I cyber attacchi ormai colpiscono oltre un’azienda italiana su tre. Non stupisce che la spesa delle aziende in cyber security continui a crescere, ora sfiorando i 3 miliardi di euro. Risulta dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, pubblicato ieri.

“Il quadro normativo in sé per sé non è un’arma di difesa in quanto tale”, commenta Gabriele Faggioli, Ceo Partners4Innovation – P4I, “ma deve fornire delle indicazioni”.

Ecco cosa serve veramente per mitigare i rischi e quali sono le cifre in gioco del mercato cyber security nel 2025.

Osservatorio Cybersecurity & Data Protection: i dati

L’indagine dell’Osservatorio afferma che il 34% delle grandi imprese italiane ha subito cyber attacchi, con conseguenze pesanti in termini di costi di ripristino. Inoltre il 3% ha subito ancheimpatti negativi sull’operatività.

Il mercato italiano della cyber security ha archiviato il 2025 a quota 2,78 miliardi di euro in valore, in crescita del 12% rispetto al 2024.

Inoltre ben 7 grandi aziende su dieci hanno pianificato un aumento della spesa cyber nel 2026. Il 57% prevede anche una revisione strutturale dei piani di incident response per il rilevamento, gestione e contenimento dei cyber attacchi.

Attacchi cyber che sono sempre più attacchi alla supply chain e sempre più Ai-dreiven in era di AI generativa e Agenti AI.

Ma, proprio per questo, “serve un quadro univoco senza eccessi burocratici”, spiega Faggioli. Ecco come semplificare.

Come mitigare i rischi semplificando il quadro normativo

L’ecosistema normativo è già molto articolato. Legge n. 90/2024 sulla cybersicurezza nazionale, il recepimento della Direttiva NIS2 tramite D.Lgs. n. 138/2024, il DPCM del 30 aprile 2025 sugli acquisti ICT strategici e la Strategia nazionale di cybersicurezza 2025-2027.

Tutte queste normative “hanno rafforzato l’ecosistema, ma lo hanno anche complicato”, secondo Gabriele Faggioli: “Contemporaneamente è un bene, perché si spinge più aziende ad essere più attente alla tematica (dei rischi cyber, ndr). Tuttavia, dall’altra parte, l’eccesso di regolamentazione rischia di diventare frammentazione normativa, distogliendo investimenti dalla sicurezza cyber applicata: si rischia di perdere in sovrastruttura organizzativa o framework che aggravano le attività delle imprese senza offrire un vantaggio reale“.

In futuro, “servirà razionalizzare le norme e renderle coerenti fra loro. Dall’altra parte sono molto convinto che bisogna ragionare in una chiave di normative che permettono knowledge sharing in economia di scala. Non ha senso che il legislatore chieda a tutte le aziende di fare tutti lo stesse cose, moltiplicando adempimenti che non portano un valore”, secondo Gabriele Faggioli.

Ecco un esempio. “Ti chiedono la mattina di valutare la postura dei fornitori, è giusto farlo. Ma se un fornitore è Microsoft, ed è fornitore di 100mila imprese, sarebbe più semplice se eseguisse l’analisi della postura cyber un ente terzo di certificazione o un’autorità per conto di tutti. Ciò alleggerirebbe le procedure”.

Con fornitori e centinaia di sub-fornitori, gli oneri diventano molto importanti. Dunque, “bene l’apparato normativo, ma ora è tempo di razionalizzazione ed efficientamento”.