In uno scenario in cui la sovranità digitale è un tema sempre più rilevante, ogni Paese sta intensificando gli sforzi per difendere i propri asset critici: dall’industria ai sistemi energetici, passando da sanità a molti altri. Parte di questa strategia obbliga le aziende ad adottare processi solidi di cybersecurity e gestione del rischio, pena sanzioni e conseguenze legali. Ma la complessità delle normative sta generando preoccupazione: molte organizzazioni temono di non avere tempo e risorse adeguate.
I settori più esposti
La crescita di un’azienda porta maggiori complessità operative e normative. Secondo il MetLife and U.S. Chamber of Commerce Small Business Index del quarto trimestre 2025, il 37% delle imprese considera la compliance una problematica rilevante, così nel manifatturiero (51%) e nei servizi professionali (57%). In particolare, il settore manifatturiero rappresenta un comparto critico dato che è direttamente responsabile di una larga parte dell’economia nazionale, della forza lavoro impiegata e di altre industrie (medicale, aerospaziale, chimica, hardware IT…).
Per quanto riguarda i servizi professionali, vale lo stesso discorso: quando un’azienda non è in grado di fornire internamente un servizio, si affida a un partner esterno (ad esempio, per gestire la contabilità, i servizi legali o la ricerca). Ed è proprio qui che risiede la loro vulnerabilità. Queste relazioni richiedono spesso la condivisione di dati sensibili, l’accesso alle reti interne o la fornitura di componenti chiave nella supply chain digitale dell’azienda; se il partner viene compromesso, ne derivano quindi incidenti originati dalle terze parti difficili da monitorare.
La fragilità della supply chain
A tal proposito, di recente, un importante sviluppatore statunitense ha subìto una violazione di dati a causa di un fornitore di servizi paghe e contributi esterno. Un attacco del gruppo ransomware El Dorado ha colpito, infatti, un partner di questa società di gestione payroll, causando il furto di informazioni.
Oggi una stretta di mano e una firma non sono più una garanzia di relazioni commerciali sicure. Qualsiasi nuova partnership oppure ordine di fornitura dovrebbe essere accompagnato da un audit di sicurezza completo in modo da prevenire problemi futuri, soprattutto quando sono coinvolti dati critici. Nel Regno Unito diverse aziende hanno subìto violazioni per la ormai nota vulnerabilità del software di trasferimento file MOVEit utilizzato da parte del loro fornitore di servizi payroll e sfruttato dal gruppo ransomware Cl0p. Si tratta di attacchi alla supply chain definiti di ‘secondo livello’, causati da un anello debole presente nella catena di fornitura dell’azienda principale che finisce per comprometterne un’altra. Sempre nel Regno Unito, grandi aziende del settore automobilistico, retail e legal sono state prese di mira da gruppi come Scattered Spider, che hanno sfruttato i partner della supply chain, causando perdite per miliardi di sterline. Le supply chain, soprattutto quelle digitali, sono particolarmente esposte agli attacchi a causa dell’elevato livello di interconnessione tra fornitori e appaltatori, basato sulla fiducia e sull’integrazione di nodi critici per una gestione efficiente delle risorse. Se le grandi aziende possono, in qualche caso, resistere a questi attacchi, altre realtà non riescono: è il caso di una società di autotrasporti britannica con 158 anni di storia, per la quale è bastata una sola password violata per arrivare al collasso.
Le sfide della compliance
La compliance esiste per stabilire standard condivisi: sfruttando le linee guida governative è possibile raggiungere un livello di resilienza più elevato. In assenza di queste indicazioni, le aziende probabilmente agirebbero sulla base di proprie valutazioni del rischio, prendendo in considerazione il settore di appartenenza, le risorse da proteggere e il budget disponibile.
Si tratta di un approccio piuttosto logico: si investe dove è necessario farlo. Andare oltre il necessario e implementare livelli eccessivi di sicurezza, magari con più fornitori contemporaneamente, può portare a rendimenti inferiori, dal momento che gli hacker possono comunque trovare un punto di accesso.
Le aziende, poi, non vogliono complicare eccessivamente la burocrazia interna con attività che sottraggono tempo alle operazioni quotidiane e non contribuiscono direttamente alla generazione di ricavi. Aggiungere ulteriori incombenze legate alla compliance può quindi risultare opprimente, soprattutto per le realtà più piccole, che spesso non dispongono delle risorse necessarie per gestirle.
Strumentalizzazione della divulgazione
Lo scenario è chiaro anche agli attori malevoli, alcuni dei quali sfruttano la compliance come leva di estorsione, costringendo le aziende a cedere alle loro richieste con la minaccia di essere segnalate alle autorità. Gruppi ransomware come BlackCat sono noti per presentare denunce formali alla SEC per fare pressione sulle vittime e indurle a pagare il riscatto. Secondo ENISA non si tratta di casi isolati.
L’importanza dell’approccio “prevention first”
Il motivo per cui le normative puntano sulla resilienza è semplice: intervenire a posteriori è inutile. Inoltre, può sembrare una provocazione, ma i partner non prenderanno mai sul serio un’azienda che ha subìto un grave incidente informatico: la diffusione di informazioni sensibili sul dark web rappresenta una ricetta perfetta per ulteriori futuri disastri cyber.
Seguire un approccio ”prevention first” può aiutare ad alleviare il peso della compliance alla sicurezza, definendo una strategia interna preventiva in grado di soddisfare sia le esigenze normative sia quelle operative e di gestione delle risorse dell’azienda. Per esempio, l’adozione di un prodotto come ESET PROTECT Elite a cui affiancare ESET MDR Ultimate, il servizio in italiano disponibile H24, consente di rispondere contemporaneamente a molteplici requisiti normativi, grazie alle diverse soluzioni della piattaforma ESET PROTECT in grado di coprire aree come gestione delle vulnerabilità e delle patch, crittografia completa dei dischi, ransomware remediation e altro ancora. I veri protagonisti dell’offerta sono i servizi ESET MDR ed ESET MDR Ultimate che, anche attraverso l’introduzione dell’elemento umano nella gestione della sicurezza, aumentano l’efficacia nella risoluzione di minacce complesse. Così, sia che si tratti di normative come GDPR, NIS2 o DORA in Europa, sia di HIPAA e CCPA negli Stati Uniti, queste vengono soddisfatte grazie a un’offerta completa di prodotti e servizi mirati a prevenire qualsiasi potenziale incidente. Per le aziende o le organizzazioni che necessitano di soluzioni di sicurezza personalizzate, l’offerta di ESET Corporate Solutions può essere declinata e integrata in modo affidabile anche negli ambienti più sensibili.
Un obiettivo condiviso
L’attività messa in campo dalle autorità mira a creare un ecosistema più sicuro: predisporre un ambiente sicuro consente di dare indicazioni precise al settore privato. Altrimenti, ogni Paese si troverebbe con linee di difesa incomplete, mettendo a rischio non solo i propri settori critici, ma anche la vita dei cittadini.
