L’Osservatorio Security Risk, curato da AIPSA (Associazione Italiana dei Professionisti della Security Aziendale) con TEHA (The European House Ambrosetti), ha fotografato lo stato di salute delle aziende italiane, mettendo in luce come le medie imprese, quelle che al momento danno minor priorità agli investimenti per la sicurezza, siano quelle più esposte. L’indagine ha coinvolto oltre 150 professionisti della security associati ad AIPSA, operativi in aziende di 20 differenti settori rappresentative del tessuto imprenditoriale nazionale.
Binari separati
Mentre le microimprese e le grandi multinazionali, in modo diverso, si impegnano per migliorare il proprio livello di sicurezza, le medie imprese, pur comprendendo la crescente minaccia (soprattutto per quanto riguarda la cybersecurity), non investono per proteggersi.
La prova? Dai dati dell’Osservatorio emerge che per le multinazionali nel 2024 ridurre del 10% il rischio di un attacco alla supply chain si traduceva in un beneficio da 30 milioni di euro; oggi la cifra non arriva a 16 milioni. Le medie imprese, invece, hanno visto un aumento di questo gap: se nel 2024 ridurre dell’1% il rischio di un attacco ransomware portava a un beneficio di 79.000 euro, nel 2025 la cifra è salita a 100.000 euro, a significare che il danno subito sarebbe più ingente. Eppure, per le attività con fatturati tra 10 e 250 milioni di euro l’anno, il danno stimato prodotto da un singolo attacco cyber raggiunge 1,8 milioni di euro; per quelle con un fatturato da 500 milioni di euro l’anno, la perdita legata a un attacco con oggetto la supply chain sarebbe di oltre 9 milioni di euro (erano 6 milioni nel 2024).
Proprio gli attacchi alla catena di fornitura, insieme ai ransomware e alle minacce al patrimonio aziendale, sono gli eventi più temuti dalle imprese, per le quali invece è meno pressante il rischio percepito in caso di eventi meteo avversi.
Sicurezza come sistema
In questo panorama, come vengono gestiti la sicurezza e gli eventi critici? Il 59% delle aziende non ha un piano personalizzato di crisis management, ma gestisce in maniera integrata i singoli incidenti. Rispetto al 2024 è più diffusa la scelta di gestire insieme sicurezza fisica e cibernetica: le aziende che scelgono di organizzarsi in questo modo sono passate dal 50% al 61%.
Per quanto riguarda le assunzioni, il 70% di quelle programmate dalle aziende per il 2026 avrà come oggetto i professionisti cyber, con il risk management e la governance a seguire. Un’azienda su due però sceglierà di affidarsi a consulenze di professionisti esterni, anche perché il 23% delle attività si trova ad affrontare il problema della carenza di specialisti della cybersecurity. Cresce la presenza femminile: le donne sono il 57% nei settori governance, compliance e legal, ma solo il 22% nel segmento della sicurezza fisica.
Passi avanti di buon auspicio per il futuro
Il commento del presidente Aipsa Alessandro Manfredini
«Ciò che è fondamentale è che si cominci a guardare alla sicurezza come un prodotto complessivo, in cui ogni attore ha un ruolo decisivo. C’è stato un passo avanti nell’ultimo anno, anche in ragione dei provvedimenti del governo e dell’UE. Il 61% delle realtà oggi ha un sistema che integra sicurezza logica e sicurezza fisica, ovvero il livello minimo per i tempi che viviamo. Quello che manca nel 59% dei casi, però, è un piano complessivo di gestione delle crisi».
