PMI, Il rischio più difficile da governare:
Quello che non sappiamo misurare.
Il problema delle PMI italiane non è solo la cybersecurity, ma la difficoltà di trasformare il rischio in una misura leggibile.
Partiamo dai dati:
Il terzo Rapporto Cyber Index PMI, promosso da Confindustria e Generali, con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la partnership dell’Agenzia per la Cybersicurezza Nazionale, assegna alle PMI italiane un livello medio di maturità cyber di 55 punti su 100. È un valore in crescita rispetto agli anni precedenti, ma ancora inferiore alla soglia di sufficienza fissata a 60. (Fonte Cyber Index PMI 2025, Confindustria, Generali, Osservatori Digital Innovation – Politecnico di Milano e Agenzia per la Cybersicurezza Nazionale https://corporate.generali.it/comunicati-stampa/2026-cyber-index-pmi/)
C’è però un altro numero che dobbiamo guardare (e incrociare) per avere una visione chiara e completa: solo il 16% delle PMI italiane può essere considerato realmente maturo nella gestione del rischio cyber. La maggior parte delle imprese si trova in una zona intermedia: conosce il problema, ne riconosce l’importanza, ma non ha ancora sviluppato la capacità di tradurre questa consapevolezza in prevenzione.
È una fotografia diversa da quella che siamo abituati a vedere.
L’idea di fondo che passava nelle precedenti analisi era che le PMI italiane non prendevano in considerazione l’argomento cybersecurity. I dati, oggi, sembrano dirci qualcosa di diverso: la consapevolezza esiste e continua a crescere, ma quello che manca, nella maggior parte dei casi, è la capacità di trasformare questa consapevolezza in una misura oggettiva del rischio.
Percepire un rischio, non significa conoscerlo e saperlo misurare.
Una PMI può avere cento vulnerabilità classificate come critiche, senza essere realmente esposta. Oppure può averne soltanto due, ma sui sistemi che governano la produzione, la contabilità o i dati più sensibili, che sono pericolosissime per il danno che potrebbero arrecare. Nel primo caso l’esposizione va dominata, nel secondo il rischio di danno è significativo e altissimo.
Lo stesso vale per gli asset: sapere di avere cinquecento dispositivi connessi è un dato; sapere quali sono essenziali, quali comunicano con l’esterno, quali usano software non più supportato e quali non dovrebbero neppure essere più presenti, significa trasformare il dato in conoscenza.
Quella della percezione ma incapacità di gestione del tema, è una situazione che, esclusa la cybersicurezza, non si verifica in nessun’altra funzione aziendale.
Quale imprenditore prende (o non prende) una decisione senza tener conto dei numeri dell’azienda? Ogni imprenditore conosce il fatturato, i margini, la liquidità, il portafoglio ordini e i costi, e conosce questi numeri perché rappresentano il punto di partenza di qualsiasi decisione: non assumerebbe nuovo personale, né investirebbe in un macchinario o avvierebbe un nuovo mercato, senza avere un quadro preciso della situazione economica.
Questo – sembra – non valga in ambito cybersecurity, e il report ci suggerisce che nelle PMI questa metodologia è ancora latente.
Non è un caso che il NIST Cybersecurity Framework 2.0 metta la funzione Identify all’inizio del processo di gestione del rischio. Prima di proteggere, rilevare o rispondere, un’organizzazione deve sapere cosa possiede, come sono collegati i suoi asset, quali dipendenze esistono e quali processi sostengono davvero il business. (https://www.nist.gov/cyberframework).
Nelle PMI, questo principio vale ancora di più per la tipologia di azienda; una grande organizzazione può contare su ridondanze, sistemi alternativi e processi distribuiti. Una piccola o media impresa, invece, spesso dipende da un singolo server, da un PLC, da un NAS o dal computer che gestisce contabilità e produzione.
Quindi è essenziale conoscere le vulnerabilità – prima di tutto – per, in particola modo, concentrarsi su quelle che possono davvero compromettere la continuità operativa dell’azienda e sugli asset realmente critici per il business, trasformando un tema tecnico in un tema di continuità operativa.
È quindi la conoscenza, non il dato, che rende possibile prendere decisioni.
Negli ultimi anni, inoltre, il contesto è cambiato radicalmente: le infrastrutture delle PMI non sono più costituite da qualche server e da una rete locale. Oggi convivono servizi cloud, applicazioni SaaS, dispositivi mobili, accessi remoti dei fornitori, ambienti OT interconnessi, identità distribuite e sistemi che comunicano continuamente tra loro. La superficie di attacco non è cresciuta soltanto in dimensioni, è aumentata soprattutto in complessità. Pensare di governare questa complessità affidandosi alla memoria delle persone o a una fotografia scattata mesi prima è irrealistico.
Il rischio cyber non aumenta semplicemente quando viene scoperta una nuova vulnerabilità; aumenta nel momento in cui un’organizzazione smette di sapere dove si trova, quali sistemi coinvolge e quale impatto potrebbe avere sul proprio business.
Forse il problema delle PMI italiane in tema sicurezza informatica è continuare a prendere decisioni su un rischio che, nella maggior parte dei casi, non sappiamo ancora misurare e interpretare.
Fonti: Cyber Index PMI 2025, Confindustria, Generali, Osservatori Digital Innovation – Politecnico di Milano e Agenzia per la Cybersicurezza Nazionale: https://corporate.generali.it/comunicati-stampa/2026-cyber-index-pmi/
NIST, Cybersecurity Framework (CSF) 2.0, funzione Identify: https://www.nist.gov/cyberframework