Gyala chiude un nuovo round di investimento e accelera la cyber resilience delle infrastrutture IT/OT/IoT Leggi 

 

Cybersecurity in tempo di guerra:

Quando la resilienza diventa una variabile condizionata da fattori esterni.

Fonte report Gartner “War in the Middle East: An Emerging Cybersecurity Playbook for Geopolitical Conflict” del 16 Marzo 2026)

C’è una cosa che i conflitti geopolitici fanno con estrema precisione: eliminano ogni ambiguità.

Non introducono necessariamente nuove vulnerabilità, né cambiano radicalmente la natura delle minacce, ma mettono sotto pressione tutto ciò che fino a quel momento funzionava — o sembrava funzionare — costringendo le organizzazioni a confrontarsi con una domanda: cosa succede quando le condizioni operative per cui abbiamo progettato la sicurezza, improvvisamente, non sono più adeguate?

La guerra in Medio Oriente si inserisce esattamente in questo spazio, perché rende evidente quanto l’esposizione cyber sia indipendente dalla geografia, e quanto le dipendenze digitali — cloud, fornitori, infrastrutture condivise — possano trasformare un evento regionale in un problema globale.

La resilienza mal interpretata

Il concetto di resilienza è stato associato, per anni, a capacità di ridondanza, distribuzione e continuità operativa, spesso incarnato nella promessa del cloud come ambiente per definizione più stabile e flessibile.

Quello che emerge in uno scenario di conflitto attivo è qualcosa di diverso, perché nel momento in cui una porzione dell’infrastruttura cloud diventa indisponibile — ad esempio, perché situata in un’area colpita come le regioni AWS in UAE e Bahrain — i workload devono essere spostati rapidamente altrove. Ma le alternative non sono infinite né sempre disponibili, e, soprattutto, si scontrano con vincoli normativi che spesso impediscono di trasferire dati e servizi al di fuori di specifici perimetri.

La resilienza, in questo contesto, non scompare, ma smette di essere un attributo garantito dall’architettura e diventa una variabile condizionata da fattori esterni che non sono sotto il controllo dell’organizzazione.

La distanza tra compliance e capacità reale

Uno degli elementi più evidenti che emerge è la distanza oggettiva tra posture formalmente corrette e capacità operative effettive, una distanza che in condizioni normali è invisibile ma che, sotto stress, diventa immediatamente misurabile.

Molte organizzazioni hanno programmi di sicurezza allineati a framework riconosciuti, audit superati e controlli implementati, ma questo non implica necessariamente che quei controlli siano in grado di reggere scenari in cui, ad esempio, intere porzioni di infrastruttura non sono disponibili, i tempi decisionali si comprimono e la pressione operativa aumenta.
È in questo spazio che si colloca la distinzione tra compliance e resilienza, dove la prima certifica l’aderenza a uno standard, mentre la seconda misura la capacità di funzionare quando quello standard non è più sufficiente.

L’illusione di essere fuori dal problema

Un altro aspetto che il documento di Gartner a cui si rifà l’articolo mette in evidenza, riguarda la falsa percezione di isolamento, ovvero l’idea che l’assenza di una presenza diretta in un’area di conflitto riduca significativamente l’esposizione.

In realtà, la natura interconnessa delle infrastrutture digitali rende questa distinzione sempre meno rilevante, perché l’impatto si propaga attraverso la supply chain, i servizi cloud, le piattaforme condivise e i fornitori, creando effetti a cascata che possono colpire organizzazioni geograficamente distanti ma tecnicamente dipendenti dagli stessi ecosistemi.

Si tratta di un cambiamento importante nel modo in cui va interpretata la superficie d’attacco, che non coincide più con ciò che è direttamente controllato, ma con l’insieme delle relazioni operative su cui si basa il funzionamento dell’organizzazione.

La supply chain 

All’interno di questo contesto, la dipendenza da terze parti emerge come uno dei punti più critici, non tanto per la presenza di vulnerabilità specifiche, quanto per la combinazione di scarsa visibilità, maturità limitata nei controlli e complessità crescente delle catene di fornitura.

Il fatto che una quota significativa delle violazioni coinvolga fornitori non è un’anomalia, ma il risultato diretto di un modello in cui le organizzazioni estendono continuamente il proprio perimetro operativo senza avere un controllo equivalente sulle sue componenti.

In scenari di conflitto, questa dinamica viene sfruttata in modo importante, perché colpire indirettamente attraverso la supply chain consente di aggirare difese più robuste e ottenere impatti più ampi con uno sforzo relativamente minore.

CPS: la criticità meno governata

Parallelamente, i sistemi cyber-fisici rappresentano un’altra area di esposizione rilevante, spesso sottovalutata nonostante il loro ruolo diretto nell’operatività.

Il problema non riguarda solo il livello di protezione, ma anche la difficoltà di avere una visione completa delle connessioni, degli accessi e delle dipendenze che li caratterizzano, soprattutto in ambienti in cui stratificazioni tecnologiche ed esigenze operative hanno portato nel tempo a compromessi difficili da tracciare.

Questi sistemi diventano bersagli prioritari, durante un attacco, proprio perché permettono di interrompere processi critici con effetti immediati e tangibili, amplificando l’impatto rispetto a un attacco puramente IT.

La trasformazione del processo decisionale in superficie d’attacco

Un elemento meno evidente, ma altrettanto rilevante, riguarda il modo in cui vengono prese le decisioni, perché tecnologie come i deepfake, oggi amplificate dalla GenAI, stanno rendendo possibile impersonare in modo credibile figure chiave dell’organizzazione, come executive o responsabili autorizzativi.

Oggi il punto di ingresso non è più solo un sistema vulnerabile, ma anche una richiesta apparentemente legittima: una voce che autorizza un pagamento, un messaggio che conferma un’operazione, una comunicazione che sembra provenire da una fonte fidata.

Se a questo si aggiunge l’utilizzo di strumenti non progettati per contesti critici e meccanismi di autenticazione deboli, il rischio è tecnico e decisionale insieme, perché l’attacco si concretizza nel momento in cui qualcuno agisce sulla base di un’informazione manipolata e, durante una crisi, quando le decisioni devono essere prese rapidamente e i processi tendono a semplificarsi, aumenta lo spazio per ingannare.

Dal piano alla capacità di esecuzione

Tutto questo converge verso un punto centrale: la cybersecurity non può essere interpretata come un insieme di controlli statici, ma deve essere una “capacità operativa” che deve funzionare in condizioni degradate, incerte e in rapido cambiamento.

Ciò implica non solo l’adozione di architetture più distribuite e flessibili, ma anche la necessità di testare concretamente le assunzioni su cui si basano piani di continuità, strategie di recovery e modelli di risposta agli incidenti.

Non possiamo più fare supposizioni

L’idea che l’infrastruttura sia sempre disponibile, che i fornitori siano affidabili, che i controlli funzionino come previsto, che i processi decisionali non possano essere manipolati, sono supposizioni su cui moltissime aziende hanno costruito la loro strategia cyber, ma quando queste ipotesi vengono meno, la cybersecurity smette di essere un esercizio di conformità e diventa, a tutti gli effetti, una questione di continuità operativa.

In quel momento esatto, emerge la differenza tra ciò che è stato progettato per funzionare in condizioni normali e ciò che è in grado di reggere quando le condizioni normali non esistono più.