(Sesto Potere) – Roma – 3 novembre 2025 – Presentata la seconda edizione dell’Osservatorio Security Risk promosso da AIPSA, l’Associazione dei Professionisti della Security Aziendale, e curato da TEHA – The European House Ambrosetti, che evidenzia i settori nei quali le imprese devono investire per migliorare i livelli di sicurezza. L’indagine ha coinvolto oltre 150 professionisti della Security associati ad AIPSA, che operano in aziende attive in più di 20 settori, rappresentative del tessuto imprenditoriale nazionale, con un fatturato complessivo che supera i 500 miliardi di euro.
Dallo studio emerge, in sintesi, che cresce la consapevolezza delle imprese italiane di esser sempre più esposte alle minacce fisiche e cibernetiche, ma la corsa alle contromisure è tutt’ora a due velocità: bene le grandi aziende, meno bene le realtà mid-market. Cala il timore di essere colpiti da un evento meteo avverso. Mentre rimane forte il timore di attacchi ransomware e alla supply chain.
Solo le micro imprese e le grandi multinazionali, però, danno massima priorità alla difesa dei fornitori. Le medie imprese con fatturati tra i 10 e i 250 milioni di euro l’anno, sottovalutano il rischio, ma il danno stimato prodotto da un singolo attacco arriva fino a 1,8 milioni di euro.
Cresce, tra le medie imprese il timore dei cyberattacchi, ma non le contromisure messe in campo: un anno fa ridurre dell’1% il rischio un attacco ransomware determinava un beneficio di 79mila euro, oggi la cifra è salita a quasi 100mila euro. Segno che il danno prodotto sarebbe maggiore. Migliora, invece, la prevenzione del rischio nelle multinazionali: nel 2024 ridurre del 10% il rischio di un attacco alla supply chain, si traduceva in un beneficio da 30 milioni di euro. Oggi non si superano i 16 milioni.
Dall’Osservatorio curato dall’Associazione dei Professionisti della security aziendale e TEHA Group emerge inoltre che il 59% delle imprese non ha un piano personalizzato di crisis management, ma affronta i singoli incidenti in maniera integrata. Nel 2024 solo il 50% delle realtà gestiva insieme sicurezza fisica e cibernetica, oggi siamo al 61%. Mentre il 23% delle imprese lamenta una carenza di professionisti della cybersecurity e poco meno della metà di queste è decisa ad affidarsi a consulenti esterni.
E si consolida, infine, il ruolo del professionista della security: le donne sono la maggioranza (57%) nei settori governance, compliance e legal, mentre rimangono sotto rappresentate (22%) nella sicurezza fisica.
Questi i principali elementi che emergono dall’edizione 2025 dell’Osservatorio Security Risk. Una fotografia dello stato di salute della sicurezza delle imprese italiane, viste con gli occhi dei Security Manager, presentata presso la sede di Enel di Villa Lazzaroni a Roma, alla presenza, tra gli altri, di Valerio Giardina, Head of Security di Enel SpA, del generale Franco Federici, Consigliere militare del Presidente del Consiglio, Bruno Frattasi, Direttore generale dell’Agenzia per la Cybersicurezza Nazionale, Fabio Ciciliano, capo Dipartimento della Protezione Civile Nazionale e della vicepresidente del Senato, Licia Ronzulli.
Al di là delle tipologie di minaccia, più o meno frequenti, il principale nodo da risolvere è quello legato alla supply chain. La consapevolezza della fragilità del sistema non è uguale per tutti.
Se le grandi aziende multinazionali con fatturati superiori ai 10 miliardi di euro sono state in grado, nel giro di un anno, di ridurre l’impatto di un eventuale attacco di circa il 51%, per le medie imprese il discorso cambia. Una realtà che fattura circa 500 milioni di euro l’anno, nel 2024 poteva subire un danno di meno di 6 milioni di euro da un attacco alla catena di fornitura, oggi siamo saliti a oltre 9 milioni.
“Ciò che è fondamentale – commenta il presidente AIPSA, Alessandro Manfredini – è che si cominci a guardare alla sicurezza come un prodotto complessivo, in cui ogni attore ha un ruolo decisivo. C’è stato un passo avanti nell’ultimo anno, anche in ragione dei provvedimenti del governo e dell’Ue. Il 61% delle realtà oggi ha un sistema che integra sicurezza logica e sicurezza fisica, ovvero il livello minimo per i tempi che viviamo. Quello che manca, nel 59% dei casi, però, è un piano complessivo di gestione delle crisi”.
“Le aziende, anche quelle piccole, si stanno attrezzando – aggiunge Isabella Gabbiani, AD di Cybrain, società partecipata di TEHA Group, che ha curato la ricerca -. Il 70% delle assunzioni programmate dalle imprese interesserà i professionisti cyber, ma anche il risk management e la governance. Per un’azienda su due, tuttavia, si tratterà di consulenze esterne. A dimostrazione che la Security viene ancora vissuta come una commodity per troppe realtà”.
“In questo quadro, la figura del Security Manager diventa fondamentale – conclude Manfredini –. La buona notizia è che la professione si sta aprendo sempre più alle donne, che sono mediamente più giovani e ricoprono ruoli chiave nelle aree governance e di coordinamento. Un passo avanti importante, in direzione di un approccio sistemico, ragionato e integrato alla sicurezza”.