Il 53% delle aziende italiane ammette che le proprie strategie di sicurezza informatica sono troppo orientate verso l’interno. Sanno di guardare nella direzione sbagliata. Eppure continuano a investire nello stesso modo.
È questo il dato più inquietante del report Ripple Effect 2026, la ricerca annuale di Zscaler condotta in 14 paesi da Sapio Research su 1.750 decision maker IT, ovvero CIO, CISO e responsabili infrastrutture di aziende tra i 500 e i 10.000 dipendenti.
L’83% delle organizzazioni italiane ha aumentato gli investimenti in sicurezza informatica nell’ultimo anno. E il 98% lo ha fatto in risposta a fattori esterni. I numeri, a prima vista, sono incoraggianti. Ma se si scava sotto la superficie emerge un quadro diverso: solo il 24% si dichiara davvero fiducioso nell’efficacia delle misure adottate. Il resto, tre aziende su quattro, investe, aggiorna le dashboard, compila i report trimestrali. Ma lascia aperta la “porta di servizio”.
Zscaler chiama questo fenomeno “sindrome del cocomero”: verde e liscio all’esterno, rosso allarmante all’interno. I report di sicurezza mostrano che è tutto sotto controllo (il corso anti-phishing completato, il firewall aggiornato, le caselle spuntate). Ma le policy di accesso per i fornitori esterni non vengono riviste da anni. Elena Accardi, Country Manager di Zscaler, paragona la situazione all’avere una porta blindata davanti, ma le porta di servizio aperte.
Si investono milioni sul perimetro principale e poi si consegnano le credenziali ai fornitori con la stessa disinvoltura con cui si darebbe un mazzo di chiavi a un collega. Sulla base di una fiducia implicita che nessuno ha mai messo davvero alla prova.
“Non siamo in un castello”
Per decenni, la cybersecurity aziendale è stata costruita attorno a un’immagine: la fortezza. Perimetro solido, mura alte, tutto ciò che stava all’interno era al sicuro. I vendor, Zscaler compresa, hanno contribuito a rafforzare questa logica, aiutando le aziende a investire sulla protezione del nucleo. Il problema è che il mondo nel frattempo è cambiato.
Come ricorda Marco Catino Senior Manager, Sales Engineering di Zscaler, oggi le aziende non abitano in un castello isolato. Abitano in un condominio. Un incendio nell’appartamento di fianco non è un problema del vicino: è un problema di tutti.
Il 55% delle organizzazioni italiane ha già subito un’interruzione operativa causata da un fornitore o da un partner esterno. Il 62% dichiara una dipendenza da terze parti più alta che mai. Eppure solo il 35% adotta misure rigorose di controllo sugli accessi privilegiati concessi a questi stessi fornitori.
Inoltre, il 50% delle organizzazioni italiane valuta la resilienza della propria supply chain su base trimestrale, o anche meno frequentemente. In un settore in cui le minacce evolvono in ore, non in mesi, è un’eternità.
L’inerzia organizzativa
La consapevolezza del problema non manca. Manca la capacità di agire oltre i propri confini. Mettere in sicurezza ciò che è all’interno dell’azienda è misurabile, rendicontabile, gestibile.
Estendere i controlli a una catena di fornitura composta da centinaia di soggetti esterni significa avvocati, revisioni contrattuali, trattative commerciali, standard da imporre a chi non ha nessun obbligo di accettarli. La tentazione di concentrarsi su ciò che si riesce a governare è fortissima. E crea, secondo il report, l’illusione pericolosissima di essere al sicuro.
C’è poi il problema strutturale che aggrava tutto: l’86% delle aziende italiane (il dato più alto tra le grandi economie europee), opera ancora su architetture legacy, firewall e VPN di vecchia generazione che non sono stati progettati per il mondo attuale.
Il 49% ammette che questa architettura limita concretamente la capacità di reagire a violazioni e interruzioni. È la metafora dell’utilitaria elaborata e poi messa a gareggiare in Formula 1: si cambiano gli pneumatici, si regolano le sospensioni, si pompa il motore e si aggiunge qualche accessorio. Ma alla prima curva ad alta velocità, si esce di strada.
“La spina dorsale digitale del business moderno è allarmantemente fragile”, ha detto Marco Catino. È la sintesi di ciò che il report documenta con i numeri.
Elena Accardi, Country Manager, e Marco Catino Senior Manager di Zscaler.
IA agentica, quantum, sovranità
A complicare il quadro ci sono tre fronti emergenti che le architetture tradizionali non hanno gli strumenti per affrontare. Il primo è l’IA agentica. Il 52% delle aziende italiane la sta testando ma solo il 15% l’ha effettivamente implementata in produzione.
Il dato su sui riflettere è però un altro: il 66% di chi adotta sistemi agentici lo fa senza aver prima definito alcun framework di governance. Secondo il report, un sistema di IA agentica non protetto può essere compromesso in soli 16 minuti. La pressione competitiva spinge ad adottare in fretta (bloccare questi strumenti significherebbe rallentare rispetto ai concorrenti) ma la sicurezza viene sistematicamente dopo, non in parallelo.
Il secondo fronte è il quantum computing. Il 73% delle aziende italiane non ha ancora integrato la crittografia post-quantistica nella propria strategia, nonostante il 64% sia consapevole che i dati sottratti oggi potrebbero essere decifrati tra tre-cinque anni. L’attacco “raccogli ora, decifra dopo” non è fantascienza: è già in corso. Chi gestisce dati con una lunga vita utile (anagrafica, proprietà intellettuale, progetti industriali), sta accumulando un rischio che non si vede ancora ma cresce ogni giorno.
Il terzo fronte è la sovranità digitale. Solo il 60% delle aziende italiane sta lavorando attivamente su strategie di localizzazione dei dati in ambito UE; è il dato più basso tra le grandi economie europee, a fronte di una media continentale del 79%.
In un contesto in cui NIS2, DORA e le tensioni geopolitiche ridisegnano continuamente le regole del gioco, rimanere indietro su questo fronte non è una scelta neutrale.
Zscaler e la resilienza by design
La risposta di Zscaler al quadro che emerge dal report si articola attorno a un cambio di prospettiva prima ancora che di tecnologia. “La vera resilienza”, ha spiegato Elena Accardi, “deve propagarsi verso l’esterno, per consentire alle organizzazioni di assorbire le onde d’urto generate da supply chain, ecosistemi di partner e stack tecnologici”. Non più una fortezza da blindare, ma un’onda protettiva che si espande.
In pratica, l’approccio si sviluppa in tre fasi: acquisire visibilità reale su dove si trovano i dati e come si muovono, inclusi i flussi verso partner esterni e fornitori; adottare un’architettura che sostituisca il perimetro con un modello zero trust, in cui nulla è autorizzato di default; costruire su questa base la capacità di gestire anche le minacce emergenti, dagli agenti IA ai vettori quantistici.
Il punto, però, non è tecnologico. Il 69% dei responsabili IT italiani prevede di subire un’interruzione operativa causata da fattori esterni entro i prossimi dodici mesi. Lo sa, lo mette a budget ma nella maggior parte dei casi continua a investire guardando verso l’interno.
