Un mercato sotto pressione: la compliance al centro della rivoluzione digitale

Nei giorni scorsi si è tenuto un talk cruciale per comprendere lo stato dell’arte – e soprattutto le reali difficoltà – delle aziende italiane nel fare i conti con le nuove normative in materia di cybersecurity. NIS2 e DORA (nuovo regolamento per la cybersecurity in ambito finance) non sono più nomi, sigle, titoli di nicchia, ma sono di fatto elementi strategici e di business.

Nis 2, regolamento Dora e compliance dunque come leve vitali per il presente e il futuro stesso di migliaia di imprese e, in quanto tali, enormi opportunità di business e relazioni a valore per tutto l’ecosistema di vendita sul territorio che ha e avrà competenze e abilità per guidare le imprese stesse nella giusta direzione. Un talk, contemporaneo, necessario che arriva proprio nei giorni in cui L’Agenzia per la Cybersicurezza Nazionale (ACN) accorda una proroga, al prossimo 31 luglio, per il completamento dell’aggiornamento annuale delle informazioni da parte dei soggetti obbligati NIS2. Una decisione che è di fatto una risposta concreta alle difficoltà manifestate da numerose organizzazioni italiane nell’adeguarsi ai requisiti della direttiva NIS2.

L’incontro ha chiamato a raccolta esponenti di rilievo del settore e manager di grandissima esperienza come Fabrizio De Cataldo (Lutech), Pierguido Iezzi (Maticmind), Diego Barbarani (gway - R1 Group) e Riccardo Vitali (Aruba Business). Un confronto serrato, reale, a tratti acceso, capace però di restituire una fotografia estremamente concreta del mercato italiano della sicurezza informatica. Una fotografia che è anche una preziosissima guida pratica al servizio di tutti coloro che possono, vogliono e devono “giocarsi” la partita della compliance con i propri clienti e con se stessi (non a caso proprio la Nis2 infatti insiste tantissimi sulla sicurezza dell’intera supply chain, di cui fanno parte anche e soprattutto system integrator, reseller, service priovider…).

«Da una parte abbiamo la geopolitica, che rimette in discussione il controllo territoriale del dato. Dall’altra, un’iperproduzione normativa che disorienta. Le aziende vogliono semplicità, ma la normativa cresce a un ritmo frenetico». Questa la breve ma necessaria introduzione al talk.

Un dato significativo? Il cloud in Italia ha registrato nel 2024 una crescita superiore al 20% – superiore persino ai numeri del picco pandemico. Mai come ora c’è bisogno di capire quanto le aziende siano pronte ad affrontare la sfida della compliance. E soprattutto, che ruolo stanno giocando gli attori del canale nel supportarle. Accelerazione del cloud vuol dire accelerazione nell’esternalizzazione di dati, applicazioni, processi critici… supply chain dunque… uno dei focus principali proprio della Nis2. Un focus che le istituzioni europee hanno fortemente voluto proprio per mettere in sicurezza questa progressione straordinaria della servitizzazione dell’ICT.

Lutech: "La compliance non è un adempimento, è una leva"

A inaugurare il giro di opinioni è stato Fabrizio De Cataldo, Head of Advisory Practice di Lutech, che ha subito centrato il tema:

“La compliance è un concetto oggi troppo spesso ridotto a obbligo burocratico. In realtà è una grande opportunità per innovare, per rivedere i propri modelli, per investire in cybersecurity in modo mirato e consapevole”. L’approccio di Lutech è strutturato: prima di tutto mappatura del rischio, gap analysis, business impact analysis, definizione di un piano d’azione. E ancora: valutazione delle tecnologie necessarie, dal privileged access management alla detection & response. “Non può esserci governance senza cyber, e non può esserci cyber senza comprensione del business. Questo è il nodo”. Ma De Cataldo ha anche sottolineato come il mercato sia disorientato:

“Le aziende non sanno da dove cominciare. NIS2, DORA, GDPR, ISO27001… troppe sigle, troppi incroci. Ma è proprio per questo che bisogna iniziare, anche solo per capire il punto di partenza”.

Maticmind: "Non è un problema di consapevolezza. Il nodo è economico"

Più netto e provocatorio l’intervento di Pierguido Iezzi, direttore BU Cyber di Maticmind, che ha voluto ridimensionato l’idea che le aziende siano poco consapevoli:

“Il problema non è la sensibilità o la conoscenza dell’argomento. Oggi tutti sanno cos’è un ransomware, tutti hanno sentito parlare di attacchi. Il problema vero sono i costi. Le aziende fanno calcoli economici, devono restare competitive, non possono sempre permettersi di aumentare i prezzi dei propri prodotti unicamente in nome della compliance. Bilanciare questa equazione è complesso e decisivo”. Iezzi ha puntato il dito contro il mercato “drogato” da consulenti improvvisati: “Ecco che, approfittando di questa domanda per una rapida (ed economica) via d’uscita, chiunque si spaccia per esperto. Anche il cugino che fa siti web ti vende un assessment NIS2. Il risultato? Le aziende puntano al bollino, non alla sostanza”.

Ma non sono solo parole. Maticmind ha investito in soluzioni concrete, come l’adozione del digital twin, un modello virtuale dell’infrastruttura IT dell’azienda:

“Con il digital twin puoi testare attacchi, vulnerabilità, scenari di crisi in ambienti simulati. È l’unico modo per stare al passo con il ritmo con cui oggi si moltiplicano le vulnerabilità. Non puoi aggiornare tutto ogni giorno sul sistema reale”.

Il tema della velocità è centrale. “Se prima gli attori malevoli ci mettevano due settimane ad attivare un payload, oggi siamo sotto l’ora. La NIS2 introduce il concetto di resilienza – cioè la capacità di ripartire subito, non solo di resistere. E per farlo servono schemi, playbook, esercitazioni continue. Non ci si può più improvvisare”.

Aruba Business: "Il canale evolve, ma deve essere accompagnato con attenzione"

Riccardo Vitali, Manager Inside Sales di Aruba Business, ha portato la voce dei provider cloud che, in questa fase, tra nuove attenzioni verso la territorialità del dato e geopolitica stanno affrontando un mercato in fibrillazione continua: “Per noi il tema compliance è fondamentale. Non possiamo permetterci incertezze, né dal punto di vista tecnico, né d’immagine. Abbiamo data center italiani, proprietà italiana: sono scelte strategiche che oggi fanno la differenza”. Aruba, però, lavora molto con il canale. E lì emergono ancora lacune importanti:

“C’è un pezzo di mercato che ci chiede non solo supporto, ma di erogare i servizi al posto loro. In pratica ci chiedono di essere il loro SOC. Questo perché la cultura non è ancora sufficiente, e nemmeno le competenze”. Secondo Vitali, la consapevolezza del rischio c’è, ma non c’è piena coscienza delle conseguenze: “Sanno che c’è pericolo, ma non sanno cosa succede quando davvero qualcosa va storto. E quando succede, è troppo tardi”. Ha poi confermato un trend significativo: la “repatriation” verso un cloud europeo… e italiano.

“Sempre più aziende stanno tornando verso provider locali, o europei. C’è una domanda di prossimità, di controllo, di garanzie sulla territorialità dei dati. Lo vediamo ogni giorno”.

R1 GROUP: "Non è un percorso semplice. Ma è necessario"

Diego Barbarani, CEO di gway (R1 Group), ha portato una testimonianza diretta del lavoro fatto internamente: “Abbiamo costruito un framework di compliance per tutti i fornitori del nostro ecosistema. Questionari, audit, interviste… e anche tante sorprese: aziende con certificazioni ISO prese in India, senza alcun valore operativo. È un lavoro lungo, ma necessario”. R1 gestisce un giro d’affari da 15 milioni l’anno solo sulla compliance. Ma, come ha detto Barbarani, “non basta vendere un servizio: bisogna aiutare il cliente a capire che la compliance non è un foglio da firmare. È un processo continuo”.

Ha poi aggiunto:

“Le aziende chiedono di certificarsi in 4 mesi per partecipare a gare pubbliche. Ma è un’illusione. Serve tempo, visione, cultura. E purtroppo manca ancora una piena maturità, soprattutto nelle realtà padronali o più piccole”. Barbarani ha anche evidenziato un problema: “I bandi richiedono sempre più spesso cloud europei. Ma se domani volessimo davvero fare tutto in Europa, non avremmo l’infrastruttura per sostenerlo. Manca capacità, energia, scalabilità. In un simile scenario proprio il ruolo di orchestratori di ambienti multicloud sicuri, continui, ordinati che come system integrator e provider dobbiamo esercitare diventa cruciale. Ma per farlo non ci si può improvvisare, servono competenze, spalle larghe, strategie chiare”.

PMI, enterprise e PA: un’Italia a tre velocità

Dal dibattito è emersa una tripartizione netta del mercato: Le grandi aziende, dove la compliance è un must; le medie, dove la sensibilità cresce ma resta discontinua; le piccole, dove spesso manca un CIO, un CISO, un piano di business continuity.

Vitali ha sintetizzato: “Il grande è servito. Il medio grande si sta attrezzando. Il piccolo è in ritardo: la cultura arriva, ma lentamente”. E Iezzi ha chiuso il cerchio: “Il problema non è che non vogliono. Il problema è che devono scegliere tra mettere a norma l’infrastruttura o pagare lo stipendio a un dipendente. E scelgono la seconda”.

Il ruolo dell’ACN e le contraddizioni della sovranità digitale

In uno scenario così delicato il tema del ruolo dell’ ACN è stato affrontato con rispetto, ma anche realismo e grande attenzione.

“L’ACN ha un ruolo di coordinamento, non di intervento. Ha risorse limitate, e sta facendo molto sul piano della formazione e della sensibilizzazione”, ha sottolineato Iezzi. E sul tema della sovranità digitale, i toni si sono fatti più strategici: “Non possiamo competere con gli hyperscaler sullo stesso campo. Ma possiamo investire su tecnologie di frontiera. Possiamo diventare il porto dei dati d’Europa”, ha dichiarato con forza.

La compliance come specchio del cambiamento

Il talk si è chiuso con un messaggio chiaro e condiviso: la compliance è una tappa obbligata della trasformazione digitale, ma non può essere gestita come un semplice adempimento. È cultura, governance, strategia. “La compliance – ha detto Fabrizio De Cataldo – è una mappa per fare innovazione. Ma bisogna avere il coraggio di iniziare, anche in mezzo all’incertezza”. “Il vero rischio – ha concluso Riccardo Vitali – non è fare troppo. È non fare nulla. E pensare che basti un bollino”.