C’è l’azienda metalmeccanica del Nord Italia dove un tecnico aggiornava i sistemi di magazzino con una chiavetta usb qualsiasi. La usava ovunque, anche a casa, «ci metteva persino film porno. Risultato: si sono beccati un malware, magazzini bloccati per dieci giorni. Non usciva più nessuna merce». Ovvio: «Se metti il porno sullo stesso piano di un’attività delicata come quella, sei nella preistoria della cybersecurity». Alessandro Curioni, esperto con centinaia di progetti di sicurezza gestiti in Italia e all’estero, ne ha viste tante di storie cyber-horror. Il problema è che non sono un’eccezione. Non certo nelle piccole e medie imprese italiane, asse portante del nostro sistema economico e «davvero immature nella cybersecurity», come dice Curioni e conferma il rapporto 2025 del Clusit (l’associazione della cybersecurity italiana). Le grandi aziende fanno molto meglio, ma qualche assurdità si può trovare anche a casa loro. «Come quell’importante operatore navale che non ha ancora designato un responsabile della sicurezza informatica e qualche mese fa è stato bucato da criminali informatici – aggiunge Curioni – Non solo sono entrati nei suoi sistemi. Hanno pure usato il server di posta elettronica aziendale, ormai in mano loro, per mandare a terzi valanghe di mail truffa».

Un’azienda che non cura la propria cybersecurity è come chi guida a 200 chilometri orari in centro città: un incosciente che mette a rischio sé e gli altri. Se poi a farlo è un’azienda che gestisce servizi critici – trasporti, finanza, energia, pubblica amministrazione – i suoi errori si traducono subito in problemi per cittadini e il sistema Paese.

La causa ultima dei disastri è spesso quello che gli esperti chiamano “fattore umano”. Vedi il tecnico armato di chiavetta con il porno. Oppure «il dipendente di un operatore finanziario che riceve una mail che sembra un reclamo e che in realtà è phishing (truffa informatica) – racconta Curioni – Lui non ci pensa due volte e la inoltra a diciassette persone. Risultato: tutti ci cliccano, si installa un malware che ruba password e documenti preziosi dai computer. Per di più, se ne sono accorti solo otto mesi dopo». Così, i criminali informatici in Italia fanno festa. Subiamo il 10 per cento degli attacchi al mondo, pur rappresentando solo l’1,8 per cento del Pil globale (dati Clusit sul 2024).

Ma c’è speranza e ora ha il suono di tre lettere (e un numero): Nis 2, una direttiva europea che da metà aprile in Italia è entrata nella fase due, più seria e attuativa. Adesso e fino a ottobre 2026, circa 20mila aziende italiane dovranno adeguarsi, in più fasi, a numerosi requisiti di sicurezza. Con sanzioni fino a 7 milioni di euro (ma si arriva a 10 milioni per le cinquemila aziende strategiche per il Paese).

Il 10 aprile l’Agenzia cybersecurity nazionale (Acn, istituita sotto la presidenza del Consiglio) ha dettato le specifiche di sicurezza base da rispettare. Il primo obbligo scatta il 31 maggio. «Prima di tutto, dovranno comunicare quali sono le loro persone, con le rispettive responsabilità: a conferma che il fattore umano è cruciale. La cybersecurity si fa responsabilizzando tutti, dall’amministratore delegato in giù», spiega Pierluigi Perri, avvocato e professore associato di Sicurezza informatica alla Statale di Milano. «L’Acn si sta impegnando molto in tal senso, affiancando le aziende per diffondere in loro e a tutti i livelli la consapevolezza necessaria sulla cybersecurity», aggiunge. Tra l’altro lo sta facendo con una campagna (“Accendiamo la cybersicurezza, proteggiamo le nostre imprese”) su vari media e anche con momenti di incontro con gli industriali e i distretti tecnologici del Paese. Ad aprile ne ha tenuto uno con Assolombarda a Milano: «Per molte aziende italiane si tratta di imparare un nuovo linguaggio, con la Nis 2. È un cambio culturale importante», ha detto Nicolò Rivetti, dell’Acn. E il cambio parte appunto dai vertici aziendali, com’è emerso anche nell’incontro milanese. «Se non lo capiscono loro che la cybersecurity è importante, che ad esempio tutti i dipendenti devono fare formazione contro i rischi, non ci sono speranze», conferma Perri.

Nel concreto, tra le cose più importanti, la Nis 2 chiede di studiare la propria esposizione al rischio. Le aziende devono capire insomma dove e in che modo sono più vulnerabili; da dove e come può entrare il nemico per rubare soldi e dati preziosi (dati personali di clienti e dipendenti o segreti industriali). E questa valutazione di rischio devono farla considerando non solo sé stessi, ma anche tutta la propria catena di fornitori. Una catena che si spezza se c’è un anello debole: un fornitore che non rispetta le misure di sicurezza mette a rischio le aziende proprie clienti, con cui scambia dati e servizi informatici.

Molte Pmi italiane, fornitrici di grandi aziende attente alla security, ora corrono un bel rischio aggiuntivo, oltre alle sanzioni Nis 2 e agli attacchi informatici: di finire fuori mercato. Saranno escluse dalla lista fornitori se non mostreranno al cliente di avere fatto bene i compiti a casa, a norma di legge. Da tanti punti di vista, quindi, le regole impongono una svolta a cui non sarà possibile sottrarsi. Fino a ottobre 2026 per molti sarà una corsa, per imparare un linguaggio finora praticato poco o nulla. Gli esperti rincuorano, «il tempo è sufficiente, a patto di non perderne altro», dice Perri. Come ha fatto per anni non solo la massa delle Pmi, ma l’Italia intera, sempre agli ultimi posti nei Paesi sviluppati per investimenti pubblici e privacy nella cybersecurity.