Minacce informatiche sofisticate, attacchi alla supply chain e instabilità geopolitica ridefiniscono il concetto stesso di resilienza aziendale. E’ la tesi di Zscaler argomentata sulla base dei risultati della sua ultima indagine globale, The Ripple Effect: A Hallmark of Resilient Cybersecurity. Lo studio, che raccoglie le risposte di 1.750 decision maker IT (Ciso, Cio e figure apicali della sicurezza) in 14 Paesi – tra cui l’Italia –, tratteggia un quadro in chiaroscuro: gli investimenti crescono, ma la capacità di tradurli in protezione reale resta insufficiente, soprattutto quando le minacce provengono dall’esterno del perimetro aziendale.
La ricerca, condotta nel dicembre 2025 da Sapio Research per conto di Zscaler, coinvolge organizzazioni con oltre 500 dipendenti operanti in diversi settori industriali. L’obiettivo: misurare quanto le imprese siano effettivamente pronte ad affrontare interruzioni causate da fattori esterni – dai fornitori compromessi ai cambiamenti normativi, dall’adozione incontrollata dell’intelligenza artificiale alle minacce del quantum computing – e quanto il livello di fiducia corrisponda alla reale preparazione. I risultati evidenziano un significativo disallineamento e sono l’occasione per il confronto con Elena Accardi, country manager Italia, e Marco Catino, Sales Engineer manager di Zscaler.
Cybersecurity, le organizzazioni come nodi di una rete neuronale
Accardi inquadra subito la sfida con un’immagine efficace: le aziende oggi non possono più permettersi di agire come entità isolate. “Immaginiamo di installare la porta più inviolabile e più cara al mondo davanti alla nostra azienda, con sensori biometrici e telecamere di ogni tipo”, esemplifica. “E poi immaginiamo, come spesso succede, che i fornitori accedano dalla porta di servizio con un passepartout”. È questa la realtà operativa della cybersecurity oggi in tante realtà: “Il fornitore che gestisce i dispositivi IoT, il corriere, il partner tecnologico possono portare con sé, consapevolmente o meno, un ospite indesiderato all’interno dell’infrastruttura”.
L’iperconnettività, i cloud condivisi e le integrazioni b2b hanno reso il confine aziendale ormai labile. Accardi sottolinea che per anni, invece, aziende e vendor hanno investito nella messa in sicurezza del perimetro, della “fortezza”, e oggi quel modello non basta più. “Se un’azienda vuole sopravvivere, deve iniziare a pensare al mondo esterno e a gestire la propria organizzazione come un nodo all’interno di una rete neuronale“, afferma.
Il paragone, spiega la manager, richiama la plasticità del cervello umano: le infrastrutture devono essere capaci di “adeguarsi e riadattarsi a shock imprevisti”, esattamente come il nostro sistema nervoso. Accardi riprende anche un’analogia dall’ingegneria meccanica: le automobili di qualche decennio fa avevano telai rigidissimi, pensati per proteggere l’abitacolo, mentre le vetture moderne si accartocciano in modo controllato, assorbendo l’energia dell’impatto. “Allo stesso modo, la rigidità informatica può rivelarsi pericolosa quanto quella meccanica”.
Da qui nasce il concetto di “ripple effect” che dà il titolo alla ricerca. L’immagine mentale è quella di un sasso gettato nello stagno: l’attacco è il sasso e le onde si propagano distruggendo tutto ciò che incontrano, dal fornitore al cliente finale. Ma Zscaler vuole ribaltare questa immagine: l’effetto dell’ondulazione deve diventare un’onda protettiva che, partendo dall’azienda, si estende alla supply chain e ai fornitori esterni, ammortizzando gli shock prima che tocchino il nucleo vitale dell’organizzazione. “Le cause delle interruzioni dell’operatività aziendale oggi possono essere esterne all’azienda – conferma Accardi -. La vera resilienza deve quindi estendersi a tutti gli anelli della catena, dai partner alle piattaforme fino alla supply chain”.
Sei sono quindi i pilastri della resilienza secondo Zscaler: i primi tre – Processi (da reattivi a proattivi), Infrastrutture (moderne e semplificate) e Persone (consapevolezza) – sono il cuore del lavoro degli ultimi anni. I nuovi tre, spinti dalla visione del Ceo Jay Chaudhry, estendono il perimetro: cambiamenti normativi e sovranità, rischi emergenti da nuove tecnologie (AI, quantum computing) e gestione dell’accesso ai dati attraverso supply chain, terze parti e AI agentica. È il passaggio da una resilienza difensiva a una resilienza “by design” che abbraccia l’intero ecosistema.
Zscaler, a che punto siamo
Marco Catino raccoglie il testimone e porta la riflessione sul piano operativo richiamando la fragilità delle supply chain e delle interconnessioni tra le aziende: “La spina dorsale dei business moderni, avverte, è estremamente fragile”.
L’analogia che propone è quella del condominio: “Se scoppia un incendio nell’appartamento di fianco, non stiamo proprio sereni”. E i rischi legati a questa interconnessione non possono più essere trattati con la logica del perimetro sicuro.
Catino sottolinea come la sofisticazione degli attacchi stia crescendo esponenzialmente, anche grazie a strumenti come i large language model che fino a pochi anni fa non esistevano nelle forme attuali. “In un ambiente sempre più volatile – dal punto di vista macroeconomico, normativo e tecnologico – la business continuity deve diventare allora un punto di partenza, non un obiettivo”.
E si arriva ai numeri che confermano le analisi.
A livello globale, il 90% delle organizzazioni ha aumentato gli investimenti in cybersecurity; in Italia la percentuale è dell’83%, un dato comunque significativo se si considera lo storico sotto-investimento del mercato nazionale. Tuttavia, il 98% delle aziende italiane (96% a livello globale) aggiorna le proprie strategie solo in risposta a fattori esterni, operando dunque in modalità tattica e reattiva: si manifesta un problema e si interviene puntualmente, senza una visione d’insieme.
Il dato forse più rivelatore è un altro: il 53% delle aziende italiane (61% a livello globale) ammette candidamente che le proprie strategie di resilienza sono troppo orientate verso l’interno.
Accardi definisce questa dinamica come “la sindrome del cocomero: all’esterno tutto appare verde e in ordine – i report trimestrali mostrano corsi anti-phishing completati, investimenti effettuati, compliance rispettata – ma sotto la superficie la realtà è ben diversa”, con politiche di accesso ai fornitori mai aggiornate e Api che comunicano senza adeguato controllo. Perché questa inerzia? Perché “mettere in sicurezza ciò che è interno è facilmente misurabile”, mentre imporre standard di sicurezza a una catena di 200 fornitori esterni richiede avvocati, revisioni contrattuali e negoziazioni estenuanti. “La tentazione di concentrarsi su ciò che si riesce meglio a governare è fortissima – riconosce Accardi – ma crea un’illusione pericolosissima di sicurezza“.
I danni di questa “cecità volontaria” sono concreti. Il 60% delle organizzazioni a livello globale ha subìto un danno causato da terze parti; in Italia la percentuale è del 55%. Più della metà delle imprese ha visto fermarsi il proprio business per un errore derivante da partner esterni, esponendo la fragilità di un modello basato sulla fiducia implicita. In Italia, solo il 35% adotta misure rigorose di controllo sui partner: un dato che preoccupa. Ancora più allarmante è il fatto che il 45% degli intervistati valuta la resilienza della propria supply chain soltanto su base annuale – un’era geologica, nella cybersecurity. Il 69% dei responsabili IT italiani prevede di subire un’interruzione significativa causata da un fornitore entro i prossimi 12 mesi, e solo il 24% considera le proprie strategie davvero efficaci di fronte alla volatilità della supply chain, un dato inferiore alla media Emea del 30%. Sebbene otto responsabili su dieci ritengano che le misure di resilienza soddisfino i requisiti di sicurezza, solo il 34% si dichiara altamente fiducioso.
Catino riprende ad approfondire le minacce emergenti partendo dalla volatilità macroeconomica: “Il 74% degli intervistati riconosce che le condizioni macroeconomiche impongono modifiche operative”. Sul fronte tecnologico, AI e quantum computing stanno spingendo le strategie di sicurezza oltre i loro limiti. Il 45% dei responsabili IT italiani riconosce che i sistemi di sicurezza esistenti non sono adeguati ad affrontare minacce avanzate. E, proprio per il quantum computing, Catino evoca la minaccia “harvest now, decrypt later”: dati cifrati che vengono sottratti oggi nella certezza che tra cinque-dieci anni potranno essere decifrati. “È come un ladro che porta via una cassaforte che non riesce ad aprire, ma sa che fra una decina d’anni avrà il trapano giusto”, esemplifica. E in Italia, il 73% delle aziende non ha ancora integrato la crittografia post-quantistica nella propria strategia, nonostante il 64% riconosca il rischio concreto.
La shadow AI pure rappresenta un’altra frontiera critica: il 62% delle aziende italiane non ha visibilità sull’utilizzo degli strumenti di intelligenza artificiale da parte dei propri dipendenti, e il 47% teme l’esposizione di dati sensibili. Bloccare questi strumenti, osserva Catino, “sarebbe controproducente per la produttività, dunque serve trovare un equilibrio tra visibilità e controllo”. Quanto all’AI agentica, l’adozione è in rapida crescita – il 42% delle aziende la sta testando, il 34% l’ha già implementata – ma la metà lo fa senza aver prima definito adeguati guardrail di sicurezza. In Italia, il dato peggiora: il 66% non dispone di solidi framework di governance. Sul fronte della sovranità digitale, il 69% delle aziende lavora su strategie di localizzazione dei dati in area europea e il 71% effettua check di compliance regolari. Tuttavia, l’Italia si distingue negativamente: solo il 60% interviene attivamente sulla sovranità dei dati, il dato più basso tra le principali economie europee.
Agilità architetturale, l’anello mancante
“Il vero anello mancante – spiega Catino – è l’architettura su cui poggia l’intero edificio della sicurezza che deve essere un’architettura agile“. L’86% delle aziende italiane fa ancora affidamento su sistemi legacy – firewall, Vpn e modelli di sicurezza perimetrale – e il 49% segnala che l’architettura IT attuale limita la capacità di reagire a violazioni e interruzioni.
L’analogia di Catino è quella della Formula 1: “Competere nel campionato della cybersecurity moderna con un’utilitaria modificata – un filtro dell’aria nuovo, una marmitta più performante – non basta. Alla prima curva si va dritti”. L’81% degli intervistati globali (86% in Italia) ne è consapevole: servono architetture nativamente progettate per la sfida attuale.
Di fronte a questo scenario, Zscaler propone un approccio strutturato in tre step: visibilità, semplificazione e costruzione di un’architettura a prova anche di futuro. Il primo passo consiste nel recuperare la visibilità perduta: comprendere quali rischi esistono, dove risiedono i dati e chi dovrebbe avere accesso. Il secondo – “zoom out” – richiede un passo indietro per adottare una visione più ampia e ridisegnare l’architettura in modo trasformativo, abbandonando la logica delle modifiche incrementali. Il terzo è la costruzione vera e propria di una piattaforma basata sull’approccio Zero Trust.
La proposta Zscaler
La piattaforma Zero Trust Exchange di Zscaler è proposta come risolutiva in questa prospettiva e funziona come un centralino intelligente: tutti i flussi di dati vengono gestiti centralmente secondo il principio della “zero implicit trust”, come preferisce definirlo Catino. Nessuna connessione è consentita in modo implicito: ogni accesso, che provenga da un utente, un dispositivo IoT, un workload in cloud o un’applicazione SaaS, deve essere esplicitamente autorizzato sulla base di policy granulari. Zscaler ha progressivamente esteso questa architettura per mettere in sicurezza utenti, oggetti IoT e workload. Ma il vero salto qualitativo riguarda l’AI agentica: nel 2026 la piattaforma ha già integrato la capacità di gestire i flussi generati dagli agenti AI, trattando ogni identità – sia essa un utente umano, un workload o un agente AI – con le medesime logiche di policy e controllo.
Per le imprese globali, il conflitto tra la protezione dei dati e l’abilitazione della collaborazione transfrontaliera rappresenta poi una delle principali sfide, sia sul piano della compliance sia su quello del business, per sostenere la crescita. Zscaler gestisce già oltre 160 data center ed è presente nella maggior parte dei Paesi. La sua architettura si basa su piani di controllo, dati e logging completamente isolati tra loro: livelli distinti e separati per la gestione, l’ispezione del traffico e la conservazione dei registri, così da garantire che i dati sensibili non escano mai dalla giurisdizione richiesta e consentire ai clienti di mantenere piena autorità sui propri dati.
Gestire un control plane all’interno di un Paese è più complesso rispetto alla semplice presenza di data plane e logging plane. Zscaler ha affrontato questo tema fin dalle fasi iniziali, realizzando un control plane dedicato per Stati Uniti ed Europa insieme a un logging plane dedicato in sei diversi Paesi. Quasi l’intera proposta è sviluppata interamente all’interno dell’azienda e offerta in modalità SaaS, il che consente un’agilità nell’integrazione di nuove funzionalità – dalla sicurezza dell’AI generativa alla visibilità sulla crittografia post-quantistica – senza che le aziende clienti debbano rivoluzionare la propria infrastruttura.
Per il mercato italiano, dove le Pmi mostrano consapevolezza dei rischi ma faticano ad attivarsi, Zscaler punta su un modello di go-to-market del tutto indiretto che coinvolge vendor, distributori e partner. I settori più esposti restano il manufacturing e la sanità, ambienti complessi caratterizzati da una fitta collaborazione con terze parti, architetture ibride e una naturale inerzia al cambiamento. Proprio in questi contesti, l’approccio “Resilient by Design” promosso da Zscaler – che estende la protezione Zero Trust dalla singola azienda all’intero ecosistema di relazioni – può rappresentare la leva strategica per trasformare la consapevolezza in azione concreta.
© RIPRODUZIONE RISERVATA
