Per una cybersecurity efficace: indicazioni dall’evento Present & Exprivia con Unione Industriali e S News

Quali i pilastri sui quali costruire una cybersecurity efficace oggi e, in prospettiva, anche futura?
Questa la domanda alla base dell’evento Present & Exprivia con S News Media Partner, tenutosi al Centro Congressi dell’Unione Industriali Torino – Confindustria, mercoledì 11 marzo, dal titolo “Threat Intelligence, AI & Quantum: l’evoluzione dell’attacco”.

Dopo i saluti del Vice Direttore Generale di Unione Industriali Torino Eleonora Faina e l’introduzione ai lavori di Fulvio Guglielmelli, Direttore Market Unit Nord Ovest – Lombardia di Present (Gruppo Exprivia), l’evento ha visto la presentazione e l’analisi dei dati del Threat Intelligence Report 2025 dell’Osservatorio CyberSecurity di Exprivia a cura di Domenico Raguseo, Head of Cybersecurity, Gruppo Exprivia.

L’incontro si è poi sviluppato grazie ai suggerimenti e alle priorità strategiche scaturite dalla tavola rotonda “Dall’analisi dell’attacco alla risposta operativa”, suggerimenti e priorità che organizzazioni e istituzioni dovrebbero adottare già nel 2026 per ridurre il rischio, aumentare la resilienza e affrontare minacce sempre più sofisticate e pervasive.

Chiari gli interventi, unanime la visione e corale il messaggio che di seguito viene riassunto nei tratti fondamentali che hanno catturato l’attenzione dei numerosi partecipanti, intervenuti in prima persona nella sezione Q&A. Se, infatti, i vari relatori della Tavola Rotonda hanno evidenziato le molte sfide per i CISO, al contempo hanno fornito loro indicazioni su come affrontare quelle presenti e, ancor più, quelle future.

Per i dati del Threat Intelligence Report 2025 dell’Osservatorio CyberSecurity di Exprivia, vedasi l’articolo Report Exprivia 2025 Italia: Quantum Computing e AI ridefiniscono le minacce informatiche.

I contenuti della tavola rotonda “Dall’analisi dell’attacco alla risposta operativa” 

Condotta dalla scrivente Monica Bertolo, Direttore S News, la tavola rotonda ha visto la partecipazione di:

• Domenico Raguseo – Head of Cybersecurity, Gruppo Exprivia;
• Gennaro D’Antonio – Head of Service Delivery Factory; Technology Infrastructure Services, Present (Gruppo Exprivia) e Responsabile delle Control Rooms H24;
• Paolo Asioli – Head of Security, Safety & Privacy, Alpitour;
• Lorenzo Comi – Head of Digital Cyber Security Testing, Nexi Group.

“Nel 2025 – ha evidenziato Raguseo – il livello di minaccia cyber è rimasto molto elevato, con circa 1.000 attacchi a trimestre (630 nel primo trimestre) e oltre 100 incidenti trimestrali, in lieve aumento nella parte finale dell’anno. Il Nord Italia registra più attacchi in valore assoluto, ma il Sud è più colpito in proporzione alla popolazione.
Il settore bancario è il più bersagliato, mentre tra i dispositivi IoT risultano più vulnerabili telecamere e dispositivi medici.
Il cybercrime resta la principale motivazione degli attacchi, con furto di dati come impatto più frequente. Le tecniche più utilizzate sono phishing, malware e Remote Access Trojan (RAT), in particolare Remcos e Agent Tesla, che consentono accesso remoto persistente e attività di spionaggio sui sistemi compromessi. L’uso dell’intelligenza artificiale negli attacchi si attesta al 42%, soprattutto per migliorare phishing e ransomware mirati, rendendo le operazioni più automatizzate, precise e difficili da rilevare. Circa l’8,5% degli incidenti riguarda attacchi che potrebbero essere influenzati dalle future tecnologie quantistiche, che potrebbero accelerare la scoperta di vulnerabilità e il cracking della crittografia. La combinazione tra AI e quantum computing potrebbe abilitare attacchi più sofisticati, inclusi scenari ‘harvest now, impact later‘, spingendo le organizzazioni ad adottare crypto-agility e algoritmi post-quantum e a considerare la cybersecurity come investimento strategico. L’elevato numero di attacchi evidenziato dall’articolo conferma una realtà ormai chiara: la cybersecurity non può più essere un’aggiunta a valle, ma deve essere pensata fin dall’inizio, quando si progettano servizi e infrastrutture. In altre parole, serve un vero approccio shift-left, in cui sicurezza, architettura e processi nascono insieme. Allo stesso tempo, gli investimenti in sicurezza devono essere guidati dalla conoscenza del rischio: capire cosa è davvero critico per il business, dove sono le vulnerabilità e quali impatti possono derivare da un incidente. Senza questa consapevolezza si rischia di spendere molto, ma non necessariamente nel modo più efficace. C’è poi un elemento spesso sottovalutato: gli attaccanti lavorano 24 ore su 24, 7 giorni su 7. Questo significa che anche chi si difende deve adottare modelli operativi continui, basati su monitoraggio costante, automazione e capacità di risposta rapida.
Il contesto tecnologico rende la sfida ancora più complessa. Le infrastrutture aziendali oggi spaziano dal mainframe ai sistemi cloud, dagli ambienti SCADA all’IoT: superfici di attacco molto diverse tra loro, ma tutte potenzialmente sfruttabili.
La sicurezza deve quindi essere end-to-end, senza lasciare ‘zone grigie’. A questo si aggiunge un rischio emergente: il cosiddetto scenario ‘harvest now, decrypt later‘ legato alla computazione quantistica. Alcuni attaccanti potrebbero già oggi sottrarre dati cifrati con algoritmi tradizionali, conservandoli per decifrarli in futuro quando la potenza dei computer quantistici lo consentirà. Questo significa che la protezione delle informazioni sensibili deve guardare anche al lungo periodo, accelerando percorsi di crypto-agility e adozione di algoritmi post-quantum. L’arrivo di queste tecnologie pone anche nuove sfide di governance. Non si tratta solo di aggiornare algoritmi crittografici, ma di gestire in modo strutturato l’introduzione di tecnologie emergenti, allineando strategie di sicurezza, modelli di rischio e conformità normativa. In Europa, direttive e regolamenti stanno già spingendo le organizzazioni verso maggiore responsabilità e resilienza. Per questo la governance della sicurezza dovrà evolvere integrando innovazione tecnologica, gestione del rischio e compliance, con una visione di medio-lungo periodo. Infine, c’è un investimento che raramente si rivela sbagliato: la formazione. Tecnologie e minacce evolvono rapidamente, e persone preparate, tecniche e non, restano uno dei fattori più efficaci per ridurre il rischio”, ha concluso Raguseo.

A lui è seguito l’intervento a cura di D’Antonio, che ha evidenziato: “La continuità della minaccia cyber rappresenta indubbiamente oggi la normalità, con attacchi attivi 24/7, altamente automatizzati e capaci di sfruttare infrastrutture globali. In questo contesto, la Control Room Present, integrata con il SOC di Exprivia, opera come presidio permanente integrando

• tecnologia,
• processi e
• competenze umane

per mantenere un vantaggio costante sul ciclo dell’attacco. Il modello adottato si fonda su quattro pilastri principali.
Il primo è il monitoraggio continuo, realizzato attraverso una visibilità unificata dell’intero ecosistema aziendale. L’integrazione tra Control Room e SOC, unita a strumenti avanzati di osservabilità e automazione dell’enrichment degli alert, consente di identificare anomalie e minacce in pochi secondi.
Il secondo pilastro è la risposta immediata, supportata da playbook standardizzati, funzionalità SOAR per l’isolamento automatico degli assets compromessi e l’intervento umano prevalentemente sugli incidenti più importanti e complessi, riducendo drasticamente tempi e impatto.
Il terzo elemento è una protezione adattiva, basata su threat intelligence continua, aggiornamento dinamico dei controlli, valutazioni ricorrenti della superficie d’attacco e formazione costante del personale, per garantire resilienza in un contesto in evoluzione.
Infine, il quarto pilastro sta nella collaborazione trasversale con le funzioni aziendali di IT, Security, Risk, Business e Vendors, e questa è riconosciuta come fattore chiave: la sicurezza diventa una funzione aziendale condivisa e sempre attiva, indispensabile per contrastare minacce incessanti con una difesa altrettanto continua e intelligente”.

Asioli, dal canto suo, ha fatto emergere come oggi la sicurezza informatica sia diventata a tutti gli effetti un’azienda nell’azienda ed è andato a scandagliare quali siano le principali sfide nel governo di questa complessità e quali leve organizzative, di processo e di competenze siano quindi decisive per renderla sostenibile ed efficace nel tempo.
“Il quadro normativo europeo – ha sottolineato Asioli – reso sempre più complesso da regolamenti come GDPR, AI Act, NIS2 e DORA, richiede una strategia basata su competenze specialistiche e un’efficace sinergia tra Compliance e Security Operations. Concentrarsi solo sulla conformità formale, delegando la protezione del Business alle Operations, è un errore potenzialmente letale: occorre invece adottare un approccio basato sul rischio, utilizzando framework come ISO 27001 e NIST per creare una mappa tecnica e organizzativa comune. Su questa base si possono integrare le varie compliance, garantendo accountability e una reale copertura dei requisiti normativi.
È fondamentale il supporto di figure specialistiche sulle tematiche legali, come il DPO, per aggiornamenti normativi tempestivi e corretti. L’Intelligenza Artificiale (AI) offre grandi opportunità, ma introduce rischi nuovi e imprevedibili, come la possibile esposizione di dati riservati attraverso misconfiguration o prompt injection.
Solo quindi una collaborazione efficace tra Governance e Operations, supportata da sistemi di gestione come ISO 27001, 27701 e 42001, può assicurare una protezione concreta e sostenibile, andando oltre la mera formalità di conformità alle norme”.

Comi si è addentrato sulle conseguenze che si rischierebbero se non si adottasse un approccio Shift Left.
“In un contesto in cui gli attacchi informatici sono sempre più frequenti e sofisticati, la sicurezza non può più essere considerata una semplice verifica finale, ma deve diventare una componente strutturale dell’intero processo di sviluppo. È quindi fondamentale adottare un approccio di security e privacy by design, integrando i controlli di sicurezza fin dalle prime fasi di progettazione secondo una logica di shift left. In assenza di questo approccio, molte vulnerabilità introdotte nelle fasi iniziali di progettazione e sviluppo del software emergerebbero solo quando i sistemi sono già complessi o in produzione, aumentando il rischio di attacchi e rendendo gli interventi di correzione molto più costosi e difficili.
Questo paradigma diventa ancora più rilevante con la crescente diffusione dell’intelligenza artificiale integrata nelle applicazioni. I sistemi basati su AI introducono infatti nuove superfici di attacco e ulteriori criticità legate alla sicurezza e alla protezione dei dati, rendendo indispensabile integrare fin dall’inizio principi di sicurezza, controllo e governance nello sviluppo delle soluzioni.
Tuttavia, anche un approccio progettuale solido non è sufficiente da solo. La sicurezza deve proseguire lungo tutto il ciclo di vita dei sistemi attraverso attività di monitoraggio continuo di infrastrutture, applicazioni e minacce. In questo contesto, strutture dedicate come i Security Operation Center consentono di rilevare tempestivamente anomalie e potenziali attacchi, migliorando la capacità dell’organizzazione di prevenire, individuare e gestire gli incidenti di sicurezza in modo rapido ed efficace”.

Da qui Comi è passato a spiegare quanto più vulnerabili diventeremmo se non implementassimo pratiche DevSecOps.“In un contesto in cui il cybercrime diventa sempre più sofisticato, anche grazie all’uso crescente dell’intelligenza artificiale da parte degli attaccanti, mantenere sviluppo, operazioni e sicurezza separati aumenta sensibilmente la vulnerabilità delle organizzazioni. Tecniche di attacco sempre più automatizzate e scalabili rendono infatti i modelli tradizionali, in cui ogni funzione opera in modo isolato e la sicurezza interviene solo nelle fasi finali, incompatibili con la velocità con cui oggi evolvono i servizi digitali. Allo stesso tempo, le applicazioni vengono aggiornate con frequenza sempre maggiore e gli ecosistemi tecnologici sono diventati più complessi, tra cloud, microservizi e piattaforme distribuite. In questo scenario, la separazione tra team genera inevitabilmente disallineamenti: gli sviluppatori puntano alla rapidità di rilascio, le operations alla stabilità dei sistemi e la sicurezza rischia di intervenire quando vulnerabilità o configurazioni errate sono già arrivate in produzione. L’approccio DevSecOps nasce proprio per superare questa frammentazione, integrando la sicurezza lungo tutto il ciclo di vita del software e rendendola una responsabilità condivisa. In questo modo è possibile individuare e correggere le vulnerabilità molto prima, riducendo il tempo di esposizione ai rischi. Questa integrazione diventa ancora più importante guardando alle evoluzioni tecnologiche future. Se l’intelligenza artificiale sta già trasformando sia le difese sia le modalità di attacco, l’avvento del quantum computing potrebbe mettere in discussione alcuni degli attuali meccanismi crittografici. In uno scenario così dinamico, la sicurezza deve quindi diventare una componente strutturale e continua dei processi di sviluppo e gestione dei sistemi”.

Dopo aver sviluppato tutte queste riflessioni e cercato di dare dei contributi utili, chiaro il messaggio racchiuso nell’intervento conclusivo di Raguseo, che gli astanti hanno potuto far proprio e portare in azienda: “Sicurezza by design, gestione del rischio, difesa continua, copertura dell’intero ecosistema tecnologico, preparazione al futuro quantistico, governance e formazione: questi i pilastri su cui costruire una cybersecurity realmente efficace”.