Andrea Andrenacci è il ceo di Rad, azienda italiana di cybersecurity la cui maggioranza è stata acquisita nel 2023 da Wind Tre per rafforzare la propria offerta di sicurezza informatica. Oggi le imprese, per essere competitive, devono agire all’interno di un ecosistema interconnesso. Come si traduce questa necessità dal punto di vista della cybersicurezza? «Negli ultimi anni con l’evoluzione dei sistemi digitali si sono aperte numerose opportunità di collaborazione tra le aziende creando diverse interazioni. Ciò ha favorito il business ma ha fatto sbiadire i confini delle imprese. In un mondo sempre più digitale gli asset strategici sono perciò dati, informazioni, file effimeri. Oggi la superfice da difendere è enormemente cresciuta e trascende dai confini anzi, si estende all’ecosistema di aziende che partecipano ai processi operativi di altre imprese. Questa evoluzione porta a un cambio di visione nella strategia cyber. Dato che circa un attacco su tre ha fine economico o estorsivo (Mandiant M-Trends report 2025), i rischi si concentrano sugli anelli più deboli della catena, quindi sulle aziende più piccole e meno mature, sicuramente con meno capacità di spesa. Diventa così fondamentale monitorare le terze parti del proprio ecosistema, anche in accordo con il quadro normativo. Essere aggiornati per quanto riguarda il rischio cyber oggi richiede anche di rispettare direttive come la NIS2, cosa comportano per le imprese? «Questa domanda ha una risposta molto diversa a seconda del tipo di azienda, ma di base si possono distinguere due scenari: le aziende strutturate che per policy industriale, quadri normativi e maturità sono già evolute nella gestione della sicurezza avranno un impatto minimo essendo già dotate di sistemi per supportare sia i requisiti normativi che le compliance. Queste realtà potranno concentrarsi nel controllo della propria filiera, ovvero fornitori e terze parti. Le medie aziende e le Pmi che, invece, non hanno affrontato con un piano strutturato il tema cybersecurity dovranno adeguarsi velocemente, con le procedure corrette e le tecnologie utili a rispettare i nuovi canoni di sicurezza.

Purtroppo, questa categoria di imprese dovrà affrontare un ostacolo in più sia dal punto di vista dell’organico che dal punto di vista dei nuovi investimenti e probabilmente dovrà gestire anche un importante problema di mancanza di competenze. Molte di queste aziende fanno parte di ecosistemi di imprese e dunque non saranno controllate solo dalle istituzioni ma dovranno rispondere anche ai propri clienti e ai partner». Ritiene che le aziende italiane siano preparate a rispondere a queste sfide, ad esempio dal punto di vista delle competenze? «La maggior parte delle aziende non è preparata a rispondere a queste sfide. Il fattore determinante, come appena detto, è proprio la mancanza di competenze. Le cause sono diverse: le lauree Stem sono solo circa il 24% del totale contro il 40% della media europea e i laureati Ict sono l’1,5% in Italia contro un 4% di media Ue (Report Istat 2024–2025). È chiaro che le università non producono abbastanza talenti nel settore non tanto per adeguatezza dei programmi, estremamente centrati, ma per mancanza di candidati. Un altro fattore è la cosiddetta fuga dei cervelli: secondo l’Istat il fenomeno degli espatriati è in aumento del 36,5% nel 2024. Il mondo dopo il Covid è cambiato e si sono aperte infinite possibilità per giovani talenti italiani di lavorare per aziende estere anche senza lasciare l’Italia. Le imprese dovranno affrontare un cambio di paradigma importante a partire dalla filosofia che comprenda la cultura della cybersecurity diffusa all’interno dell’azienda. Questo, insieme alla consapevolezza del management e a investimenti adeguati, sia in tecnologia che in capitale umano, potrebbe colmare i gap per l’adeguamento normativo. È chiaro che ciò richiede tempo, quindi una soluzione può essere affidarsi a servizi gestiti da specialisti di settore.

In questo contesto, quali sono le diverse esigenze delle imprese in base alle loro dimensioni? Come si può rispondere in maniera adeguata a queste sfide? «Le esigenze delle imprese variano molto in base al grado di maturità digitale e alle dimensioni, pur sapendo che i criminali informatici evolvono continuamente. Le grandi aziende, già strutturate e con team dedicati, necessitano di supporto specializzato per innovare le proprie strategie di difesa, progettare soluzioni avanzate e stare un passo avanti rispetto agli attaccanti. Le Pmi hanno bisogno di strumenti semplici da gestire, servizi monitorati e formazione dei dipendenti, perché la sicurezza informatica riguarda tanto la tecnologia quanto il comportamento. Windtre Business, ad esempio, da un lato affianca le imprese mature con professionisti specializzati che guidano la trasformazione delle pratiche di difesa, dall’altro mette a disposizione servizi gestiti che includono il monitoraggio costante, la formazione del personale e la sorveglianza totale. Tutto questo viene offerto as a service, portando esperienza, competenze e best practice, senza la necessità di costruire internamente strutture complesse. Questo approccio consente di supportare le aziende indipendentemente dalla dimensione. In un mondo dove le minacce informatiche sono sempre più sofisticate, questa capacità di modulare l’offerta consente di garantire una protezione efficace, sostenibile e in grado di evolversi. Una filosofia che ambisce a migliorare la sicurezza di tutti i profili di impresa, lavorando su un miglioramento complessivo dell’ecosistema».