Attacchi in aumento e danni miliardari: cosa è emerso a Monza dal seminario Cyber Storm

La trasformazione digitale sta imponendo alle imprese un cambio di passo che va oltre l’adozione di nuove tecnologie. Governance, responsabilità manageriale e gestione del rischio sono oggi elementi centrali per garantire continuità operativa e competitività in uno scenario sempre più interconnesso.

La crescente esposizione ai rischi informatici non riguarda più soltanto le grandi organizzazioni, ma coinvolge in modo diretto anche il tessuto produttivo locale e le realtà di dimensioni medio-piccole. In questo contesto, il tema della prevenzione assume un valore strategico e culturale.

Serve una visione strutturata, capace di integrare tecnologia, normativa e consapevolezza interna, trasformando la protezione dei sistemi da costo percepito a leva competitiva.

Cyber Storm, cybersicurezza e PMI: i dati emersi a Monza

Si è svolto il 19 febbraio allo Sporting Club di Monza l’evento Cyber Storm – Scenario Cyber, Strategie di Difesa e Nuove Normative, organizzato da MB Circle, momento di confronto dedicato allo scenario della cybersicurezza, alle strategie di difesa e alle implicazioni normative e assicurative.

Come riportato nei comunicati ufficiali di mbcircle.it, nel 2025 gli attacchi in Italia sono aumentati del 53%, con l’80% classificati ad alta severità. A fronte di una spesa nazionale in cybersecurity di circa 2,5 miliardi di euro, i danni complessivi stimati ammontano a 66 miliardi, con una possibile proiezione fino a 160 miliardi in assenza di interventi strutturali. Un divario che evidenzia come la cybersicurezza non possa più essere considerata una funzione tecnica, ma una responsabilità strategica che coinvolge direttamente la direzione aziendale.

Particolare attenzione è stata dedicata alle PMI, oggi tra i bersagli più esposti. È stato ribadito che nessuna organizzazione può considerarsi esclusa e che l’ecosistema criminale è ormai altamente organizzato. Tra le minacce analizzate: data poisoning, esfiltrazione di dati e ransomware basati su intelligenza artificiale, capaci di riscriversi dinamicamente. È stato inoltre evidenziato che il 45% del codice generato da AI presenta vulnerabilità di sicurezza e che le infrastrutture cloud possono essere violate in pochi minuti.

Normative NIS2, assicurazione cyber e governance aziendale

Ampio spazio è stato riservato alle nuove regolamentazioni, tra cui NIS2 e Regolamento Macchine, che impongono un approccio integrato tra security e safety, spostando la responsabilità della cybersicurezza verso l’alta direzione e richiedendo sistemi strutturati di gestione del rischio, Business Impact Analysis e certificazioni di riferimento.

Durante l’incontro è stato ribadito che «La sicurezza informatica è un processo, non un prodotto», sottolineando l’importanza di un approccio continuativo e metodologico. Il tema della sovranità digitale e della dipendenza tecnologica è stato affrontato evidenziando la crescente tendenza alla repatriation dei dati sensibili e all’adozione di modelli ibridi tra cloud pubblico e infrastrutture on-premises.

Il mercato dell’assicurazione cyber rappresenta un ulteriore elemento critico: se il 42% dei dirigenti italiani percepisce il rischio cyber come il più rilevante, solo il 10% delle imprese dispone di una copertura adeguata. È emersa la necessità di un approccio consulenziale e proattivo, capace di affiancare le imprese nella valutazione della propria esposizione e nella costruzione di un piano integrato di prevenzione e trasferimento del rischio.

Le parole dei relatori

Il moderatore Pietro Polidori ha richiamato la necessità di un cambio culturale: «Il mio compito oggi è quello innanzitutto di introdurre un po’ il contesto, che è molto attuale e molto sottovalutato. Pensiamo che un Cyber Attacco possa avvenire solo agli altri, ma ci dimentichiamo che gli altri, per gli altri, siamo noi».

Ha poi aggiunto: «Bisogna avere un piano per prepararsi ed essere protetti, non è che le cose capitano per caso. Dietro ad un piano occorre un metodo per proteggersi costantemente ed essere pronti ad intervenire. Ci vuole quella che chiamo “sana paranoia”» e ha evidenziato il divario tra investimenti e danni: «La cosa preoccupante è il gap. Abbiamo danni che sono quasi 24 volte la spesa che sosteniamo per cercare di difenderci».

Rino Micheloni ha sottolineato: «La protezione cyber deve essere portata giù fino al livello di memorizzazione dei dati, al lato hardware» e ha posto l’accento sulla capacità di rilevare tempestivamente un attacco: «La domanda è: quando ve ne accorgerete? Se ve ne accorgerete».

Edgardo Fantazzini ha ribadito: «L’intelligence non è un acronimo solo di moda ma è un’attività concreta che deve servire a conoscere l’attaccante in anticipo, non ex post», aggiungendo: «Nessuno è escluso, cioè anche le piccole realtà sono bersagli critici per attaccanti di qualsiasi livello».

Valentina Mussi ha evidenziato il ruolo della governance: «Le normative ci dicono che l’alta direzione è direttamente impattata in termini di responsabilità su come definisco la mia strategia di cybersicurezza, la sicurezza informatica è un processo, non un prodotto».

Infine Marco Ghezzi ha osservato: «Noi dovremmo fare un lavoro consulenziale… invece aspettiamo sempre la domanda» e ha aggiunto: «Se io ritengo che questo sia un rischio preponderante che possa mettere a repentaglio l’andamento della mia società, devo fare in modo che questo possa essere evitato!».

L’evento ha visto grande partecipazione, con il Consiglio Direttivo di MB Circle, guidato dal presidente Paolo Pessina, e la presenza di rappresentanti istituzionali tra cui il Presidente del Consiglio di Regione Lombardia Federico Romani e l’Assessore alle Attività Produttive di Monza Carlo Abbà.