La cybersecurity delle PMI ha superato il punto in cui poteva essere trattata come un problema tecnico da affidare al reparto IT perché il mondo intorno alle imprese è cambiato più velocemente del previsto
La nuova ricerca globale di WatchGuard fotografa questo passaggio : il 91% delle organizzazioni intervistate è preoccupato per gli attacchi informatici basati sull’intelligenza artificiale, il 75% ha subito almeno un incidente cyber nell’ultimo anno, il 54% dichiara di non avere la capacità di garantire monitoraggio e risposta 24 ore su 24, 7 giorni su 7, mentre il 67% ha bisogno di ulteriore supporto per rispondere ai crescenti obblighi di conformità normativa. La ricerca è stata condotta su 842 professionisti IT e cybersecurity in organizzazioni tra 2 e 2.499 dipendenti, quindi proprio dentro quel tessuto di piccole e medie imprese che costituisce l’ossatura produttiva di molti Paesi, Italia compresa.
Il dato più interessante, però, non è soltanto la paura dell’AI. Sarebbe troppo facile fermarsi lì, nella rappresentazione dell’intelligenza artificiale come nuovo mostro digitale capace di scrivere email di phishing perfette, creare malware più rapidamente, automatizzare la ricerca di vulnerabilità e imitare voci, identità, relazioni. La vera notizia è un’altra: le PMI stanno scoprendo che la cybersecurity non è più un prodotto da comprare, ma una capacità da mantenere viva.
Indice dei contenuti
Per anni molte aziende hanno costruito la propria sicurezza informatica come si costruiva un impianto elettrico in un vecchio capannone: qualche componente robusto, qualche protezione nei punti più esposti, un tecnico fidato, un fornitore chiamato quando qualcosa si rompeva. Firewall, antivirus, backup, qualche policy, magari una piattaforma EDR nei casi più maturi. Il modello funzionava finché gli attacchi avevano tempi compatibili con la reazione umana e finché la complessità dell’ambiente digitale restava sotto controllo. Oggi quel mondo non esiste più.
Gli attaccanti non aspettano l’orario d’ufficio. Non rispettano ferie, weekend, ponti, fusi orari. Non entrano più soltanto dalla porta principale della rete aziendale, ma dalla supply chain, dagli account cloud, dalle credenziali rubate, dalle vulnerabilità non corrette, dai sistemi esposti, dalle API, dai dispositivi remoti, dalle identità digitali che ormai sono diventate la vera superficie d’attacco dell’impresa.
WatchGuard sintetizza il problema con una frase del CEO Joe Smolarski che coglie bene il punto: non si tratta più di un gap di competenze, ma di capacità operativa. Le organizzazioni capiscono i rischi, ma non hanno la struttura per monitorare, rilevare e rispondere alla velocità richiesta oggi.
Questa distinzione è decisiva. Perché se il problema fosse solo la competenza, basterebbe formare meglio le persone. Se fosse solo la tecnologia, basterebbe acquistare nuovi strumenti. Se fosse solo la consapevolezza, basterebbe fare cultura. Invece il punto è più profondo: una PMI può anche avere buoni professionisti, strumenti adeguati e una direzione consapevole, ma non può trasformarsi da sola in un Security Operations Center permanente, capace di analizzare segnali, correlare eventi, contenere attacchi, gestire incidenti, documentare la compliance, aggiornare policy, interpretare minacce e garantire continuità operativa.
La cybersecurity è diventata una funzione industriale continua. Non un progetto. Non una campagna. Non un acquisto annuale. Una capacità sempre accesa.
È lo stesso passaggio che abbiamo raccontato parlando della transizione dalla cybersecurity reattiva alla gestione del rischio, perché il punto non è più aspettare che l’attacco arrivi, ma capire quali parti dell’organizzazione sono davvero esposte, quali sistemi sono critici, quali vulnerabilità hanno un impatto di business e quali interventi riducono realmente la probabilità che un incidente diventi crisi.
L’intelligenza artificiale non introduce soltanto nuovi strumenti nelle mani degli attaccanti. Introduce una nuova velocità. Questo è l’aspetto più sottovalutato.
L’AI rende più economica la personalizzazione degli attacchi, più credibili le comunicazioni fraudolente, più rapida la scrittura di codice malevolo, più ampia la scansione delle vulnerabilità, più scalabile la manipolazione psicologica. Ma, soprattutto, riduce la distanza tra intenzione e azione. Dove prima servivano tempo, competenze e lavoro manuale, oggi possono intervenire automazione, modelli generativi, agenti software e catene di attacco sempre più efficienti.
Non siamo più nel campo della fantascienza cyber. Abbiamo già visto come il malware possa diventare più veloce da scrivere, più usa e getta, più difficile da riconoscere, come raccontato nell’analisi su Sloply e il malware agentico. Il problema non è soltanto che il codice malevolo diventi più sofisticato. Il problema è che diventa più rapido, più economico, più replicabile, quindi più adatto a colpire anche aziende che fino a ieri si consideravano fuori dal radar.
Il Rapporto Clusit 2026 conferma che il contesto generale è già entrato in una fase di accelerazione. Nel 2025 sono stati registrati 5.265 incidenti cyber noti a livello globale, contro i 3.541 del 2024, con un incremento del 48,7%, il più alto mai rilevato. La media mensile è passata dai 171 incidenti del 2021 ai 439 del 2025. In cinque anni, il salto non è più una crescita lineare: è un cambio di scala.
Non aumenta soltanto il numero degli incidenti. Aumenta la loro gravità. Clusit introduce nel rapporto 2026 una nuova categoria di severità, “Extreme”, per rappresentare quegli incidenti che non sono semplicemente gravi, ma sistemici, capaci di produrre effetti particolarmente ampi e devastanti. Nel 2025, gli incidenti “High” crescono del 66% rispetto all’anno precedente e rappresentano il 55% del totale; gli incidenti “Critical” crescono del 46%, mentre la somma di “Critical” ed “Extreme” arriva a circa un terzo del campione.
Questo dato dovrebbe essere letto dalle PMI con grande attenzione. Non perché tutte le piccole imprese siano destinate a subire attacchi “Extreme”, ma perché il sistema in cui operano è diventato più instabile, più interconnesso, più fragile. Una piccola azienda può essere colpita direttamente, ma può anche essere coinvolta come fornitore, come nodo di una filiera, come accesso laterale verso un cliente più grande, come custode inconsapevole di dati, credenziali, procedure o servizi digitali. Nell’economia digitale, nessuna impresa è piccola quanto crede.
Il dato italiano rende il quadro ancora più concreto. Secondo Clusit, tra il 2021 e il 2025 sono stati censiti 1.432 incidenti noti di particolare gravità che hanno preso di mira realtà italiane. Di questi, 507, circa il 35% del totale, sono avvenuti nel solo 2025. L’aumento rispetto al 2024 è del 42%, poco sotto il tasso globale, ma abbastanza alto da confermare che l’Italia non è una periferia tranquilla del rischio cyber.
Questo è il punto che spesso manca nel dibattito sulle PMI. In Italia si tende ancora a pensare alla cybersecurity come a un problema delle grandi banche, della pubblica amministrazione, della sanità, delle infrastrutture critiche, dei grandi gruppi industriali. Ma un’economia fatta di filiere, distretti, terzisti, professionisti, studi tecnici, aziende manifatturiere, fornitori di servizi e piccole realtà innovative non può permettersi questa illusione.
La PMI non è più fuori dal perimetro dell’attacco. È dentro il perimetro esteso dell’economia digitale.
Lo si era già visto nella lettura della Relazione ACN 2024 sull’Italia sotto attacco cyber, dove emergeva un Paese esposto a ransomware, DDoS, minacce contro settori strategici e aumento degli incidenti confermati. La traiettoria, oggi, appare ancora più chiara: non siamo davanti a una serie di emergenze isolate, ma a un ambiente operativo in cui la sicurezza informatica diventa una condizione permanente della competitività.
Clusit rileva anche che il cybercrime resta la motivazione dominante a livello globale, responsabile di quasi 9 incidenti su 10 nel 2025, con una crescita del 55% rispetto all’anno precedente. Le campagne contro “Multiple Targets”, cioè bersagli multipli e trasversali, sono al primo posto tra le categorie di vittime e crescono del 96%. Questo significa che gli attaccanti non cercano sempre il bersaglio più famoso, ma spesso quello più raggiungibile, più debole, più esposto, più utile per monetizzare rapidamente o per entrare in una catena più ampia.
Per una PMI, questa è la fine della credenza: “Non siamo abbastanza interessanti per essere attaccati”. Nell’era dell’automazione, non serve essere interessanti. Basta essere raggiungibili.
È qui che entra in gioco il cambio di modello descritto da WatchGuard. Quasi la metà delle organizzazioni intervistate, il 48%, si affida già ai Managed Service Provider per integrare i team interni. Non più come semplice aiuto esterno, non più come “fornitore da chiamare quando serve”, ma come partner continuativo di sicurezza.
Questa trasformazione è importante perché sposta la cybersecurity da un modello reattivo a un modello operativo. L’MSP, quando evolve davvero verso la sicurezza gestita, non vende soltanto licenze o manutenzione. Diventa un presidio. Porta capacità di monitoraggio, competenze distribuite, strumenti integrati, procedure, esperienza maturata su più clienti, conoscenza delle minacce e capacità di risposta.
Il punto non è esternalizzare la responsabilità. La responsabilità resta dell’impresa. Il punto è esternalizzare una parte della capacità operativa che l’impresa, da sola, non può realisticamente sostenere.
Questo passaggio ricorda ciò che è accaduto con altre infrastrutture aziendali. Nessuna PMI costruisce da sola una centrale elettrica per alimentare i propri uffici. Nessuna PMI gestisce internamente tutta la rete telefonica globale. Nessuna PMI si aspetta di produrre in autonomia ogni componente della propria logistica. La cybersecurity, per molto tempo, è stata trattata invece come un mestiere artigianale interno, fatto di strumenti, interventi e competenze puntuali.
Ma quando il rischio diventa continuo, anche la difesa deve diventare continua.
Un altro dato della survey WatchGuard segnala un cambiamento culturale profondo: il 44% delle organizzazioni è disposto a spendere di più per soluzioni di rilevamento e risposta basate sull’intelligenza artificiale. Questo non indica soltanto fiducia nell’AI difensiva, ma una domanda crescente di risultati misurabili. Le metriche tradizionali, come uptime e qualità del servizio, lasciano spazio a criteri più concreti: rilevamento più rapido, risposta più veloce, prevenzione proattiva, riduzione della complessità, resilienza complessiva.
È una svolta importante. Per anni molte imprese hanno valutato la cybersecurity in modo quasi assicurativo: ho comprato qualcosa, quindi mi sento protetto. Oggi questa logica non regge più. La domanda non è “quale prodotto abbiamo installato?”, ma “quanto tempo impieghiamo ad accorgerci di un attacco?”, “quanto velocemente riusciamo a contenerlo?”, “quali sistemi vengono isolati?”, “quali dati sono a rischio?”, “quali procedure scattano?”, “chi decide?”, “come documentiamo l’incidente?”, “quanto tempo serve per tornare operativi?”.
Da qui nasce anche la crescita della spesa. Il 75% delle organizzazioni intervistate da WatchGuard prevede di aumentare il budget cybersecurity nei prossimi due anni, concentrandosi su servizi in grado di garantire protezione continua e risultati chiari.
La cybersecurity sta diventando una voce strutturale dell’impresa, come l’energia, la connettività, il personale, la logistica, il cloud. Non un costo eccezionale, ma una condizione ordinaria di funzionamento.
Anche il report Yarix 2025 sull’assedio permanente alla sicurezza andava nella stessa direzione: ransomware, hacktivismo e AI non sono fenomeni separati, ma pezzi di un’unica pressione continua sulle imprese. Il fatto che la minaccia sia permanente obbliga la difesa a diventare permanente. Non si combatte una pioggia incessante con un ombrello aperto ogni sei mesi.
Il Rapporto Clusit aiuta a capire perché la difesa “a strati”, ma non presidiata, non basta più. Nel 2025, tra le tecniche di attacco, il malware resta una delle principali minacce, ma crescono in modo significativo anche lo sfruttamento delle vulnerabilità e il phishing/social engineering. Le vulnerabilità registrano una crescita del 65%, mentre phishing e social engineering crescono del 75%, un dato coerente con l’uso dell’AI per rendere più efficaci le operazioni di ingegneria sociale.
Questa è la fotografia di una doppia debolezza. Da una parte c’è la debolezza tecnica, fatta di patch non applicate, sistemi esposti, configurazioni errate, software legacy, infrastrutture cresciute per accumulo. Dall’altra c’è la debolezza umana, fatta di email sempre più credibili, richieste apparentemente legittime, identità imitate, contesti ricostruiti con precisione.
L’AI unisce questi due piani. Può aiutare a cercare vulnerabilità, ma può anche rendere più persuasiva la trappola. Può automatizzare la parte tecnica dell’attacco, ma può anche raffinare quella psicologica. La vecchia distinzione tra attacco informatico e truffa umana diventa sempre più sfumata.
Per questo una PMI non può difendersi solo aggiungendo strumenti. Deve costruire un modello di resilienza che tenga insieme tecnologia, processi, persone e partner.
Il tema è particolarmente importante perché molte imprese italiane continuano a vivere in una zona grigia: abbastanza digitalizzate da essere esposte, non abbastanza strutturate da difendersi con continuità. Hanno cloud, gestionali, posta elettronica, CRM, e-commerce, accessi remoti, dispositivi mobili, fornitori collegati, ma spesso non hanno un modello unitario di rilevamento, risposta e governo del rischio.
La superficie d’attacco cresce in silenzio. L’organizzazione se ne accorge solo quando qualcosa si rompe.
Il 67% delle organizzazioni intervistate da WatchGuard dichiara di avere bisogno di ulteriore supporto per soddisfare i crescenti requisiti di conformità normativa. Questo dato è particolarmente rilevante in Europa, dove NIS2, DORA per il mondo finanziario, il GDPR e le nuove responsabilità lungo la supply chain stanno trasformando la cybersecurity in un tema di governance.
La compliance non è più un faldone da preparare quando arriva un audit. Diventa una disciplina operativa. Richiede evidenze, tracciabilità, procedure, responsabilità definite, valutazione dei fornitori, gestione degli incidenti, capacità di notifica, piani di continuità.
A questa pressione si aggiunge anche il fronte dell’intelligenza artificiale. Come abbiamo scritto nell’approfondimento su AI Act e sanzioni dal 2 agosto 2026, le aziende non possono più separare innovazione, rischio, compliance e sicurezza. Ogni sistema AI in produzione introduce responsabilità nuove: sui dati, sui processi, sulle decisioni automatizzate, sulla documentazione, sui controlli e sulla supervisione umana.
Per una PMI, tutto questo può sembrare un peso. In realtà è anche un’occasione per uscire dalla cybersecurity improvvisata. La norma, quando viene letta nel modo giusto, non è solo un obbligo. È una grammatica. Aiuta a dare forma a ciò che altrimenti resterebbe disperso tra strumenti, fornitori, buone intenzioni e interventi occasionali.
Gli MSP, in questo scenario, possono diventare il ponte tra la complessità normativa e la realtà operativa delle imprese. Non perché sostituiscano la governance aziendale, ma perché possono tradurla in processi, controlli, monitoraggio, reportistica, risposta agli incidenti e miglioramento continuo.
Il cambiamento più profondo è linguistico, quindi culturale. Le aziende non cercano più soltanto qualcuno che venda loro cybersecurity. Cercano qualcuno che le aiuti a restare operative. Restare operativi significa proteggere i dati, ma anche garantire produzione, servizi, reputazione, fiducia dei clienti, continuità amministrativa, accesso ai sistemi, relazione con fornitori e partner. Significa sapere cosa fare quando qualcosa accade, non soltanto sperare che non accada. Significa ridurre il tempo tra l’intrusione e la scoperta. Significa trasformare la difesa da muro statico a organismo reattivo.
La cybersecurity delle PMI entra così in una fase nuova: meno eroica, meno artigianale, più industriale. Non basta il tecnico bravo, non basta il prodotto migliore, non basta la password più lunga. Serve un ecosistema di difesa.
Il paradosso è che proprio l’intelligenza artificiale, che oggi alimenta gran parte della paura, può diventare anche lo strumento che rende sostenibile questa nuova fase. L’AI difensiva può aiutare a correlare segnali, ridurre il rumore, individuare anomalie, accelerare la risposta, supportare gli analisti, automatizzare alcune azioni. Ma non può essere lasciata sola. Ha bisogno di governance, supervisione, contesto, responsabilità.
L’AI non cancella il bisogno di partner. Lo rende più evidente.
La survey WatchGuard e il Rapporto Clusit raccontano la stessa storia da due prospettive diverse. WatchGuard mostra il limite operativo delle organizzazioni, soprattutto delle PMI: paura dell’AI, incidenti già subiti, impossibilità di garantire monitoraggio continuo, bisogno di supporto sulla compliance, crescita del ruolo degli MSP. Clusit mostra il contesto in cui tutto questo accade: incidenti in forte aumento, Italia sempre più colpita, cybercrime dominante, severità crescente, vulnerabilità e phishing in accelerazione.
Non significa che ogni impresa debba rinunciare a competenze interne. Al contrario, le competenze interne diventano ancora più importanti, perché qualcuno deve governare le scelte, capire il rischio, dialogare con i fornitori, definire priorità, valutare impatti, prendere decisioni. Ma il presidio continuo, la capacità di risposta, la gestione delle minacce, la correlazione degli eventi, la compliance operativa e l’aggiornamento costante richiedono ormai una scala che molte PMI non possono costruire da sole. La cybersecurity, come l’AI, è diventata infrastruttura: invisibile quando funziona, devastante quando manca.
IBM Fusion arriva al canale italiano con il Competence Center Computer Gross: infrastruttura dati per…
Inserire l’intelligenza artificiale nei sistemi esistenti non basta: serve riprogettare le infrastrutture come ecosistemi capaci…
Mentre il dibattito si concentra su elettrico e guida autonoma, la vera partita si gioca…
Arrivano le AI Factory europee. L'Europa ha cominciato a produrre AI e al centro della…
L’intelligenza artificiale (AI) sta diventando una vera e propria infrastruttura essenziale per le aziende, la…
Il Chips Act 2.0 deve puntare su design, IP e progettazione dei chip AI: senza…
Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135
Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011
