Ci sono momenti che parlano da soli, che si caricano di un significato più profondo solo per coincidenze di calendario. E così ieri, primo maggio, mentre nelle piazze italiane si celebrava la Festa dei Lavoratori e si denunciava con rabbia e dolore la continua strage silenziosa delle morti sul lavoro, causate da negligenze, risparmi ingiustificabili e mancanze di prevenzione, in rete si celebrava – con un’eco decisamente più fioca – anche il World Password Day.
Una coincidenza simbolica che dovrebbe far riflettere. Perché proprio come accade nei cantieri, nelle fabbriche o nei magazzini dove si muore perché non si rispettano le regole minime di sicurezza fisica, anche nel mondo digitale si continua a morire professionalmente, aziendalmente ed economicamente perché si ignorano le regole più banali della sicurezza informatica.
Le aziende, i dipendenti, i professionisti – nonostante tutte le raccomandazioni – continuano a utilizzare password deboli, prevedibili, spesso identiche su più servizi, talvolta addirittura lasciate di default. Le regole per crearle in modo sicuro ormai le conosciamo tutti: lunghezza minima, complessità, unicità, aggiornamento periodico, autenticazione a più fattori. Ma le conosciamo e basta. Perché non le applichiamo. O peggio: scegliamo consapevolmente di non applicarle, convinti che “tanto a me non capiterà”.
E invece capita. Capita ogni giorno. A decine di imprese italiane. Capita silenziosamente, spesso senza che ce ne accorgiamo. Capita perché non proteggiamo i dati, non verifichiamo i privilegi, non segmentiamo le reti, non controlliamo chi ha accesso ai nostri sistemi.
Indice degli argomenti
Un Paese colpito, ma non protetto
I numeri del Rapporto Clusit 2025 sono impietosi: l’Italia ha subito il 10% di tutti gli attacchi informatici globali nel 2024, a fronte di uno 0,7% di popolazione mondiale. In proporzione, siamo tra i paesi più bersagliati al mondo, e certamente il primo in Europa. Più della Francia, più della Germania, più del Regno Unito. Se non fosse tutto tragicamente vero, sembrerebbe una statistica paradossale.
Ma la realtà è che non siamo solo colpiti: siamo anche completamente impreparati. Nonostante le parole, i proclami, i piani strategici, le presentazioni PowerPoint con acronimi e loghi istituzionali, il nostro Paese non ha ancora costruito una vera cultura della sicurezza digitale, né nelle aziende, né nelle amministrazioni pubbliche, né – tantomeno – tra i cittadini.
Ransomware: una guerra a bassa intensità che ci sta dissanguando
Secondo i dati aggiornati da Ransomfeed.it, nei primi tre mesi del 2025 sono state 41 le aziende italiane colpite da ransomware, con oltre 7.600 GB di dati esfiltrati e pubblicati online. Questi attacchi non hanno risparmiato nessun settore: dall’industria alla sanità, dai trasporti ai servizi, dalla consulenza alla distribuzione. Piccole aziende familiari e realtà strutturate con centinaia di dipendenti, tutte accomunate da una terribile costante: sono state lasciate sole.
Senza supporto, senza linee guida operative, senza sportelli tecnici, senza uno Stato capace di intervenire rapidamente con mezzi, risorse e competenze.
In molti casi, l’unico “aiuto” è arrivato dal consulente privato di fiducia o, nel peggiore dei casi, dal criminale stesso, che offriva “supporto” in cambio del riscatto.
NIS2, un passo avanti. Ma non basta. E non arriverà a tutti
Con l’entrata in vigore della Direttiva NIS2, le medie e grandi imprese, oltre che la Pubblica Amministrazione, avranno 18 mesi di tempo per dotarsi di misure minime di sicurezza. È un progresso, su questo non si discute.
Ma è anche una misura parziale, perché esclude completamente le micro e piccole imprese, che in Italia rappresentano oltre il 92% del tessuto imprenditoriale.
Parliamo di aziende agili, produttive, strategiche per l’economia reale. Aziende che operano in settori chiave come la meccanica, l’agroalimentare, il commercio, i servizi logistici, la componentistica. Realtà che lavorano quotidianamente con dati sensibili, credenziali, accessi, sistemi ERP, ma che non hanno né i mezzi economici né il supporto culturale per affrontare la minaccia informatica moderna. E la normativa, semplicemente, le ignora.
Supply chain: il buco nero della cyber sicurezza italiana
Un altro problema spesso sottovalutato – ma assolutamente centrale – è rappresentato dai fornitori terzi, dalle software house, dagli MSP, dai tecnici esterni che quotidianamente accedono ai sistemi aziendali dei loro clienti con privilegi eccessivi, permanenti e non tracciati.
Un buco nero nella visibilità e nella responsabilità, che rappresenta una superficie d’attacco enorme, sfruttata dai criminali per penetrare le reti passando proprio dai partner fidati.
Pochissime aziende italiane, soprattutto tra le piccole, hanno strumenti adeguati di controllo degli accessi, di auditing, di tracciamento delle attività esterne. E quando chiedi perché, la risposta è sempre la stessa: “Ci fidiamo. Sono con noi da anni”.
Peccato che la fiducia non sia un sistema di sicurezza.
Infostealer, password deboli e MFA ignorato: la fragilità umana è il vero exploit
La minaccia più sottovalutata, oggi, è quella legata agli infostealer: malware silenziosi che si insinuano nei dispositivi e raccolgono tutto ciò che trovano, dalle credenziali ai cookie di sessione. Sono difficili da rilevare e, una volta attivi, offrono un accesso completo a qualsiasi servizio usato dall’utente. Sono diventati uno strumento diffusissimo nel cybercrime.
Eppure, la maggior parte dei dipendenti non ha alcuna consapevolezza di cosa sia un infostealer, né del perché sia pericoloso.
Non basta sapere “cos’è una password sicura”. Bisogna cambiare abitudini, mentalità, cultura digitale. E qui torniamo al punto di partenza: la giornata di ieri, primo maggio, è stata anche il World Password Day. Ma quante persone lo sanno? E quante di queste hanno cambiato, aggiornato o migliorato le proprie credenziali? Quante hanno attivato l’autenticazione a più fattori sui propri account?
Le regole le conosciamo. Ma non le applichiamo. E questa è la vera tragedia.
Serve una nuova grammatica per parlare di sicurezza
E infine, un messaggio chiaro a chi – come me – lavora nella cybersecurity da anni: dobbiamo cambiare linguaggio. Dobbiamo smettere di parlare di patch, vulnerabilità, NAT, sandbox e segmentazione. Dobbiamo iniziare a parlare di soldi, rischi, interruzione dei servizi, perdita dei clienti, reputazione distrutta, responsabilità penale.
Perché finché continueremo a presentarci ai CdA parlando una lingua tecnica e autoreferenziale, nessuno ci ascolterà davvero.
La sicurezza non è un’opzione. È una responsabilità collettiva
Nel 2024 il cybercrime ha generato oltre 10.500 miliardi di dollari di ricavi. Una cifra che supera l’intero PIL della Cina. E la maggior parte di questi proventi deriva da attività di ransomware. È una guerra silenziosa, ma globale. E noi la stiamo perdendo. Non perché manchino le leggi. Non perché manchino le tecnologie. Ma perché manca la volontà di fare davvero ciò che serve.
Abbiamo normative, framework, strumenti. Abbiamo esempi, analisi, casi di studio. Ma non abbiamo ancora il coraggio politico, imprenditoriale e culturale per metterli in pratica davvero. E, intanto, le aziende chiudono, i dati finiscono nel dark web, le economie locali si spezzano, la fiducia dei cittadini evapora.
La cyber sicurezza non è una moda, non è una checklist da barrare una volta l’anno. È una condizione essenziale per la sopravvivenza economica di un Paese moderno.
E allora sì, basta parole. Basta rimandare. Basta alibi.È ora di fare. Con forza. Con coraggio. Con responsabilità. Tutti. Nessuno escluso.
