La sicurezza informatica non può più essere gestita come un’attività periodica. Audit annuali, vulnerability assessment programmati e documentazione aggiornata a scadenze prestabilite erano sufficienti quando il perimetro aziendale era relativamente stabile e gli attaccanti operavano con strumenti prevedibili.
Oggi, però, infrastrutture distribuite, servizi cloud e minacce alimentate dall’intelligenza artificiale hanno reso questo approccio sempre meno efficace.
Le infrastrutture aziendali sono diventate ecosistemi ibridi dove IT e OT si intrecciano, i fornitori accedono in remoto agli impianti, i gestionali vivono nel cloud e i dispositivi IoT moltiplicano i punti di ingresso. E dall’altra parte, chi attacca ha iniziato a usare l’intelligenza artificiale: campagne multi-vettore scalabili, ricognizione automatizzata in tempo reale, payload costruiti ad hoc per aggirare i sistemi di rilevamento più avanzati. La distanza tra chi difende e chi attacca si sta allargando — e la direzione non è quella giusta.
Il problema non è la compliance: è come la si gestisce
Quando si parla di cybersecurity alle imprese italiane, il primo istinto è normativo. NIS2, Cyber Resilience Act, DORA, AI Act, GDPR: un acronimo dopo l’altro, ognuno con le sue scadenze, i suoi obblighi, i suoi audit. Il risultato, nella maggior parte dei casi, è una gestione a silos: un team per la privacy, uno per la sicurezza operativa, uno per la compliance contrattuale. Tre set di documentazione, tre cicli di audit, tre fatture — e nessuna visione unitaria del rischio reale.
Il paradosso è ben noto a chi lavora sul campo: un’azienda può essere formalmente conforme su tutti i fronti e tuttavia completamente impreparata a gestire un incidente. La conformità sulla carta non equivale a sicurezza operativa. Servono capacità reali di rilevamento, qualificazione e risposta, oltre a un modello che trasformi un allarme in una decisione aziendale corretta nel minor tempo possibile.
Vale la pena notare che anche il quadro normativo sta convergendo verso questa logica. Il Cyber Resilience Act — in vigore dal dicembre 2024 e pienamente applicabile dall’11 dicembre 2027 — non chiede di produrre documentazione in più: chiede che la sicurezza venga progettata nel prodotto fin dall’inizio, mantenuta per tutto il ciclo di vita e dimostrata in modo continuo attraverso la gestione delle vulnerabilità, le patch tempestive e la notifica degli incidenti. Le scadenze sono immediate: dall’11 settembre 2026 scattano gli obblighi di segnalazione anche per i prodotti già sul mercato. Il legislatore europeo, in sostanza, sta codificando esattamente il passaggio da una sicurezza periodica a una sicurezza strutturale.
La risposta non è quindi aggiungere altra compliance. È governarla meglio: un unico framework integrato che faccia dialogare requisiti giuridici e sistemi tecnici, alimentato dai dati aziendali in tempo reale invece che da faldoni aggiornati una volta all’anno.
Gli accessi privilegiati restano il punto di ingresso più critico
Quando si analizzano le violazioni più gravi degli ultimi anni emerge un elemento ricorrente: l’attaccante non entra quasi mai dalla porta principale, ma sfrutta credenziali che dispongono già di privilegi elevati. Amministratori di sistema, account di servizio, accessi remoti dei fornitori e utenze tecniche rappresentano una porzione limitata delle identità aziendali, ma hanno un impatto sproporzionato sul rischio complessivo.
Nelle realtà industriali il fenomeno è amplificato dalla necessità di garantire manutenzione remota, integrazione tra sistemi IT e OT e continuità operativa degli impianti. In molti casi gli accessi vengono accumulati nel tempo senza una revisione strutturata dei privilegi effettivamente necessari.
Per questo la gestione degli accessi privilegiati non dovrebbe essere affrontata come un tema puramente tecnico, ma come un processo di governance continuativa. Sapere chi può accedere ai sistemi critici, con quali autorizzazioni, per quanto tempo e con quale tracciabilità è oggi una condizione essenziale sia per la sicurezza operativa sia per il rispetto dei requisiti introdotti da NIS2 e CRA. Quando un incidente si verifica, la differenza tra un evento contenibile e una crisi aziendale dipende spesso dalla capacità di ricostruire rapidamente chi ha avuto accesso a cosa e in quale momento.
Il problema è che questi punti di accesso non vengono più cercati esclusivamente da operatori umani. La crescente automazione delle attività di ricognizione sta rendendo più rapido ed efficace anche il processo di individuazione delle credenziali e dei percorsi di compromissione più promettenti.
Difendere con la stessa intelligenza con cui si attacca
È qui che il tema della continuità si fa più urgente. I threat actor non aspettano che le aziende si adeguino: stanno già usando agenti AI per automatizzare la ricognizione, identificare vulnerabilità zero-day in tempo reale e costruire attacchi adattivi capaci di eludere i sistemi di rilevamento più avanzati.
Il penetration testing tradizionale — una scansione annuale, settimane di pianificazione, report consegnato mesi dopo — non è in grado di tenere il passo con questa velocità. L’approccio agentico cambia la proporzione: la fase di ricognizione e mappatura iniziale, che assorbe la maggior parte del tempo in un VAPT classico, può essere automatizzata in pochi minuti, liberando i professionisti della sicurezza per concentrarsi sulle vulnerabilità ad alto valore — quelle che richiedono giudizio contestuale, non capacità computazionale.
Il risultato è un modello di continuous testing che si avvicina alla velocità reale con cui le infrastrutture cambiano e le minacce evolvono. Non è fantascienza: è già operativo, e il gap tra chi lo adotta e chi no si misurerà in termini di tempi di risposta agli incidenti — e quindi di danni contenuti o subiti.
Il fattore tempo: chi rileva prima, resiste meglio
Tutti i ragionamenti fin qui convergono su un punto solo: nella cybersecurity moderna, il tempo è la variabile decisiva. Chi rileva prima un’anomalia, capisce prima la sua natura. Chi capisce prima, contiene meglio. Chi contiene meglio protegge continuità operativa, reputazione e relazioni commerciali.
Un SOC strutturato — con monitoraggio H24, correlazione degli eventi e procedure di escalation definite — è lo strumento che rende concreta questa capacità. Non sostituisce le tecnologie di sicurezza già installate: le connette, le interpreta e trasforma segnali in decisioni. Per le organizzazioni soggette a NIS2, avere un presidio operativo continuo non è più una scelta di posizionamento: è la condizione minima per dimostrare di aver gestito un incidente secondo quanto la normativa richiede.
In definitiva, il cambiamento non riguarda una singola tecnologia o una nuova normativa. Riguarda il passaggio da una cybersecurity basata su verifiche periodiche a un modello di protezione strutturale, capace di adattarsi alla stessa velocità con cui evolvono infrastrutture, processi e minacce.
Questi temi sono stati al centro del webinar Cybersecurity per l’AI e la fabbrica connessa, organizzato da Confindustria Veneto Est e tenuto dal Gruppo di Lavoro Cybersecurity nell’ambito dei webinar tematici sull’Intelligenza Artificiale “Innovation Roadmap” il 16 giugno 2026. Il nostro Offensive Security Lead, David Tancredi, ha partecipato come relatore con un intervento sul red teaming agentico. La registrazione del webinar è disponibile sul sito di Confindustria Veneto Est.
Se stai valutando come posizionare la tua organizzazione rispetto al CRA, alla NIS2 o a un modello di sicurezza continuo e integrato, i nostri specialisti sono disponibili per un confronto.