Dall’analisi dell’attacco alla risposta operativa: Present & Exprivia con Confindustria Emilia e S News

Qualificato riscontro per l’evento Present & Exprivia con S News Media Partner, tenutosi in Confindustria Emilia Centro a Bologna martedì 26 maggio, dal titolo “Threat Intelligence, AI & Quantum: l’evoluzione dell’attacco”.

Dopo i saluti e l’introduzione ai lavori di Massimo Vapori, Market Unit Nord-Est e Centro di Present – Gruppo Exprivia, l’evento ha visto la presentazione e l’analisi dei dati del Threat Intelligence Report Q1 2026 dell’Osservatorio CyberSecurity di Exprivia a cura di Domenico Raguseo, Head of Cybersecurity, Gruppo Exprivia.

L’incontro è proseguito con le indicazioni e i messaggi per le imprese e i professionisti scaturiti nel corso della tavola rotonda “Dall’analisi dell’attacco alla risposta operativa”, che qui di seguito vengono condensati e che hanno catturato l’attenzione dei partecipanti, che si sono poi potuti confrontare con i relatori con incontri one-to-one, durante l’aperitivo di networking.

I contenuti della tavola rotonda 

Condotta dalla scrivente Monica Bertolo, Direttore S News, la tavola rotonda ha visto la partecipazione di:

• Domenico Raguseo, Head of Cybersecurity, Gruppo Exprivia;
• Rocco Mendola, Responsabile Infrastrutture Tecnologiche e Sicurezza, Bormioli Luigi;
• Enrico Fazio, Chief Operating Officer, Helmon;
• Vincenzo Pennarola, Technology Infrastructure Services, Present – Gruppo Exprivia;
• Lara Del Pin, Senior Partner Account Executive, Akamai;
• Giulia Dragone, Channel Sales Manager Italy and Iberia, Mimecast.

Domenico Raguseo, Head of Cybersecurity, Gruppo Exprivia

Lei ci ha presentato i dati del Report: sintetizzando, quali i principali trends emersi e a cosa devono prestare particolare attenzione i professionisti e le aziende? 

Il panorama della cybersecurity continua a mostrare una crescita degli attacchi con particolare focus sul furto di dati e sul settore finanziario. Allo stesso tempo, il fatto che non aumentano e non diminuiscono incidenti rispetto ai 3 mesi precedenti, evidenzia come gli investimenti in sicurezza e compliance stiano rafforzando le capacità difensive delle organizzazioni. Il phishing comunque si conferma il principale vettore di attacco, rendendo fondamentale la formazione degli utenti e la diffusione della consapevolezza sui rischi digitali. Intelligenza artificiale è oramai endemica nelle campagne offensive, mentre aumenta l’attenzione verso le minacce future legate al quantum computing e alla necessità di adottare modelli di crittografia post-quantistica. Sempre più centrale anche il tema della sicurezza della supply chain, poiché vulnerabilità nella catena dei fornitori possono generare impatti estesi e sistemici.

Rocco Mendola, Responsabile Infrastrutture Tecnologiche e Sicurezza, Bormioli Luigi

Addentrandoci in un contesto produttivo e alla luce dello scenario delineato dal Report di Exprivia, quali le priorità per garantire resilienza e continuità delle infrastrutture IT?

In un contesto produttivo sempre più distribuito e interconnesso, la resilienza si basa su tre priorità.
La prima è l’adozione di un modello Zero Trust e Identity Centric, con verifica continua degli accessi e minimo privilegio anche nelle integrazioni con sistemi e fornitori esterni.
La seconda è la resilienza operativa, ottenuta tramite segmentazione delle architetture, isolamento dei servizi critici e piani di continuità e disaster recovery realmente testati.
La terza riguarda supply chain e incident response: maggiore visibilità su API e fornitori, controllo delle dipendenze software e automazione di detection e risposta.
In sintesi, la resilienza è una capacità continua che nasce dall’integrazione tra architettura, governance e operatività.

Enrico Fazio, Chief Operating Officer, Helmon

Spostandoci nell’ambito dei servizi e considerata la crescente interconnessione digitale e il ruolo critico della supply chain, quali gli approcci, i modelli di governance e le soluzioni tecnologiche che oggi possono essere adottate dalle organizzazioni per rafforzarne la protezione lungo l’intero ciclo di vita?

La percezione che gli attacchi alla supply chain rappresentino una quota trascurabile dipende da come vengono letti i dati. Molti incidenti che colpiscono le PMI fornitrici non vengono infatti classificati come attacchi alla filiera, pur comportando la compromissione di assets critici del capofila, come proprietà intellettuale, dati progettuali o componenti software. In contesti industriali altamente esternalizzati, colpire un fornitore rappresenta spesso il vettore più efficace per accedere indirettamente al cuore dell’impresa.
Per questo, la protezione della supply chain non è un tema marginale ma uno degli obiettivi prioritari della cybersecurity. Le organizzazioni più mature hanno consapevolezza del rischio, ma mancano spesso di strumenti adeguati per misurarlo e governarlo in modo continuo.
È necessario integrare capacità di valutazione affidabile con processi strutturati di gestione del rischio, che abilitino l’attivazione di azioni di mitigazione verso i fornitori e la verifica del loro impatto. Solo rendendo misurabile e gestibile il contributo della filiera alla postura complessiva è possibile rafforzare in modo concreto resilienza e controllo.

Vincenzo Pennarola, Technology Infrastructure Services, Present – Gruppo Exprivia

Abbiamo visto come l’attuale panorama cyber sia caratterizzato da attacchi sempre più sofisticati. Quali gli investimenti o la capability, in particolare nell’ambito della vostra Control Room, del monitoring continuo e della gestione proattiva degli eventi di sicurezza, ritiene che abbiano avuto il maggiore impatto concreto sulla resilienza dei vostri clienti?

Nel panorama attuale, caratterizzato da attacchi cyber sempre più sofisticati, il fatto che non aumentano e non diminuiscono incidenti rispetto ai 3 mesi precedenti rappresenta, dal nostro punto di vista, un segnale di maturità.
Il fattore determinante non è più la sola tecnologia, ma l’adozione di un modello continuo e proattivo di gestione della sicurezza.
Le esperienze sul campo dimostrano come l’integrazione di Control Room H24, monitoring evoluto e analisi dei patterns consenta di intercettare gli attacchi nelle fasi iniziali, prima che si traducano in impatti concreti.
Un approccio che combina presidio continuo, integrazione tra infrastruttura, sicurezza e capacità operative avanzatepermette di trasformare la threat intelligence in azione.
In questo contesto, la resilienza si misura nella gestione anticipata e continua delle minacce, elemento chiave per garantire sicurezza e continuità operativa.

Lara Del Pin, Senior Partner Account Executive, Akamai

In questo contesto caratterizzato da crescita degli attacchi, centralità del furto di dati, uso di AI nelle campagne offensive e necessità di protezione estesa lungo applicazioni, API e supply chain, quali caratteristiche dovrebbero avere oggi le piattaforme di sicurezza per garantire una difesa efficace e scalabile e in che modo un approccio basato su architetture edge, visibilità globale e controlli integrati può rispondere a queste esigenze operative e di governance?

Per rispondere a un panorama in cui l’Intelligenza Artificiale ha azzerato i tempi di attacco (Time to Exploit) e dove le API e la supply chain sono i nuovi bersagli principali, una piattaforma di sicurezza moderna non può più essere reattiva o frammentata.
Deve possedere tre caratteristiche imprescindibili.

1. Automazione Adattiva nativa (AI-driven): non possiamo più dipendere dal tuning manuale delle regole. La piattaforma deve usare il machine learning per comprendere il contesto del traffico in tempo reale e blaterare i falsi positivi senza bloccare il business.
2. Approccio Zero-Trust a protezione estesa: la sicurezza deve seguire il dato ovunque si trovi, estendendosi in modo omogeneo dalle applicazioni tradizionali fino alle micro-API utilizzate dalle moderne architetture e dalle terze parti della supply chain.
3. Consolidamento delle soluzioni (WAAP + API + Bot): le aziende non possono più gestire 10 console diverse. Serve un’unica piattaforma integrata che riduca la complessità operativa e offra una governance centralizzata.

Per quanto concerne l’approccio basato sull’architettura Edge (come quella di Akamai, la più grande rete distribuita al mondo) questo sposta la linea di difesa direttamente vicino all’attaccante, ben lontano dai servers aziendali o dai data centers locali. Ciò garantisce una scalabilità illimitata: anche di fronte a un attacco DDoS massivo, la minaccia viene assorbita all’edge, garantendo alle nostre imprese la totale continuità operativa e l’immunità da blocchi di produzione.

Relativamente alla Visibilità Globale, Akamai vede e analizza circa un terzo del traffico web mondiale giornaliero. Questa visibilità globale si traduce in una telemetria senza eguali. Quando un nuovo exploit guidato dall’AI nasce dall’altra parte del mondo, la nostra piattaforma lo intercetta, lo indicizza e aggiorna istantaneamente le difese di tutte le aziende connesse, comprese le medie imprese del nostro territorio, che beneficiano così di una protezione di livello ‘intelligence’ senza dover investire milioni in team di cybersecurity interni.

Infine, l’integrazione dei controlli risolve il grande problema della governance e della supply chain. Proteggere il perimetro non basta, se un fornitore esterno viene compromesso. Attraverso controlli integrati che uniscono la protezione delle applicazioni (WAAP) alla microsegmentazione interna dell’infrastruttura, siamo in grado di attuare una strategia Zero-Trust totale. Se un malware penetra attraverso una falla della supply chain, la segmentazione dinamica lo isola istantaneamente in pochi millisecondi, impedendogli di muoversi lateralmente e di raggiungere i dati sensibili o i sistemi core dell’azienda.

In conclusione, per il tessuto industriale, adottare questo approccio significa trasformare la sicurezza da un centro di costo a un abilitatore di resilienza business. Non proteggiamo solo i dati, proteggiamo la reputazione, la catena del valore e la continuità del lavoro delle nostre aziende.

Giulia Dragone, Channel Sales Manager Italy and Iberia, Mimecast

Con il phishing ancora principale vettore di attacco, il furto di dati come danno più frequente, l’impatto crescente delle tecniche di AI e la necessità di approcci sempre più strutturati come la Data Loss Prevention, quanto diventa cruciale oggi per le organizzazioni rafforzare in modo continuativo sia i programmi di formazione e consapevolezza delle persone, che le strategie di protezione dei dati?

Oggi è fondamentale adottare un approccio integrato alla cyber resilience, perché gli attacchi non colpiscono più soltanto la tecnologia, ma soprattutto le persone e i dati. Il phishing continua a essere il principale vettore di compromissione e l’utilizzo dell’intelligenza artificiale sta rendendo queste minacce sempre più credibili, personalizzate e difficili da riconoscere, anche per utenti esperti. Per questo motivo la formazione non può più essere episodica o puramente formale: deve essere continua, concreta e contestualizzata ai diversi ruoli aziendali, attraverso simulazioni realistiche e programmi di awareness evolutivi. Parallelamente, è indispensabile adottare strategie avanzate di protezione dei dati, con strumenti di Data Loss Prevention in grado di monitorare, prevenire e limitare la diffusione di informazioni sensibili. In Mimecast crediamo che awareness e data protection debbano lavorare insieme: persone consapevoli e tecnologie intelligenti rappresentano oggi i due pilastri fondamentali per costruire organizzazioni realmente resilienti, capaci non solo di prevenire gli attacchi, ma anche di rispondere rapidamente, ridurre l’impatto degli incidenti e garantire continuità operativa.    

Domenico Raguseo, Head of Cybersecurity, Gruppo Exprivia

Con riferimento a quanto scaturito dagli interventi, cosa ritiene di dover suggerire alle aziende e istituzioni?

Comincerei con ricordare che i budget non sono infiniti, e quindi investire in analisi del rischio prima di dissipare del denaro è fondamentale. Se un mercato è oggetto di campagne di phishing, allora investire in formazione è fondamentale, se invece nello stesso mercato nessun incidente ha a che fare con il phishing, meglio investire in difesa perimetrale (ad esempio) . Altro suggerimento che mi sento di dare è ricordare che gli attacchi sono tanti e sfruttano gli elementi più deboli della catena, non interessa agli attaccanti se il servizio di monitoraggio non è 7×24, se il dispositivo IoT è sotto la giurisdizione del CISO o no, se OT e IT non sono integrati, se Mainframe è più sicuro dei sistemi open, se la vulnerabilità è di un fornitore o se è della vittima. Laddove c’è una falla nell’infrastruttura o nei processi, gli attaccanti intervengono. Infine, ricordiamoci che se da un lato siamo in ecosistema interconnesso, la mia debolezza è la debolezza di tutto il sistema, dall’altro con un solo click potrei distruggere il mondo. Investire in consapevolezza non è mai una cattiva idea.

Rocco Mendola, Responsabile Infrastrutture Tecnologiche e Sicurezza, Bormioli Luigi

Dalla sua esperienza e alla luce di quanto emerso sinora, dal punto di vista di un’azienda di produzione, quale il messaggio che desidera condividere?

Dobbiamo iniziare a considerare la cybersecurity non più come un costo o come un “lucchetto” informatico applicato a posteriori sui servers, ma come una quota parte della qualità stessa del nostro prodotto.
Nel manifatturiero d’eccellenza il concetto di qualità è sacro, e in un mondo iper-connesso un prodotto è davvero di qualità solo se le linee industriali che lo hanno generato sono protette, integre e resilienti. Rendere sicura l’infrastruttura significa, a tutti gli effetti, garantire la continuità del business e difendere la reputazione del brand che consegniamo al cliente.
Questo cambio di passo deve necessariamente mettere al centro le persone, superando le vecchie regole rigide che spesso finiscono solo per burocratizzare e rallentare il lavoro. Con un cybercrime che usa l’intelligenza artificiale per ingegnerizzare attacchi di phishing sempre più credibili, la risposta è una sicurezza di tipo adattivo. Parliamo di un’infrastruttura intelligente, capace di analizzare il contesto e il comportamento in tempo reale, stringendo le maglie della protezione – magari richiedendo un’autenticazione forte o isolando una sessione anomala – solo quando serve e solo per i profili effettivamente esposti in quel momento, lasciando l’operatività quotidiana fluida e trasparente per tutti gli altri.
Infine, credo sia fondamentale fare chiarezza sulla governance finanziaria di questa transizione. Troppo spesso la sicurezza viene percepita come un investimento incerto, ma la realtà è esattamente l’opposto: le risorse destinate a una solida architettura cyber sono potenzialmente predicibili, certe e pianificabili all’interno di un piano pluriennale di evoluzione aziendale. Al contrario, il costo di un attacco informatico andato a buon fine è totalmente impredicibile. Non si possono calcolare in anticipo i danni di un fermo produzione di settimane, le sanzioni di compliance o il prezzo del danno reputazionale.
Scegliere di investire oggi in cybersecurity significa, in ultima analisi, scambiare un rischio finanziario ignoto e potenzialmente devastante con un piano aziendale certo, governabile e sostenibile nel tempo.

Enrico Fazio, Chief Operating Officer, Helmon

Come emerge dal report, una quota rilevante degli attacchi di successo colpisce direttamente il cuore della filiera, che nel contesto italiano è composta in larga parte da PMI: realtà spesso meno strutturate ma criticamente esposte.
Cosa dovrebbe cambiare per rendere la cyber più comprensibile e adottabile su larga scala per questo segmento?

L’adozione della cybersecurity nelle PMI non è frenata tanto dalla mancanza di tecnologia, quanto da un modello di mercato che non ne facilita l’accesso e la comprensione.
Per sbloccare questo segmento servono tre leve, tutte non tecnologiche.
La prima è istituzionale: l’evoluzione normativa, come dimostrato da interventi recenti su ambiti specifici, ha la capacità di trasformare rapidamente obblighi in adozione diffusa.
La seconda è di filiera: con l’introduzione di responsabilità più stringenti, i capofiliera sono sempre più incentivati a trasferire requisiti di sicurezza ai fornitori, attivando un meccanismo virtuoso guidato da chi detiene il potere contrattuale.
La terza è economica: ridurre la barriera di ingresso e, soprattutto, rendere misurabile il ritorno dell’investimento. Oggi la cybersecurity è ancora percepita come costo; finché non sarà resa comprabile, comparabile e valutabile come investimento, l’adozione resterà limitata.
In questo senso, la vera discontinuità non è tecnologica, ma di modello: avvicinare la cybersecurity a logiche di fruizione più semplici, trasparenti e scalabili.

Vincenzo Pennarola, Technology Infrastructure Services, Present – Gruppo Exprivia

In un contesto così distribuito, tra cloud, fornitori e supply chain, come quello che abbiamo finora visto, quali sono oggi le maggiori difficoltà nel trasformare la sicurezza da insieme di strumenti a capacità realmente integrata e operativa?

La difficoltà principale oggi non è tecnologica, ma di integrazione e governo.
Le organizzazioni hanno molti strumenti, ma spesso distribuiti a silos: sicurezza, infrastruttura, cloud e accessi dei fornitori generano dati separati, difficili da correlare.
In un contesto in cui gli attacchi sono sempre più frequenti, spesso basati su phishing e tecniche automatizzate, e orientati al furto di dati, questo porta ad avere visibilità parziale e tempi di risposta lenti.
Un secondo problema è la mancanza di continuità operativa: senza un presidio H24, gli eventi restano segnali isolati e non diventano decisioni.
Infine, la complessità di ambienti cloud e supply chain rende difficile mantenere controllo end to end su identità e accessi. La trasformazione avviene quindi quando si supera la logica degli strumenti e si costruisce un modello integrato, capace di correlare, interpretare e agire in modo continuo.

Lara Del Pin, Senior Partner Account Executive, Akamai

Si è parlato anche di scalabilità, anche da un punto di vista finanziario, nell’adozione delle soluzioni. Quale il vostro approccio?

Il nostro approccio Edge si è dimostrato scalabile sia per la qualità proposta sia per quanto riguarda i costi di accesso.
Siamo stati i primi a proporre soluzioni cloud base e anche se per situazioni particolari come ad esempio Esercito e Difesa sono richieste ancora implementzioni on-prem, la possibilità di condividere i nostri servizi Edge con migliaia di altri clienti a livello WW ci ha garantito una maggiore adattabilità anche a clienti più piccoli.
Nel contempo, continuiamo ad avvalerci di tecnologie sempre nuove e a integrare l’AI nei nostri servizi, espandendo l’accesso a nuovi livelli di protezione per tutti i nostri clienti esistenti e prospects.