Cyber security nelle Pmi: nel 2025 navigano ancora a vista, servono più investimenti

L’indagine di CrowdStrike sullo stato nel 2025 della cyber security nelle Pmi fotografa una più elevata awareness, ma ancora uno scarso livello di protezione. Un ossimoro: più consapevolezza dovrebbe corrispondere a più investimenti, e non l’opposto.

“Il report 2025 di CrowdStrike evidenzia una crescente consapevolezza delle PMI italiane riguardo ai rischi informatici, ma anche una persistente vulnerabilità dovuta a investimenti insufficienti in tecnologie avanzate”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.

In particolare l’indagine “fotografa con brutale lucidità un paradosso ormai cronico del tessuto imprenditoriale italiano (e non solo)”, conferma Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0: è come se le piccole e medie aziende ammettessero che “sappiamo che il tetto perde, ma ci limitiamo a mettere una bacinella sotto la goccia. Affrontare le minacce di oggi pensando che basti un antivirus e un firewall, è come combattere la Terza guerra mondiale con fucili e baionette: un suicidio tecnologico annunciato”.

Ecco come correre ai ripari.

Lo stato della cyber security nelle Pmi nel 2025

Sebbene oltre nove Pmi su 10 esprimano consapevolezza dei cyber rischi e l’83% abbia già attuato un piano, scarseggiano gli investimenti in tecnologie evolute. Significa che è alta l’esposizione delle organizzazioni ai rischi.

“Nonostante il 93% delle PMI sia consapevole dei rischi e l’83% abbia implementato un piano di cybersecurity, solo il 36% investe in nuovi strumenti e appena l’11% adotta soluzioni basate sull’intelligenza artificiale”, precisa Paganini.

Tra le microimprese (con meno di 50 dipendenti) si registrano maggiori difficoltà: soltanto il 47% vanta un piano di sicurezza IT ed oltre la metà dedica alla cyber security una quota inferiore all’1% della propria spesa annuale.

“La consapevolezza c’è, ma resta sterile senza investimenti, competenze e strategia”, mette in guardia Sandro Sana.

Il costo orienta le decisioni, ma a volte con scarsa efficacia. Il 67% delle Pmi, infatti, mette al primo posto il risparmio economico quando si scelgono soluzioni di sicurezza. Invece, appena il 57% ha come priorità la protezione da minacce evolute. Soltanto il 6,5% crede che sia sufficiente il budget di cui dispone per la cyber security.

“Personalmente nutro forti dubbi anche sulla disponibilità e l’efficacia dei piano di cyber security redatti dalla maggioranza delle piccole e medie imprese”, evidenzia Paganini: “Queste statistiche non lasciano presagire nulla di buono e andrebbero investigati i reali motivi dei mancati investimenti a fronte di una conclamata consapevolezza“.

Ricche di opzioni ma senza una reale strategia, il 50% delle Pmi denuncia un information overload a causa del numero di tool presenti sul mercato.Sfiora il 70% chi si avvale di consulenti esterni per guidare le proprie scelte di acquisto.

Il rischio ransomware sale fra le microimprese

“Le Pmi continuano a navigare a vista, soffocate da un’offerta tecnologica frammentata e spesso inaccessibile per costi, linguaggio o complessità. Se poi il 67% delle aziende sceglie le soluzioni in base alla convenienza economica e non all’efficacia, c’è poco da stupirsi se il ransomware trova terreno fertile, specialmente tra le microimprese, dove meno della metà ha un piano di sicurezza strutturato”, avverte Sandro Sana.

Infatti, tra le Pmi sotto i 25 dipendenti che hanno affrontato un cyber attacco negli ultimi dodici mesi, il 29% ha subito un incidente di tipo ransomware, contro il 19% delle Pmi di dimensioni più grandi.

“Questa situazione – continua Paganini – è particolarmente preoccupante considerando che l’Italia ha subito il 10% degli attacchi informatici globali nel 2024“, pur rappresentando solo l’1% del PIL mondiale.

“Occorre tener presente la struttura dell’ecosistema produttivo nazionale, composto per buona parte proprio da Pmi. Tuttavia proprio le Pmi, spesso con risorse limitate, sono bersagli ideali per i cybercriminali”, mette in guardia Paganini: “Ciò significa, considerando la presenza delle PMI nelle supply chain di aziende nazionali di rilievo, che ci si confronta con rischi enormi per la tenuta economica del Paese”.

Come mitigare i rischi cyber security nelle Pmi

L’implementazione della security che si basa sull’AI rappresenta un’opportunità di crescita. Soltanto l’11% delle Pmi che sfrutta soluzioni di sicurezza basate sull’intelligenza artificiale.

“CrowdStrike evidenzia correttamente che l’AI rappresenta un’opportunità, ma l’adozione è ancora ai margini. Colpa anche di una comunicazione spesso più orientata alla vendita che alla vera comprensione del rischio.

Servono soluzioni sì efficaci e scalabili, ma soprattutto accompagnate da cultura, formazione e supporto reale. Altrimenti, continueremo a inseguire l’attacco successivo con la stessa sorpresa di chi vede piovere e non ha comprato l’ombrello”, sottolinea Sandro Sana.

Infatti, la maggior parte degli investimenti in AI è ancora agli esordi. Le imprese che puntano a crescere possono proteggersi con strumenti caratterizzati da scalabilità, automatizzazione e in grado di tagliare costi operativi e complessità.

“Molte sanno di aver bisogno di una protezione più solida, ma sono frenate da mancanza di tempo, risorse e competenze. Servono soluzioni efficaci ed accessibili, che non aggiungano però complessità – per trasformare la consapevolezza in azioni concrete”, conclude Lisa Campbell, vice president of Smb di CrowdStrike.

“È essenziale che le Pmi considerino la cyber security non come un costo, ma come un investimento strategico per la loro sopravvivenza e crescita.

Urge una maggiore collaborazione tra settore pubblico e privato, come promossa dall’Agenzia per la Cybersicurezza Nazionale (ACN), fondamentale per aumentare la resilienza delle Pmi italiane di fronte alle minacce digitali”, avverte Paganini.