– La società di consulenza strategica affianca le imprese nella costruzione di una cultura di sicurezza diffusa, dal CEO all’ultimo dipendente

Roma, 14 marzo 2025. La sicurezza informatica è diventata una priorità imprescindibile per le aziende, sia pubbliche che private. Trojans, spyware, malware, fino ad arrivare alle tecniche più sofisticate di manipolazione vocale come il voice phishing, rappresentano oggi una minaccia concreta per chiunque operi nel mercato. A complicare ulteriormente lo scenario è l’evoluzione costante delle normative, come la recente direttiva NIS2, che impone alle aziende critiche nuovi standard di sicurezza. In questo contesto, non basta più adottare strumenti tecnologici: serve una cultura aziendale della sicurezza, costruita con formazione mirata e aggiornamento continuo. “Le minacce cyber non sono più un tema tecnico riservato all’IT, ma un vero e proprio rischio strategico che riguarda tutta l’azienda, a partire dal top management”, spiega Matteo Adjimi, Amministratore Delegato di Argo Spa, società di consulenza che dal 1989 affianca le aziende nella gestione di intelligence, sicurezza e cyber security. “Un attacco può compromettere dati sensibili, asset finanziari, reputazione e continuità operativa. Per questo è fondamentale che anche amministratori delegati, direttori finanziari e manager strategici siano consapevoli di cosa significhi proteggere l’azienda e sappiano riconoscere i segnali di pericolo”. Gli attacchi informatici oggi non si limitano a sfruttare falle tecnologiche. Il vero bersaglio sono le persone: dipendenti e manager diventano l’anello debole di tutta la catena di sicurezza. Tecniche come il phishing sono ormai note, ma la criminalità informatica evolve, e oggi si affaccia lo spettro del vishing, il voice phishing, che consiste nell’utilizzo di voci falsificate tramite intelligenza artificiale per ingannare i destinatari. “Abbiamo visto casi in cui i truffatori hanno simulato perfettamente la voce di un CEO per indurre un dipendente a effettuare un bonifico o a condividere credenziali di accesso riservate”, racconta Luca Marchesi, Project Manager di Argo Spa. “Difendersi da questi attacchi è difficilissimo se non si è formati e preparati a riconoscere tecniche e segnali di manipolazione”. Proprio per questo, la formazione non è più un’opzione, ma una necessità strategica. “Diventa fondamentale insistere sulla formazione pratica, attraverso simulazioni di attacco, test sul campo e valutazioni costanti del livello di consapevolezza dei dipendenti”, prosegue Marchesi. “Non basta sapere cosa sia un malware: bisogna capire come si comporta, come può arrivare nelle nostre caselle email o nei nostri dispositivi, e soprattutto quali azioni preventive mettere in atto per evitarlo”. Un approccio che si basa sull’integrazione tra tecnologia e cultura aziendale, perché — come sottolinea Adjimi — “puoi avere il miglior sistema di difesa informatica, ma se il primo che riceve un’email o una telefonata sospetta non è in grado di riconoscere il pericolo, l’intera architettura di sicurezza crolla”. Un ulteriore aspetto cruciale è la conoscenza e l’applicazione delle normative. Con la NIS2 ormai alle porte, le aziende critiche e strategiche dovranno dimostrare di aver innalzato il proprio livello di protezione. “La compliance non è più solo un obbligo burocratico, ma diventa un’opportunità per rafforzare concretamente la sicurezza e la resilienza dell’azienda”, aggiunge Adjimi. “Le norme spingono le aziende a fare quel passo in più: non ci si limita più a installare un antivirus, ma si costruisce un vero sistema di gestione del rischio cyber, che coinvolge procedure, formazione, audit e tecnologie di difesa avanzate”. Tuttavia, è bene sottolineare che se le minacce aumentano, anche gli strumenti di difesa evolvono. Oggi le aziende possono contare su sistemi di monitoraggio avanzato delle reti, analisi di vulnerabilità e test di penetrazione costanti, piattaforme di threat intelligence per anticipare minacce emergenti, formazione e simulazioni di attacco personalizzate mirate sui reali rischi aziendali, soluzioni per il rilevamento di deep fake e, appunto, voice phishing. “Non esiste una soluzione unica e valida per tutti, ogni azienda ha il suo perimetro da difendere e le sue specifiche vulnerabilità. Ecco perché è di straordinaria importanza costruire un percorso su misura, partendo dall’analisi dei rischi e arrivando alla formazione di ogni singolo dipendente”, aggiunge Marchesi. Alla fine, la cyber security non è solo una voce di spesa IT, ma un vero investimento strategico, capace di tutelare la competitività e la sopravvivenza stessa dell’impresa.

