Dicembre 10, 2025
All’inizio di novembre è successo qualcosa che fino a poco tempo fa sembrava solo un’ipotesi teorica. Anthropic ha reso pubblico un report che ha fatto riflettere […]
Negli ultimi anni il tema del Cyber Risk sta subendo continue trasformazioni in termini di normative, tecnologie e approcci metodologici.
Questa trasformazione viene spesso affrontata costruendo modelli sempre più ordinati e coerenti, framework di riferimento, policy ben definite e procedure pensate per coprire ogni scenario. Ciò ha aiutato le organizzazioni a dare struttura a un dominio complesso, un passaggio necessario che in molti casi ha funzionato.
Oggi però emerge un limite importante in questi modelli, che raccontano soltanto come il rischio dovrebbe essere gestito in condizioni stabili, quando il contesto è prevedibile e il tempo non è un fattore critico. Nella realtà operativa, tuttavia, le cose raramente vanno così; gli alert possono arrivare quando i servizi hanno già smesso di funzionare, l’incidente è già in corso e le minacce hanno già avuto il loro impatto.
In momenti del genere il la gestione del Cyber Risk diventa una sequenza di decisioni da prendere in fretta, spesso con informazioni incomplete e margini di manovra limitati. Diventa quindi fondamentale la capacità dell’organizzazione di orientarsi in uno scenario cambia, dove le priorità si spostano repentinamente e qualcuno deve assumersi la responsabilità di scegliere per primo cosa fare e come farlo.
Le cinque domande che seguono si inseriscono in questa lettura e offrono una chiave di lettura per osservare il rischio mentre prende forma nelle attività quotidiane dell’organizzazione, tra decisioni operative e responsabilità concrete.
Quasi tutte le aziende sanno elencare i propri asset. Molte sanno anche classificarli per criticità. Il problema emerge quando si passa dal piano teorico a quello operativo. Un asset può essere classificato come critico perché lo era in passato, oppure perché lo è “per definizione”, ma può aver perso parte del suo peso reale nel tempo. Al contrario, un asset marginale può diventare centrale per il modo in cui è connesso ad altri sistemi o processi.
La criticità di un asset emerge spesso in modo graduale, seguendo l’evoluzione del contesto operativo. Sistemi pensati come marginali assumono nel tempo un ruolo centrale, sostenendo funzioni che diventano essenziali senza che questo cambiamento venga sempre riconosciuto.
Molti incidenti nascono in aree considerate secondarie, dove nel tempo l’attenzione si è spostata altrove. In questi contesti il rischio tende a crescere in modo poco visibile, senza segnali immediati. L’inventario rimane una base indispensabile, ma la reale criticità di un asset emerge dal modo in cui è inserito nel contesto operativo e dalle relazioni che sviluppa, più che dall’etichetta assegnata in una fase iniziale. Perché un asset diventa critico per come è inserito nel sistema, non per come è classificato in un documento.
Questa è, forse, la domanda più sottovalutata nel Cyber Risk Management tradizionale. Per anni l’attenzione si è concentrata soprattutto sui punti di ingresso: dove può entrare un attaccante, quale vulnerabilità può essere sfruttata, quale sistema è più esposto. Tutte domande legittime, ma parziali.
Nel contesto attuale, il vero rischio non è tanto dove una minaccia entra, quanto fin dove può arrivare. Le infrastrutture moderne sono fatte di relazioni, comunicazioni di rete, dipendenze applicative e integrazioni tra sistemi che, singolarmente, funzionano correttamente. È lungo queste relazioni che si muove e si propaga il rischio.
La visione a silos fatica a intercettare questo fenomeno. Analizzare un sistema alla volta restituisce una percezione di controllo che spesso è illusoria. Una minaccia raramente resta confinata all’asset iniziale. Si propaga sfruttando ciò che l’infrastruttura consente di fare, non ciò che è teoricamente previsto.
Capire la propagazione significa osservare il rischio come un fenomeno dinamico, che attraversa il sistema seguendo percorsi spesso non documentati. Significa chiedersi non solo “cosa succede se questo asset viene compromesso”, ma “quali altri asset e processi vengono coinvolti a cascata”. In questo senso, il rischio va analizzato dall’insieme delle relazioni che lo rendono sfruttabile. È qui che molte organizzazioni si rendono conto di non conoscere il modo in cui i propri asset interagiscono tra loro.
Un altro punto critico riguarda il modo in cui il rischio viene raccontato all’interno dell’organizzazione. Le metriche tecniche non mancano: vulnerabilità, score, livelli di severità vengono prodotti con grande precisione. Più difficile è trasformarli in informazioni che aiutino davvero chi deve prendere decisioni. Spesso restano confinati in un linguaggio specialistico, corretto dal punto di vista tecnico ma poco utilizzabile fuori da quel perimetro.
Il rischio inizia a diventare rilevante quando viene letto nel suo effetto sul funzionamento quotidiano dell’organizzazione. È nel momento in cui tocca servizi, processi e responsabilità che smette di restare confinato a una valutazione tecnica e inizia a entrare nelle discussioni che guidano le scelte. Quando il rischio non è leggibile in questi termini, fatica a diventare oggetto di confronto a livello direzionale. Rimane qualcosa da presidiare, da monitorare, ma difficilmente orienta scelte consapevoli. La discussione si ferma prima di arrivare alle decisioni.
Questo tipo di lettura nasce da un approccio diverso, più orientato a comprendere come il rischio si muove nel tempo e quali effetti può produrre. L’attenzione si sposta sulla ricostruzione del quadro in cui il rischio si inserisce, sulle possibili evoluzioni e sulla capacità di rendere visibili le conseguenze e le scelte che ne derivano.
Un rischio che non genera decisioni resta un dato tecnico, anche se è corretto.
Uno degli equivoci più comuni è pensare al rischio come a qualcosa che cambia solo in presenza di un attacco. In realtà, il rischio evolve ogni volta che evolve l’infrastruttura, anche interventi ordinari, integrazioni progressive o nuove relazioni operative possono alterare l’esposizione complessiva senza generare segnali immediati.
Molti modelli di rischio descrivono correttamente la situazione nel momento in cui vengono costruiti, ma faticano a restare allineati nel tempo. Con il passare dei mesi, mentre l’infrastruttura evolve, quella rappresentazione perde progressivamente aderenza alla realtà operativa. Il punto non è la qualità dell’assessment, quanto la fiducia che continua a essere riposta in un quadro che non viene più rivisto.
Governare il Cyber Risk richiede la capacità di leggere l’evoluzione dell’infrastruttura e comprenderne l’impatto sul rischio, anche quando il cambiamento avviene in modo silenzioso.
Un incidente reale è il momento in cui emergono tutte le fragilità di un’organizzazione, molto spesso i ruoli formalmente definiti si sovrappongono, le responsabilità diventano poco chiare e il tempo per intervenire si riduce drasticamente. È qui che il Cyber Risk Management viene messo alla prova nella sua dimensione più concreta.
La direttiva NIS2 rende questo aspetto ancora più esplicito introducendo la figura del Referente CSIRT. Non come semplice punto di contatto, ma come snodo operativo nella gestione degli incidenti. Una figura che deve coordinare, comunicare, prendere decisioni o supportarle in un contesto di pressione elevata.
Il valore concreto del Referente CSIRT consiste soprattutto nella chiarezza del suo ruolo e nelle sue effettive competenze. Deve sapere bene cosa può decidere in autonomia, quando deve fare escalation, quali informazioni deve raccogliere e come deve comunicarle.
La capacità di un team di cyber risk emerge davvero quando qualcuno deve decidere cosa fare in fretta e con informazioni incomplete, assumendosi responsabilità reali. Se questo momento non è governato, tutto ciò che è stato costruito prima perde gran parte del suo valore.
Le cinque domande qui presentate servono a misurare la maturità reale di un’azienda in termini di capacità e organizzazione degli interventi. Raccontano se il Cyber Risk Management è una disciplina viva, capace di adattarsi, o se è rimasto un esercizio formale.
Nel 2026 il Cyber Risk sarà sempre meno un tema di adempimento e sempre più un reale test operativo per misurare il valore di un’organizzazione. Non conterà solo cosa è stato dichiarato, ma a cosa un’organizzazione saprà rispondere quando il contesto lo richiederà davvero.
Perché governare il rischio, oggi, significa soprattutto essere pronti a decidere in maniera concreta e consapevole.
In questo scenario si inserisce ESRA, come supporto operativo per chi si occupa di Cyber Risk Management. ESRA consente di osservare il rischio nel contesto reale dell’infrastruttura, seguendo l’evoluzione degli asset, delle relazioni e delle dipendenze che ne determinano l’esposizione.
Attraverso una lettura continua e contestuale, ESRA aiuta a comprendere cosa è davvero critico oggi, come una minaccia può propagarsi e in che modo i cambiamenti tecnici modificano il profilo di rischio. Consente di rendere il rischio leggibile e governabile nel contesto operativo reale.
In un contesto in cui il Cyber Risk è sempre più una questione di decisioni e responsabilità, ESRA supporta chi deve orientarsi, valutare scenari e scegliere come intervenire.
ai.esra SpA – strada del Lionetto 6 Torino, Italia, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590 CF e PI 13107650015
“Questo sito si impegna a garantire l’accessibilità digitale secondo la normativa europea (EAA). Per segnalare problemi di accessibilità, scrivi a: ai.esra@ai-esra.com”
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590
CF e PI 13107650015
© 2024 Esra – Tutti i diritti riservati
