Cambiamenti normativi europei e il ruolo crescente della responsabilità aziendale nella cybersecurity. Formazione, governance e cultura digitale diventano elementi chiave per la resilienza.
La cybersecurity non è più solo un tema tecnico relegato ai reparti IT. Le nuove regolamentazioni europee trasformano radicalmente la gestione del rischio informatico, imponendo un salto culturale nelle aziende.
Un dato è emblematico:
– il 95% delle imprese in EMEA ha già riallocato risorse per adeguarsi alle nuove norme. Tuttavia, molte di queste misure restano formali, senza una reale capacità di risposta agli incidenti. Manca una vera strategia. Le aziende rischiano di rimanere formalmente conformi ma strutturalmente vulnerabili.
Questo divario tra consapevolezza e azione è il cuore della sfida.
La responsabilità oggi non è più solo del Chief Information Security Officer (CISO): tutta la leadership aziendale è chiamata in causa. La conformità normativa non basta. Serve una strategia, servono competenze, e serve una cultura aziendale orientata alla sicurezza informatica e alla resilienza.
Le nuove regole europee: responsabilità ai vertici, non solo ai tecnici
Con l’introduzione dei regolamenti NIS2 e DORA, la sicurezza informatica diventa un tema di governance aziendale.
Le nuove norme spostano la responsabilità in alto, coinvolgendo direttamente il consiglio di amministrazione.
Con NIS2, l’Unione Europea ridefinisce i ruoli nella gestione del rischio informatico. L’Art. 20 della direttiva stabilisce che i membri del consiglio di amministrazione devono essere formati e coinvolti nei processi di gestione del rischio cyber.
Le sanzioni previste dall’Art. 34 sono severe: non si limitano all’azienda, ma possono colpire personalmente i dirigenti negligenti. A confermare questa direzione è anche il Regolamento DORA, focalizzato sugli operatori finanziari, che attribuisce alla leadership aziendale la responsabilità della resilienza digitale (Art. 5).
Questi elementi trasformano la cybersecurity in un obbligo strategico, al pari di bilanci, privacy e sostenibilità.
Le norme chiedono di più: piani di risposta testati, scenari realistici, simulazioni, e soprattutto un coinvolgimento attivo del top management, anche in assenza di competenze tecniche specifiche.
Punti chiave:
- formazione obbligatoria per gli amministratori;
- partecipazione attiva ai piani di risposta agli incidenti;
- testing periodico delle strategie di difesa (Art. 21 NIS2, Art. 11 DORA);
- coinvolgimento diretto nel crisis management.
Educazione digitale e cultura della sicurezza: l’utente è l’anello debole
Nonostante firewall, backup e sistemi avanzati, l’errore umano resta la prima causa di attacchi riusciti.
Da qui la necessità di diffondere una vera cultura della sicurezza, che coinvolga tutti gli utenti digitali, in azienda e nella società.
Studi sociologici e criminologici mettono in luce un approccio innovativo che considera la cybercriminalità come fenomeno sociale, non solo tecnico. Non basta proteggere i sistemi. Serve educare le persone.
Suggerisco il libro “(In)giustizie digitali” di Barbara Giovanna Bello, Università della Tuscia, pubblicato da Pacini Editore nel 2023.
La sicurezza, infatti, non non è solo una questione di firewall, ma anche di formazione continua.
EKO365 promuove un approccio centrato sull’utente:
Spunti operativi:
- insegnare a riconoscere phishing, truffe, furti di identità;
- promuovere l’uso di password sicure e strumenti di gestione credenziali;
- educare all’uso consapevole dei social media;
- ridurre la vulnerabilità attraverso la formazione continua (educazione 5.0);
- questa cultura della protezione trasforma gli utenti da vulnerabilità a difesa attiva.
Le disuguaglianze digitali aumentano il rischio cyber
A sostegno di quanto diciamo, aggiungiamo la considerazione che il contesto sociale incide in modo diretto, profondo e spesso sottovalutato sulla sicurezza informatica. Le disuguaglianze economiche, culturali e digitali non solo determinano chi ha accesso alla tecnologia, ma anche come la utilizza e con quale consapevolezza.
Questo si traduce in un’esposizione diversa ai rischi informatici.
Chi vive in situazioni di svantaggio ha meno possibilità di accedere a dispositivi aggiornati e sicuri, ricevere una formazione adeguata all’uso degli strumenti digitali, comprendere e riconoscere i segnali di rischio (phishing, truffe, fake news) e proteggere i propri dati in modo efficace.
Evidenze chiave:
- < povertà = > alfabetizzazione digitale
- > alfabetizzazione = < vulnerabilità
- < vulnerabilità = più facile vittimizzazione (furti, frodi, manipolazioni)
Dall’altra parte della medaglia, la cybercriminalità rappresenta per alcune fasce marginalizzate una via alternativa di sostentamento, meno esposta rispetto alla criminalità tradizionale e apparentemente più facile da praticare. In questo senso, i reati informatici diventano una variante digitale di dinamiche sociali preesistenti, alimentate da esclusione e disagio.
Esiste una chiara continuità tra crimine tradizionale e digitale. Truffe, furti d’identità, estorsioni, inganni—non sono reati nuovi. Sono gli stessi di sempre, adattati ai nuovi mezzi di comunicazione e alle nuove fragilità.
Esempi concreti:
- il furto di identità digitale replica il furto di documenti nel mondo fisico;
- il phishing via email è la versione moderna delle truffe porta a porta o per corrispondenza;
- il cyberbullismo riproduce dinamiche di violenza psicologica che da sempre esistono, ma con strumenti amplificati.
Questo approccio spinge a rivedere le strategie di prevenzione, in termini tecnici, educativi, culturali e sociali. Se vogliamo costruire una vera cultura della sicurezza, dobbiamo partire dall’inclusione digitale, fornendo strumenti e competenze a chi oggi ne è escluso.
Per questo, la cybersecurity dovrebbe essere trattata come difesa tecnologica, e al contempo come politica pubblica orientata all’equità, alla formazione e alla giustizia sociale.
Il ruolo delle aziende: sicurezza, consapevolezza e sostenibilità nel modello EKO365
Nel nuovo scenario normativo europeo, le aziende assumono dunque un ruolo chiave nella costruzione di un ecosistema digitale sicuro e sostenibile. EKO365, in linea con i principi della twin transition e dei valori ESG, promuove un approccio che integra formazione, trasparenza e responsabilità nella gestione della cybersecurity.
La formazione è il primo passo: attraverso corsi pratici, simulazioni e supporto continuo, EKO365 aiuta le PMI a trasformare gli utenti nel vero punto di forza della sicurezza, aumentando la consapevolezza e riducendo i rischi legati al fattore umano.
La trasparenza è centrale nella governance: EKO365 affianca le aziende nella definizione di politiche chiare, nell’adozione di strumenti di controllo e automazione e nella condivisione delle strategie di sicurezza con tutti gli stakeholder.
Infine, la responsabilità è parte integrante dell’identità benefit di EKO365: dalle azioni per il ricondizionamento dei dispositivi IT alla selezione di fornitori sostenibili, ogni scelta tecnologica è orientata al bene comune, con benefici concreti per l’impresa, le persone e l’ambiente.
La sicurezza informatica, per EKO365, è molto più di una protezione tecnica: è un valore d’impresa, un fattore di sostenibilità e un motore di cambiamento culturale.
