Ricerca Insight, carenza significativa di skill cyber » inno3

Sfida decisiva e complessa per le imprese, la cybersecurity vede nella trasformazione digitale e nell’utilizzo delle infrastrutture informatiche, strumenti essenziali per la continuità del business, a fronte – come evidenziano gli analisti – di numeri e sofisticazione degli attacchi informatici in crescita costante. Non si tratta soltanto di difendersi dalle violazioni, ma di garantire resilienza, continuità e capacità di innovare in un contesto di rischio permanente. Negli ultimi anni, il dibattito si è concentrato soprattutto sulla mancanza di talenti: l’assenza di specialisti capaci di coprire ruoli critici nei team di sicurezza.
Una ricerca di Insight Enterprises dimostra che la questione non si limita a un problema di recruiting. È in atto una vera e propria “crisi strategica”: le aziende faticano a integrare la sicurezza nei processi di governance, pianificazione e gestione del rischio, e questo mina direttamente la loro capacità di crescere.

Il survey report Insight On Cybersecurity è stato condotto con Coleman Parkes nei mesi di maggio e giugno 2025 su incarico di Insight che, lo ricordiamo, opera come Solutions Integrator globale (è presente nella classifica Fortune 500) per aiutare le aziende a modernizzare il business e a massimizzare il valore della tecnologia.
Sono stati coinvolti oltre 600 decisori senior responsabili di strategia, investimenti e gestione del rischio tecnologico, operanti in organizzazioni con almeno 500 dipendenti distribuite in tutta l’area Emea. I settori rappresentati includono servizi finanziari, sanità, manufacturing, retail, IT e tecnologia, viaggi e turismo, settore pubblico ed education. Le figure intervistate ricoprono ruoli nelle C-line come Cio, Cto, Ciso, responsabili IT e direttori della trasformazione digitale. L’obiettivo: comprendere l’impatto concreto del divario di competenze in cybersecurity e raccogliere dati su come le imprese stiano reagendo attraverso tecnologie, partnership e nuove strategie di leadership.

Competenze, Italia in seria difficoltà

L’Italia è tra i Paesi più colpiti dal fenomeno. Ben l’84% delle organizzazioni dichiara di registrare una carenza significativa di competenze in cybersecurity, un valore nettamente superiore alla media Emea, che si ferma al 64%. Non si tratta solo di numeri: quasi la metà delle imprese italiane (46%) descrive l’impatto come “grave” o comunque “significativo”. Le conseguenze sono evidenti: per far fronte all’assenza di skill, le aziende scelgono scorciatoie rischiose che compromettono i livelli di sicurezza, affidandosi a soluzioni temporanee e rinviando interventi strutturali. In molti casi si tratta di misure tampone che non affrontano i problemi alla radice e che, come osserva il report, hanno un costo elevato anche in termini di rallentamento dell’innovazione e perdita di competitività. Il divario non riguarda soltanto profili operativi come analisti Soc o specialisti di application security, ma si estende ai livelli manageriali e strategici.

In Italia, il 40% delle aziende segnala carenze in aree chiave come governance, pianificazione e valutazione del rischio. È un dato che trova conferma a livello europeo: nel complesso, il 46% delle imprese Emea individua deficit a livello di competenze strategiche e il 42% nelle skill di compliance.

Questa lacuna a livello ‘dirigenziale’ di fatto rappresenta una delle criticità più pericolose, perché mina la capacità delle aziende di definire priorità, allocare risorse in modo efficace e integrare la sicurezza come fattore abilitante del business. Non a caso Rob O’Connor, Ciso Emea di Insight, osserva che “il modello tradizionale di gestione della cybersecurity completamente interna sta diventando insostenibile. Il panorama è troppo veloce, frammentato e specializzato”.

Problemi e cause

I numeri del report sono eloquenti anche su altri punti di attenzione. L’85% delle aziende intervistate dichiara di subire già oggi impatti rilevanti a causa del divario di competenze. Tra questi: ritardi o rinunce a iniziative di sicurezza (57% delle imprese Emea), difficoltà a rispettare i requisiti normativi e di compliance (57%), maggiore esposizione a violazioni significative. Alcuni settori risultano particolarmente colpiti: il manufacturing, con 9 aziende su 10 che denunciano effetti considerevoli; il turismo, dove l’80% delle imprese ammette un gap critico; e la sanità, che deve affrontare un doppio rischio, tecnologico e regolatorio. Le cause sono sistemiche. Il 68% dei leader IT individua nei costi elevati di assunzione e formazione il principale ostacolo, mentre il 65% lamenta la scarsità di candidati qualificati. Questa combinazione porta molte imprese a una spirale pericolosa: da un lato si riducono gli investimenti in talenti, dall’altro si rinviano progetti strategici, alimentando così il circolo vizioso della vulnerabilità.

Partnership e ruolo Mssp

La ricerca evidenzia come la risposta più immediata delle imprese sia quella di ricorrere a partnership esterne, in particolare agli Mssp (managed security service provider). Tre quarti delle aziende Emea si avvalgono già di questi partner, e il 55% prevede di aumentarne l’uso nei prossimi 12 mesi. L’affidamento a fornitori gestiti non è più solo una scelta tattica, ma sempre più strategica: in media, il 46% delle operazioni di sicurezza viene esternalizzato. Le motivazioni principali sono l’accesso a copertura 24/7 (59%), competenze specialistiche (51%) e capacità extra per colmare lacune interne (49%). Il settore pubblico, in particolare, dichiara di aver tratto benefici significativi: l’89% delle organizzazioni che collaborano con Mssp segnala un rafforzamento della resilienza, il 79% una maggiore visibilità e il 72% progressi sul fronte della compliance.

Accanto al ruolo dei partner, il report sottolinea il ruolo cruciale dell’intelligenza artificiale. L’AI non è vista come sostituto del capitale umano, ma come alleato in grado di aumentare le capacità dei team. Tuttavia, la sua adozione è ancora agli inizi: solo il 20% delle imprese ha integrato pienamente l’AI nei processi di cybersecurity, e appena il 7% ha implementato sistemi di AI autonoma su larga scala. Le potenzialità restano enormi, soprattutto in attività come analisi Soc, monitoraggio e sicurezza applicativa. Ma la fiducia è un ostacolo: solo il 15% dei leader dichiara piena sicurezza nell’affidabilità delle decisioni prese da sistemi di AI autonoma.

Cambio di prospettiva

Il presidente Emea di Insight, Adrian Gregory, sottolinea che “la risposta non è semplicemente assumere più persone o utilizzare più strumenti.

Ciò che serve è un cambiamento fondamentale nel modo in cui le organizzazioni pensano alla sicurezza, passando da una difesa reattiva a una progettazione proattiva”. Secondo Gregory, la nuova leadership deve saper orchestrare la collaborazione tra uomo e macchina, tradurre il rischio tecnico in impatto aziendale e integrare la cybersecurity nei modelli di innovazione.

Il report individua allora tre pilastri per costruire resilienza a lungo termine: persone, partner e piattaforme. Formare leader con competenze strategiche, instaurare partnership profonde e adottare soluzioni integrate potenziate dall’AI sono gli elementi che consentono di passare da un approccio difensivo a una vera capacità proattiva di resilienza. Riprendiamo la sintesi di O’Connor: “la crisi delle competenze potrebbe aver avviato questo dibattito, ma la crisi strategica è ciò che ne definirà l’esito. Le organizzazioni che considerano la sicurezza informatica una disciplina aziendale strategica saranno quelle in grado di fare bene”.

© RIPRODUZIONE RISERVATA