C’è stato un tempo in cui la cybersecurity sembrava un tema da reparto IT. Oggi basta un clic sbagliato per spegnere un’azienda. E quando il bersaglio è la PA o un’impresa, l’impatto diventa economico, sociale, quotidiano. Il professor Pierluigi Paganini analizza il cambio di paradigma.
Qual è l’errore più comune che vede nelle aziende quando affrontano il cyber risk?
«Pensare che sia esclusivamente un problema tecnico. In realtà la cybersecurity è una questione di governo del rischio: conoscere il proprio perimetro, quali processi sono importanti o critici, quali sono i ruoli e le responsabilità al verificarsi di un incidente. Senza il corretto approccio si potrebbe avere una falsa sensazione di sicurezza».
Per una PMI, qual è oggi la minaccia più concreta?
«Le PMI hanno scarsa percezione delle minacce cyber e budget assenti o limitati. Phishing e ransomware si confermano come principali minacce. Gli impatti degli attacchi non sono solo informatici: fermo operativo, perdita di fatturato, potenziali impatti occupazionali, e in alcuni casi compromissione della reputazione».
Quanto pesa il fattore umano rispetto alle difese tecniche?
«Pesa moltissimo. La quasi totalità degli attacchi che hanno successo prende di mira la componente umana. Un’email credibile, una richiesta urgente, un gesto automatico. La sicurezza funziona quando tecnologia, processi e persone sono allineati».
Perché la supply chain è diventata così critica?
«Perché è un moltiplicatore di impatto. Colpire un fornitore strategico o un software diffuso significa raggiungere migliaia di organizzazioni contemporaneamente. Inoltre, si sfrutta il rapporto di fiducia: se il canale è “legittimo”, l’attacco passa inosservato più a lungo».
Quando viene colpita la Pubblica Amministrazione, perché l’effetto si estende subito al sistema economico?
«Perché la PA oggi abilita servizi essenziali. Un blocco amministrativo si traduce rapidamente in ritardi, costi e disservizi per imprese e cittadini. Nei casi estorsivi, il danno collettivo diventa una leva di pressione».
Cosa si intende realmente per «rischio governativo» in ambito cyber?
«È la capacità di un attacco digitale di incidere sulla stabilità di uno Stato. Non riguarda solo il furto di dati, ma anche l’interruzione di servizi essenziali, l’erosione della fiducia nelle istituzioni e la diffusione di una percezione di vulnerabilità. In questo senso, il cyberspazio diventa uno strumento di influenza e di pressione politica, soprattutto nei contesti di tensione geopolitica».
Perché infrastrutture come sanità, energia e trasporti sono bersagli privilegiati?
«Perché trattasi di infrastrutture critiche che rappresentano il cuore del funzionamento di una società. Colpirle significa generare disservizi, caos e forte attenzione mediatica. Nei contesti di guerra ibrida, mentre le istituzioni sono impegnate nella gestione dell’emergenza, gli attori ostili possono portare avanti in parallelo altre attività, come spionaggio, sabotaggio informativo o campagne di disinformazione».
Le normative europee stanno migliorando la sicurezza reale?
«Sono necessarie perché la sicurezza è una catena la cui resilienza è funzione dell’anello più debole. Tuttavia, la normativa da sola non è sufficiente. Per produrre effetti concreti deve tradursi in pratiche operative efficaci, investimenti continui e in una reale diffusione della cultura del rischio a tutti i livelli organizzativi».
Da dove arrivano oggi gli attacchi più frequenti?
«La maggior parte degli attacchi ha origine dal cybercrime, mosso prevalentemente da logiche di profitto. Accanto a queste dinamiche operano forme di attivismo digitale, spesso legate a cause politiche o ideologiche, che mirano soprattutto a visibilità e impatto mediatico».
Cybercrime e attori statuali restano separati?
«La distinzione tra criminali informatici e attori statuali diventa sempre più sfumata. L’attribuzione di un attacco è spesso complessa: le stesse TTP possono essere replicate, condivise o vendute tra gruppi. Questa incertezza aumenta il rischio strategico e limita l’efficacia delle contromisure basate solo sull’identità dell’aggressore. Per questo, la priorità deve essere la resilienza operativa».