Immagine di creativeart su Freepik
Le organizzazioni si sentono pronte a fronteggiare un incidente cyber. Ma quando l’attacco arriva davvero, i numeri raccontano un’altra storia. È il paradosso che emerge dal Data Trust and Resilience Report 2026, pubblicato da Veeam Software e basato su un’indagine globale che coinvolge i senior della sicurezza IT delle aziende a livello globale, dalle C-suite ai ruoli operativi in prima linea. Un messaggio tanto semplice quanto scomodo: la fiducia nella capacità di recupero non equivale a una capacità di recupero reale e verificata. E, con l’intelligenza artificiale che sta ridefinendo il modo in cui i dati si muovono attraverso l’azienda, questo scollamento rischia di allargarsi ulteriormente.
La metodologia e gli obiettivi
Il report si basa su un sondaggio quantitativo condotto su oltre 900 professionisti senior della sicurezza informatica, dell’IT e del risk management, distribuiti a livello globale. L’indagine copre ruoli che spaziano dai Ciso e Cio fino ai responsabili operativi della sicurezza, ed è stata integrata da interviste qualitative anonimizzate con organizzazioni di diversi settori e dimensioni. L’obiettivo: misurare il divario tra la percezione di resilienza e i risultati operativi effettivi, con un focus specifico sull’impatto dell’AI e del ransomware.
Confidence gap, fiducia alta e risultati deludenti
Il dato più eloquente del report riguarda quindi il divario tra percezione e realtà. Il 90% degli intervistati dichiara di essere molto o estremamente fiducioso nella propria capacità di ripristinare i sistemi entro i Recovery Time Objectives (Rto) definiti. Tuttavia, solo il 69% afferma che i propri Rto sono pienamente allineati agli obiettivi di continuità operativa.
Quando si passa dai piani alla pratica, il quadro peggiora. Quasi tre organizzazioni su dieci hanno subito un incidente informatico negli ultimi 12 mesi che ha provocato perdita di dati, tempi di inattività o interruzioni operative. Tra chi ha subito un attacco, il 42% ha riportato interruzioni del servizio a clienti o utenti, il 41% perdite finanziarie o impatti sui ricavi e il 38% downtime prolungato dei sistemi critici.
Il ransomware amplifica il problema. Tra le organizzazioni colpite, nel 56% dei casi gli attaccanti sono riusciti a cifrare o esfiltrare i dati. Solo il 28% è riuscito a ripristinare completamente tutti i dati interessati; il 44% ne ha recuperato meno del 75%. In media, le organizzazioni hanno recuperato solo il 72% dei dati compromessi a seguito di un attacco ransomware. “La fiducia nel recupero da un attacco ransomware è elevata, ma i dati raccontano una storia diversa – e l’AI non fa che ampliare questo divario – commenta Anand Eswaran, Ceo di Veeam Software –. Anche le organizzazioni più organizzate stanno scoprendo che la fiducia nel recupero e la capacità di dimostrarlo sono competenze fondamentalmente diverse”.
AI più veloce della governance a scapito di visibilità e controllo
L’intelligenza artificiale dalla fase sperimentale entra nell’utilizzo operativo quotidiano, ma la capacità delle organizzazioni di governarne i rischi non tiene il passo. I sistemi AI introducono nuovi percorsi per i dati attraverso utenze, applicazioni, Api e servizi di terze parti, amplificando problemi già noti come la dispersione dei dati, i controlli di accesso incoerenti e la proprietà poco chiara delle informazioni.
I numeri del report sono indicativi: il 43% degli intervistati afferma che l’adozione di strumenti AI supera la capacità di mettere in sicurezza dati e modelli. Il 42% segnala una visibilità limitata su tutti gli strumenti e modelli AI utilizzati nell’organizzazione. Il 40% dichiara che le policy di sicurezza non sono aggiornate per includere i rischi specifici dell’AI, come quelli legati all’uso dell’AI generativa. Infine, il 25% indica lo shadow IT e l’uso non autorizzato di strumenti AI da parte dei dipendenti come una preoccupazione primaria. Come sottolinea Eswaran “l’infrastruttura per l’adozione dell’AI ha superato rapidamente la capacità di metterla in sicurezza. E le organizzazioni hanno bisogno di capacità end-to-end per comprendere, proteggere, mettere in sicurezza, governare e garantire la resilienza dei dati alla velocità delle macchine”.
Le policy non bastano, chi governa il rischio AI?
Il report evidenzia che la governance dell’AI deve andare oltre le dichiarazioni di principio, trasformandosi in controlli effettivamente applicabili. Un indicatore di questo passaggio è l’adozione di strumenti di enforcement come la data loss prevention (Dlp): il 48% degli intervistati dichiara di averli già implementati. Le organizzazioni con Dlp attiva mostrano una visibilità e un controllo sensibilmente migliori man mano che l’uso dell’AI cresce. Quelle senza Dlp segnalano una visibilità limitata sugli strumenti AI nel 45% dei casi (contro il 39% di chi ha Dlp attiva) e l’adozione dell’AI che supera i controlli di sicurezza nel 48% dei casi (contro il 38%).
Altro punto la governance del rischio AI: oggi è tipicamente assegnata a un singolo dirigente piuttosto che a un gruppo interfunzionale. Il 38% degli intervistati indica il Ciso come responsabile, il 27% il Cio, e solo il 17% riporta una struttura di governance trasversale. Il report sottolinea che concentrare la responsabilità in un unico ruolo può creare punti ciechi, dato che il rischio AI si colloca all’intersezione di cybersecurity, data governance, infrastruttura, compliance e operazioni di business. Le organizzazioni che adottano un modello di governance interfunzionale, coinvolgendo IT, sicurezza, data leader e stakeholder di business, riportano un migliore allineamento tra policy, controlli di sicurezza e capacità di ripristino operativo.
Investire in cybersecurity, ma nella giusta direzione
Il 49% delle organizzazioni aumenta il budget per la cybersecurity su base annua. Quelle che lo fanno mostrano risultati significativamente migliori: il 40% recupera completamente i dati dopo un attacco ransomware, contro il 16% di chi non ha incrementato il budget. Parallelamente, solo il 32% delle organizzazioni con budget in crescita paga un riscatto, contro il 52% di quelle con budget invariato o in calo.
Chi investe di più tende anche a misurare di più. Le organizzazioni con budget in crescita sono più propense a tracciare i Kpi di recovery readiness: il 78% monitora i recovery time objectives (contro il 56%), il 47% misura il tempo di isolamento e contenimento (contro il 36%) e il 32% ha processi di recovery completamente automatizzati o orchestrati (contro il 14%). Tra le priorità di investimento spiccano lo storage immutabile (38% contro 11%) e il backup automatizzato (42% contro 33%). Anche la frequenza di comunicazione del rischio al board fa la differenza: il 62% delle organizzazioni con budget in crescita riferisce al board mensilmente o più spesso, contro il 47% di quelle senza aumento.
Cosa fare
I cyberattacchi restano il rischio emergente più citato per i prossimi 12 mesi (36%), ma la pressione normativa insegue ad appena tre punti percentuali (33%). Il 58% degli intervistati indica la residenza e la sovranità dei dati come il fattore più importante nelle decisioni di collocamento dei dati. Man mano che gli obblighi regolamentari si espandono, la compliance si sovrappone sempre più alla resilienza operativa.
Il report identifica allora quattro capacità che accomunano le organizzazioni con i migliori risultati di recovery: visibilità (1) chiara sui dati e sui rischi AI nell’intera organizzazione; controlli (2) di sicurezza effettivamente applicati, non solo definiti a livello di policy; capacità di ripristino (3) comprovate attraverso test realistici e validazione; allineamento (4) a livello executive su responsabilità, metriche e definizione condivisa del concetto di recovery. “Le organizzazioni che guideranno il futuro saranno quelle in grado di dimostrare la fiducia, non solo di credervi”, conclude Eswaran. Con l’AI agentica che accelera il movimento dei dati attraverso l’azienda, la distanza tra il credersi pronti e l’esserlo davvero è il nuovo metro di misura della maturità nella sicurezza dei dati.
© RIPRODUZIONE RISERVATA
