Cyber intelligence e cyber security: da voce di costo a fattore di sopravvivenza economica

-

— di Umberto Callegari

C’è un equivoco che in Europa (e in Italia più che altrove) ha retto fin troppo: la sicurezza informatica come “tema tecnico”, confinato all’IT, magari utile per evitare un incidente, ma non decisivo per la strategia. Nel 2026 quell’equivoco è diventato un lusso che poche aziende possono permettersi.

La ragione è semplice: l’economia reale oggi poggia su infrastrutture digitali. E quando l’infrastruttura è digitale, la vulnerabilità non è un guasto: è una variabile di business. I flussi di cassa, la continuità operativa, la supply chain, il capitale reputazionale, la capacità di fare M&A o raccogliere credito — tutto passa, in modo diretto o indiretto, da reti, identità, dati e servizi terzi. Il confine tra “cyber” e “core business” si è dissolto.

Il rischio non è più “se”, ma “dove” e “quanto” impatta

I numeri non servono a spaventare: servono a togliere alibi.

  • Nel Verizon Data Breach Investigations Report 2025, il ransomware risulta presente nel 44% dei breach analizzati (in aumento rispetto all’anno precedente) e la componente “third party” nei breach raddoppia dal 15% al 30%: è la fotografia di un attacco che corre lungo fornitori, piattaforme e credenziali riutilizzate. (Verizon)
  • Sul lato “pressione percepita dal board”, l’Allianz Risk Barometer 2025 conferma che i cyber incident sono il rischio n.1 a livello globale (38%): non è più un tema da checklist, è una priorità d’impresa. (Allianz Commercial)
  • L’ENISA Threat Landscape 2024 colloca ancora una volta ransomware e minacce alla disponibilità (es. DDoS) tra i principali driver del rischio in Europa, con la geopolitica come acceleratore trasversale. (ENISA)
  • Se serve un indicatore economico “nudo”, IBM stima nel Cost of a Data Breach Report 2025 un costo medio globale di 4,4 milioni di dollari per violazione. È una media: quindi include anche incidenti “piccoli”, e questo la dice lunga. (IBM)

Il punto, però, non è solo la frequenza. È la forma: oggi l’attacco è catena, non evento. Parte da una credenziale, passa da un fornitore, atterra su un endpoint “dimenticato”, si muove lateralmente, esfiltra dati, cifra, ricatta. Nel frattempo, il mercato ti misura su quanto resisti: tempi di ripristino, gestione comunicazione, compliance, tenuta del fatturato.

Supply chain e geopolitica: l’azienda “da sola” non esiste più

La cyber security non è più un confronto tra “noi” e “un hacker”. È un confronto tra ecosistemi.

Il World Economic Forum, Global Cybersecurity Outlook 2025 mette in fila due elementi che le imprese sentono ogni giorno: il 54% delle grandi organizzazioni indica le sfide di supply chain come principale barriera alla resilienza, e quasi il 60% dichiara che le tensioni geopolitiche hanno già influenzato la propria strategia cyber.

Traduzione operativa: non basta “mettere a posto” il perimetro interno, perché spesso il perimetro è altrove — in una piattaforma SaaS, in un MSP, in una libreria software, in un subfornitore logistico, in un outsourcer IT. La superficie di attacco coincide con la filiera.

E quando la filiera è digitale, il danno diventa immediatamente economico: fermo impianti, blocco ordini, impossibilità di fatturare, penali contrattuali, perdita di clienti, aumento del costo assicurativo, incremento del costo del capitale per incertezza e rischio operativo.

Il passaggio cruciale: la sicurezza diventa responsabilità “di legge” del vertice

Il secondo driver che rende assoluta la necessità di cyber intelligence e cyber security oggi è normativo. Non per formalismo, ma perché la normativa sta facendo ciò che il mercato aveva già iniziato: portare il cyber risk in consiglio di amministrazione.

NIS2 è l’esempio più netto. La Direttiva impone che i management bodies approvino le misure di risk management cyber, ne supervisionino l’implementazione e possano essere ritenuti responsabili per le violazioni. (fonte: EUR-Lex)

Inoltre NIS2 chiarisce un aspetto spesso sottovalutato: l’approccio è “all-hazards” e include anche la protezione dell’ambiente fisico dei sistemi (furti, incendi, alluvioni, accessi fisici non autorizzati) e richiama esplicitamente la physical and environmental security.

E poi c’è il capitolo reporting: early warning entro 24 ore, notifica entro 72 ore, final report entro un mese. Non è un dettaglio: significa che senza preparazione (e senza evidenze tecniche solide) l’incidente diventa anche un moltiplicatore regolatorio e legale.

Sul fronte dati personali, il quadro è noto ma spesso gestito “a memoria”: il GDPR prevede la notifica della violazione entro 72 ore quando applicabile. E le sanzioni potenziali arrivano, nei casi più gravi, fino a 20 milioni di euro o al 4% del fatturato mondiale annuo.

Nel settore finanziario, infine, DORA è entrato in applicazione dal 17 gennaio 2025: qui la resilienza digitale diventa requisito di sistema, non scelta. (EIOPA) E sul tema test avanzati, la norma prevede threat‑led penetration testing su sistemi di produzione “live” per funzioni critiche o importanti: un salto culturale che rende il “test realistico” parte della governance. (EUR-Lex)

Perché il pen test fisico non è “folklore”: è la realtà dell’attacco

In molte aziende, la sicurezza fisica continua a vivere in un mondo parallelo: badge, tornelli, portineria, armadi rack, sale CED. Peccato che l’attaccante non abbia compartimenti: se entra con un badge, o con un pretesto credibile, può arrivare dove serve. A volte è più facile entrare in sede che bucare un firewall.

Qui il pen test fisico smette di essere un esercizio “da film” e diventa un modo serio per rispondere a una domanda concreta: la nostra sicurezza regge quando le barriere digitali e quelle fisiche vengono attaccate insieme, come succede nella vita reale?

NIS2, quando richiama la protezione dell’ambiente fisico dei sistemi e l’accesso fisico non autorizzato, sta dicendo esattamente questo: la resilienza non è solo patching e antivirus.

Cyber intelligence: la differenza tra difendersi e prevenire

C’è poi un livello ulteriore, spesso ignorato finché non è tardi: la cyber intelligence.

Cyber security “classica” tende a chiedersi: cosa entra e cosa esce dai miei sistemi?
La cyber intelligence si chiede anche: chi mi sta cercando, perché, con quali strumenti, e da dove passa prima di arrivare qui?

È qui che entrano in gioco:

  • monitoraggio di segnali su deep e dark web,
  • analisi del perimetro digitale esposto,
  • simulazioni di attacco (red teaming) che uniscono vettori digitali, identità e, quando necessario, accesso fisico,
  • capacità di produrre evidenze tecniche utili anche in ottica di compliance, contenzioso e assicurazione.

La pressione degli attacchi, intanto, non rallenta. BlackFog, nel suo report sul Q1 2025, parla di 278 attacchi ransomware divulgati nel trimestre e stima 2.124 attacchi non divulgati, a indicare un sommerso enorme (e quindi un rischio sistemico sottostimato).

Il rimando a eCyber di Excursus

Dentro questo scenario si colloca eCyber, la business unit di Excursus focalizzata su cyber intelligence e offensive security, con capacità che includono pen test fisici, digitali e ibridi, threat monitoring continuo, attività di red teaming e supporto forense.

In particolare, l’approccio descritto nei materiali Excursus richiama un modello operativo che interessa molto anche il mondo economico-finanziario: analisi del profilo di rischio tramite scanning perimetrale, threat intelligence e red teaming simulato, produzione di report e scoring utili a decisioni di governance e, dove serve, al dialogo con broker e assicurazioni.

Per riferimento diretto: https://www.ecyber.it. (ecyber.it)

In un mercato dove molti continuano a “spendere in sicurezza” senza riuscire a trasformarla in resilienza misurabile, la scelta non è più tra fare o non fare: è tra capire o subire. E qui entra la componente strategica, di investimento e di direzione.

«Ho deciso di investire in cyber intelligence e cyber security perché è diventato il livello minimo di continuità industriale: oggi un attacco non colpisce l’IT, colpisce ricavi, supply chain, reputazione e accesso al credito. La geopolitica ha portato il conflitto dentro le reti, e la normativa europea ha reso il cyber risk una responsabilità di vertice, non delegabile. Ma soprattutto: senza intelligence resti reattivo, e quando sei reattivo sei sempre in ritardo. Io voglio che le imprese — soprattutto quelle italiane, spesso eccellenti ma esposte — possano misurare il rischio, prevederlo e ridurlo con metodo. La sicurezza deve smettere di essere un costo opaco e diventare un investimento leggibile: in ore di fermo evitate, in perdite non subite, in fiducia preservata.» — Umberto Callegari

Una conclusione poco “tecnica”: il cyber è diventato un moltiplicatore economico

C’è una frase che vale più di molte slide: la trasformazione digitale non ha solo creato efficienza, ha creato dipendenza. E dove c’è dipendenza, c’è vulnerabilità.

La cyber intelligence (capace di anticipare segnali e avversari) e la cyber security (capace di ridurre superficie e impatto), inclusi i pen test fisici, non sono una “linea di spesa”. Sono una forma moderna di tutela del capitale: produttivo, finanziario, reputazionale.

Chi le tratta ancora come un adempimento, di solito, sta solo scegliendo di pagare dopo — e quasi sempre a un multiplo.