E se domani… la sicurezza aziendale diventasse una questione pubblica (e non solo un costo inutile)?
di Giuseppe Naro, Senior Security & Loss Prevention Manager di Multinazionale Retail e Membro del Direttivo del Laboratorio per la Sicurezza
E se domani un attacco informatico bloccasse la rete elettrica? Se un virus ransomware paralizzasse il sistema sanitario nazionale? O se qualche genio del crimine decidesse di giocare con i dati sensibili di milioni di persone, mentre noi siamo troppo occupati a discutere se la sicurezza aziendale sia un lusso o una necessità?
Non stiamo parlando di un film di fantascienza. Siamo nel 2025, nell’epoca in cui tutto è connesso, dai frigoriferi alle centrali nucleari, eppure ci ostiniamo a trattare la sicurezza aziendale come una questione interna alle imprese, un fastidio burocratico, un capitolo di spesa da ridurre perché “tanto a noi non succederà mai”. Peccato che poi succeda. Sempre.
Una volta le imprese si preoccupavano di ladri in carne e ossa, quelli che sfondavano la porta e rubavano i contanti dalla cassa. Bei tempi. Oggi, invece, il vero pericolo arriva silenzioso, nascosto in una mail dall’aspetto innocuo o in una linea di codice invisibile che scorre nei server. E mentre i criminali informatici diventano sempre più sofisticati, molte aziende continuano a credere che basti una password con otto caratteri (di cui almeno uno speciale, perché così ci sentiamo sicuri) per proteggere miliardi di dati sensibili.
Ma il punto più interessante è un altro: le aziende non sono isole. Anzi, sono più interconnesse di una chat di gruppo di WhatsApp. Se un fornitore viene attaccato, l’intera filiera va in tilt. Se un ospedale perde l’accesso ai suoi dati, i pazienti rischiano la vita. E se una banca viene violata, gli effetti si propagano a cascata su milioni di clienti. Insomma, pensare che la sicurezza aziendale sia solo un problema “dell’azienda” è come credere che un incendio in un condominio riguardi solo l’appartamento in cui è scoppiato.
E poi c’è lei, l’Intelligenza Artificiale, la protagonista indiscussa di questa nuova era. Il problema? Può essere sia il miglior alleato che la peggior minaccia. Da un lato, grazie all’IA possiamo rilevare minacce prima che si concretizzino, prevedere attacchi, automatizzare difese e persino rispondere ai cybercriminali con la loro stessa velocità.
Dall’altro, la stessa IA viene usata per creare attacchi più sofisticati, per generare deepfake indistinguibili dalla realtà e per condurre campagne di disinformazione che fanno sembrare i vecchi truffatori telefonici degli apprendisti. E se domani un’IA decidesse di prendere autonomamente decisioni sulla sicurezza? Se un algoritmo, nato per difendere, iniziasse a ragionare secondo logiche imprevedibili? Ci fidiamo davvero di lasciare la protezione delle nostre infrastrutture più critiche a un’intelligenza che impara da sola?
Forse è il momento di smettere di pensare alla sicurezza aziendale come a una preoccupazione marginale. Non è solo un problema delle imprese, dei loro IT manager o dei loro budget sempre troppo risicati per la cybersecurity. È una questione pubblica, esattamente come la sanità, la difesa e l’energia.
Ogni impresa, soprattutto quelle che operano in settori critici, dovrebbe essere obbligata – sì, obbligata, perché se si lascia la scelta alle aziende, la risposta sarà sempre “ci pensiamo l’anno prossimo” – a rispettare standard di sicurezza rigorosi. E invece, quante imprese considerano ancora la cybersecurity come un lusso, un optional, una seccatura da delegare a un consulente esterno? E se domani fosse troppo tardi per accorgerci che la sicurezza aziendale è, a tutti gli effetti, una questione di interesse pubblico?
Beh, forse sarebbe ora di smettere di chiederci “se” e iniziare a chiederci “quando”. E soprattutto: cosa diavolo stiamo aspettando?
