tutte le soluzioni adottate. Insomma, la gestione deve essere orchestrata per garantire una sicurezza a 360 gradi, utilizzando l’AI sia come leva strategica del business sia come arma difensiva». Infine Cannistraro ha aggiunto: «Il focus particolare della NIS2 sulla gestione della supply chain comporta che tutti i sistemi end-to-end e la catena del valore siano in sicurezza e resilienti».
Per Dario Brambilla, il punto chiave è strutturare la filiera della fornitura: «La maggior parte dei fornitori hanno un core business diverso e, per loro, la cybersecurity non è prioritaria, essendo produttori di componenti di impianto. Risultato: è necessario verificare la postura e le responsabilità di sicurezza del fornitore, oltre ad inserire clausole di resilienza chiare nei contratti». Brambilla ha evidenziato che l’introduzione dell’AI presenta una sfida fondamentale per le organizzazioni: «Da un lato richiede una profonda ridefinizione dei processi operativi e decisionali, dall’altro impone di garantire il mantenimento del controllo umano (“man in the loop”) nelle decisioni critiche». Emerge così la natura ambivalente di questa tecnologia: se da una parte si configura come alleata strategica capace di generare vantaggi competitivi significativi, dall’altra introduce nuove vulnerabilità che le organizzazioni devono fronteggiare.
REQUISITI E OPERATIVITÀ
Tornando sul tema dell’AI, Corrado di Ferrero ha ribadito l’importanza delle soluzioni di Information Security Assurance & Compliance e come esse rappresentino un supporto importante per la gestione della resilienza digitale, sottolineando – allo stesso tempo – che la tecnologia, da sola, non è sufficiente. Secondo Corrado serve una componente umana qualificata, capace di interpretare il contesto aziendale e i rischi specifici, per trasformare la sicurezza da semplice requisito a leva strategica. «Solo chi conosce a fondo il proprio ecosistema può definire priorità efficaci e misure di protezione che sostengano il business nel lungo periodo. Guardando avanti, la sfida non è solo implementare controlli, ma integrare la sicurezza nella cultura aziendale. Ogni livello dell’organizzazione deve essere consapevole dei rischi e avere ruoli e responsabilità chiari, per ridurre complessità e favorire agilità. La semplicità nel dialogo e la condivisione di una visione comune diventano fattori chiave per affrontare normative sempre più stringenti e per costruire un modello di governance che abiliti innovazione sicura. In prospettiva, la compliance non deve essere vista come un vincolo, ma come un acceleratore di competitività e fiducia nel mercato». Le soluzioni di Assurance & Compliance – come ha evidenziato Corrado – possono fornire una guida, ma la vera differenza la fanno le persone: solo chi sa interpretare i controlli e calarli nel contesto, bilanciando requisiti e operatività, riesce a renderli realmente efficaci.
UNIFICARE GLI STANDARD
Durante la tavola rotonda, gli esperti hanno sottolineato con forza la necessità di definire framework e template condivisi, capaci di integrare normative che oggi risultano sovrapposte e rischiano di creare un divario tra conformità formale e resilienza effettiva. Ne emerge un consenso unanime sull’urgenza di unificare gli standard di cybersecurity, pur mantenendo le specificità settoriali necessarie. Nonostante le diverse sfumature applicative richieste dai singoli contesti industriali, tutte le normative convergono verso un unico obiettivo strategico: la cyber resilience. Ogni settore e organizzazione opera in un contesto specifico, ma le esperienze vissute – difficoltà, errori e strategie sperimentate – diventano patrimonio comune, generando insegnamenti condivisibili. Per questo, le normative e direttive europee mirano a creare spazi di confronto e condivisione tra tutti gli attori coinvolti.
GOVERNANCE INTEGRATA
Non esiste una soluzione miracolosa per proteggere completamente gli ecosistemi industriali dagli attacchi informatici. Tuttavia, l’adozione di solide pratiche di gestione del rischio e continuità operativa, unite a una visione globale della cybersecurity che consideri le specificità dei sistemi IT e OT, può garantire la cyber resilience delle infrastrutture critiche. Inoltre è sempre più necessario promuovere partnership pubblico-private e una stretta collaborazione tra i paesi europei, condividendo informazioni e attività di intelligence. L’Unione Europea si sta già muovendo in questa direzione con normative come NIS2, DORA, CER e IEC 62443, che evidenziano l’importanza e l’urgenza di un approccio olistico per rafforzare le difese delle infrastrutture critiche.
Al centro resta la conoscenza: acquisire consapevolezza degli scenari multirischio, comprendere i requisiti di conformità e responsabilizzare gli stakeholder. Tuttavia, i partecipanti alla tavola rotonda hanno lanciato un avvertimento. L’eccesso di regolamentazione può risultare controproducente: la cybersecurity non deve ridursi a mero adempimento normativo, ma va valorizzata come leva strategica di crescita. Questo implica il coinvolgimento attivo delle terze parti attraverso collaborazioni strutturate ed esercitazioni pratiche, affinché la sicurezza diventi un elemento realmente integrato e condiviso. In conclusione, solo l’attuazione costante e condivisa di questo rigoroso framework – una vera “tavola delle leggi” – potrà garantire la sopravvivenza della nostra civiltà digitale nel complesso scenario delle minacce informatiche.
Foto di Gabriele Sandrini
Point of view
Intervista a Luca Nilo Livrieri senior director, sales engineering Sud Europa di CrowdStrike: Agentic SOC, la cybersecurity si evolve
Intervista a Marco Bonicelli presales manager di Cyber Guru Italia: Cyber awareness, da costo ad asset strategico
Intervista a Stefano Radaelli senior solution architect di Elastic: Minacce invisibili e rischio di perdersi nei dati
Intervista a Simone Crevenna head of SMB & S/M Enterprise Sales Italy di ReeVo: Fuori dal labirinto della cyber exposure
Intervista a Marcello Romeo pre-sales manager Southern Europe di TXOne Networks: OT security, perché copiare l’IT non funziona
