La trasformazione digitale sta occupando molte - quasi tutte in effetti - aziende italiane. Ci si muove però in ordine sparso, e non sono molte quelle che si affidano a un partner strategico come un MSP. Succede così di esporsi a rischi anche molto seri, cioè quelli delle minacce cyber., da intendersi sia come incidenti informatici sia come attacchi.
I numeri lo confermano. Secondo l’ultimo rapporto Clusit, l’Italia è oggi il secondo Paese europeo più colpito dagli attacchi informatici e tra i primi 10 al mondo. Le PMI rappresentano il 92% del tessuto produttivo nazionale e sono sempre più nel mirino degli attaccanti: il 43% degli attacchi in Italia colpisce imprese con meno di 250 dipendenti.
In pratica una PMI viene colpita da un attacco ogni 11 secondi, e il 75% delle piccole e medie imprese ha subìto almeno un attacco nell’ultimo anno. L’impatto economico è tutt’altro che trascurabile: il danno medio per attacco si aggira intorno ai 59.000 euro, cifra che per molte realtà può mettere a rischio la continuità operativa.
A fronte di un rischio tanto concreto, sorprende constatare quanto siano ancora basse le difese: solo il 15% delle PMI italiane ha oggi un approccio strutturato alla cybersecurity, e meno del 20% effettua valutazioni regolari di vulnerabilità. Si tratta di numeri allarmanti, che dimostrano come la maggior parte delle imprese si muova nel digitale senza alcuna forma di protezione reale.
La tendenza non accenna a migliorare: nel 2025 si registra un aumento del 28% degli attacchi informatici alle PMI rispetto all’anno precedente, con una crescita sensibile non solo nella frequenza ma anche nella varietà e nella sofisticazione delle minacce. Eppure, molte PMI continuano a sottovalutare il rischio. La cybersecurity resta un tema relegato al “quando avrò tempo”, oppure al “non capisco da dove cominciare”. Questa distanza tra percezione e realtà è oggi il vero tallone d’Achille del nostro sistema economico. Ma è possibile colmare il divario? Noi crediamo di sì, partendo da un concetto nuovo: il time-to-security.
Cos’è il time-to-security (e perché non ne parla nessuno)
Nel linguaggio delle operations, il “time-to-market” misura quanto velocemente un prodotto arriva sul mercato. Con lo stesso spirito, introduciamo il termine time-to-security per indicare il tempo che intercorre tra la consapevolezza di un bisogno di sicurezza di un’azienda o di un’organizzazione e l’effettiva attivazione di misure concrete per proteggere il business. Per una PMI, questo tempo è oggi drammaticamente lungo. Non parliamo di ore o giorni, ma di settimane, spesso mesi. Ed è proprio in questo vuoto temporale che si concentrano i rischi maggiori.
Due motivi per cui le PMI non investono in sicurezza
Non percepiscono il pericolo
“Ma tanto a me cosa rubano?” – “Ho solo un sito web” – “Uso un antivirus, sono a posto”.
Frasi di questo tipo sono ricorrenti nelle interviste che abbiamo condotto con imprenditori e amministratori di piccole e medie imprese. Il tema non è solo tecnologico, ma culturale. La sicurezza informatica è percepita ancora come un costo, non come un investimento. E questo vale soprattutto nelle PMI a conduzione familiare, dove il titolare svolge più ruoli, incluso quello di responsabile IT.
Se percepiscono il problema, si bloccano nel processo di acquisto
Per chi vuole seriamente proteggersi, la strada è tutt’altro che semplice. Il mercato oggi propone prevalentemente progetti su misura, consulenze ad alto costo, e processi lunghi. Una PMI che decide di attivare dei servizi di cybersecurity si ritrova in un labirinto fatto di step complessi, documentazione, incontri, assessment, e preventivi poco chiari. Tutto questo alimenta frustrazione e rallenta il time-to-security, spesso lo rende infinito spingendo appunto all’abbandono della ricerca di una soluzione.
Analizziamo meglio il processo attuale che una PMI deve affrontare per mettersi in sicurezza e che arriva anche a 8 mesi di attesa e di lavoro per preparare la soluzione più corretta.
Un percorso in 5 passi
- Ricerca e selezione fornitori (2–4 settimane)
La ricerca avviene tramite il web, consigli da partner o associazioni di categoria. Seguono i primi contatti, richieste di preventivi (RFQ) e confronti tra alternative. In media, 15–30 giorni per arrivare a una shortlist.
- Assessment e consulenza iniziale (4–8 settimane)
Una volta scelto il fornitore, parte una fase preliminare che prevede analisi di rischio, interviste ai team, raccolta documentale, gap analysis rispetto ai framework di riferimento. Qui spesso si genera il primo blocco: serve tempo, personale, disponibilità da parte dell’azienda che invece è impegnata a mandare avanti il proprio business.
- Proposta personalizzata (2–4 settimane)
Arriva la bozza di soluzione: architettura tecnica, servizi gestiti, proposta economica, magari anche una bozza di copertura assicurativa (quando presente) che richiede spesso la compilazione di questionari lunghi e complessi. In questa fase, il cliente inizia a percepire un certo grado di infattibilità.
- Negoziazione e procurement (1–2 settimane)
Intervengono ufficio legale, CFO, responsabili compliance. Si discutono SLA, tempi di risposta, condizioni contrattuali, premi assicurativi. Si conclude con l’acquisto o con l’abbandono della soluzione.
- Attivazione e deployment (8–16 settimane)
Infine, se la fase precedente si conclude con l’acquisto, inizia la fase operativa: installazione agenti, configurazioni, formazione, test. Solo a questo punto la PMI è realmente protetta.
Tempo totale del processo: 4–8 mesi. Un tempo troppo lungo rispetto alla velocità con cui un ransomware può bloccare l’operatività in poche ore.
Serve un cambio di paradigma
Per accelerare il time-to-security servono due leve:
- Una maggiore consapevolezza del rischio – anche grazie a campagne istituzionali come quelle condotte dall’ACN sui propri canali istituzionali, sito web e LinkedIn, a diffusione delle tematiche sui media, come questo articolo, o eventi e webinar gratuiti a cui gli imprenditori possono accedere per capire realmente il problema.
- Servizi più agili e flessibili che permettano alle PMI di attivare le misure necessarie senza affrontare percorsi troppo complessi e troppo costosi.
Sulla seconda leva, i citati MSP possono essere una possibile risposta - in particolare quelli che si occupano di cybersecurity trasformandosi in MSSP. Tuttavia manca una proposta specifica per la security.
Unica eccezione è l’italiana helmon, che è nata di recente è che propone un pacchetto “chiavi in mano” per la sicurezza informatica delle PMI. Hanno lavorato per rendere il processo particolarmente semplice, sfruttando un sistema AI per determinare le esigenze di un’azienda a partire da una Partita IVA, per fornire in pochi attimi un preventivo personalizzato.
Il punto focale è proprio ridurre la complessità e i costi per le PMI. Chi dirige queste aziende infatti ha bisogno di soluzioni che permettano di affrontare il tema cybersecurity in modo chiaro, senza troppe clausole, con un prezzo accessibile e con la possibilità di includere un’assicurazione.
Alle PMI servono facilità e chiarezza
Il panorama attuale della cybersecurity in Italia rivela come le PMI siano esposte a rischi anche seri. Serve molta formazione, serve che si prenda consapevolezza... ma servono anche servizi e fornitori su misura per le aziende più piccole. Il concetto di “time-to-security” è di aiuto in questo caso, perché può permettere a un CIO (o CISO), in coordinamento con il CFO, di determinare un piano di azione che non richieda troppo tempo e che allo stesso tempo non abbia un piano di costi labirintico.
Una volta che si supera il problema di un problema mal percepito (o per nulla), una buona strategia di time-to-security permette di mettere in atto soluzioni concrete evitando complessità e lentezza. Chiaramente servono idee innovative per rendere possibile tutto questo, e la proposta di helmon - un pacchetto di cybersecurity pensato appositamente per le PMI - è un passo nella direzione giusta. Una direzione che ci spinge ulteriormente verso uno scenario di “Cybersecurity Click & Buy as a Service”.
E anche se avere tutto in abbonamento per molti non è l’ideale - comprensibilmente aggiungere una spesa fissa non piace a nessuno - è la formula giusta per assicurarsi di avere costantemente a disposizione la migliore risposta possibile.
