La fotografia scattata dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano restituisce un dato ormai difficile da ignorare: il rischio cyber in Italia ha cambiato scala. Il fatto che il 34% delle grandi imprese abbia già subito almeno un attacco non rappresenta più un’anomalia, ma una condizione con cui fare i conti in modo strutturale.
A cambiare è anche la qualità delle minacce, l’integrazione dell’Intelligenza Artificiale nelle tecniche di attacco sta rendendo le operazioni più rapide, credibili e mirate. L’evoluzione è già visibile. Tecniche come il phishing e il social engineering stanno diventando estremamente sofisticate grazie all’uso di modelli generativi. E-mail credibili, messaggi contestualizzati, deepfake vocali o video riducono il margine di riconoscimento anche per utenti preparati.
Ecco, è qui, in questo contesto che il 71% dei Chief Information Security Officer (Ciso) italiani segnala un aumento del rischio legato proprio all’uso dell’AI da parte degli attaccanti.
Le imprese, almeno sul piano degli investimenti, sembrerebbero reagire: il 57% prevede un aumento dei budget cybersecurity nel 2026. Un segnale importante, rafforzato da un quadro normativo europeo che spinge verso maggiore accountability e resilienza. La spinta normativa, con NIS2, Cyber Resilience Act, AI Act e Data Act, porta il tema all’attenzione diretta dei board e contribuisce a strutturare approcci più maturi. Non a caso, l’83% delle grandi imprese presidia oggi il rischio cyber in modo continuativo. Tuttavia, quasi 9 organizzazioni su 10 segnalano una carenza significativa di talenti, con il rischio di non riuscire a scalare adeguatamente processi e capacità di risposta.
Parallelamente, il mercato italiano della cybersecurity continua a crescere e raggiunge nel 2025 un valore di 2,78 miliardi di euro, con un incremento del 12%. Il dato conferma la solidità del settore, soprattutto se confrontato con la crescita molto più contenuta della spesa digitale complessiva. A trainare sono in particolare la Pubblica Amministrazione, il finance e i settori legati alla logistica e ai trasporti, mentre si rafforza il peso dei servizi, in particolare quelli gestiti, anche per rispondere alla carenza diffusa di competenze specialistiche.
Eppure, dall’indagine emerge anche un elemento costante che preoccupa il 96% dei Ciso… il fattore umano, indicato come principale area di criticità. Non si parla semplicemente di disattenzione o mancanza di formazione, la diffusione sempre più massiva di strumenti AI introduce nuove superfici di rischio, spesso sottovalutate perché percepite come innocue o addirittura utili alla produttività.
Ecco, perché oggi il vero salto di qualità riguarda lo human risk management. Basta con la formazione episodica, benvenuto approccio continuo, misurabile e adattivo, che tiene conto del contesto reale in cui operano le persone. La sicurezza deve (e può) diventare una competenza diffusa, integrata nei comportamenti quotidiani e supportata da strumenti in grado di simulare scenari realistici.
In questo senso, la stessa Intelligenza Artificiale può diventare parte della soluzione. Se utilizzata correttamente, consente di personalizzare i percorsi formativi, identificare i profili di rischio e adattare i contenuti in funzione delle vulnerabilità specifiche degli utenti. L’obiettivo non è eliminare l’errore umano, ma ridurne l’impatto e aumentare la capacità di riconoscere e gestire le minacce.
Le organizzazioni, quindi, devono passare da una visione difensiva, centrata sugli strumenti, a una visione sistemica, in cui persone, processi e tecnologie operano in modo integrato. In questo equilibrio, il fattore umano non è più solo un punto di debolezza, ma elemento attivo di resilienza.
La sfida, ora, è trasformare queste condizioni in azioni concrete, capaci di incidere davvero sul livello di sicurezza delle organizzazioni.
