Ho visto aziende e consulenti perdere mesi dietro a protocolli di sicurezza che non avevano alcun senso logico, solo perché pensavano che la protezione dei dati fosse una questione di firewall e password complesse. Ricordo un caso specifico: una media impresa tecnologica che stava cercando di ottenere un contratto d'appalto governativo ad alto livello. Avevano speso quasi centomila euro in software di crittografia di ultima generazione e consulenze esterne superflue, convinti che la tecnologia da sola avrebbe aperto le porte della fiducia istituzionale. Al momento dell'audit, sono stati scartati in meno di un'ora. Il motivo? Non avevano la minima idea di come interfacciarsi con il Dipartimento delle Informazioni per la Sicurezza Dis, né avevano compreso che la sicurezza nazionale e la tutela del segreto di stato seguono regole che non si comprano su un catalogo di software. Avevano costruito una cassaforte d'acciaio su un terreno di sabbie mobili, ignorando le direttive che regolano il coordinamento dell'intelligence in Italia.
L'errore di confondere la cybersecurity aziendale con il Dipartimento delle Informazioni per la Sicurezza Dis
Il primo grande sbaglio che vedo ripetere è trattare la sicurezza delle informazioni come se fosse un problema puramente informatico. Molti pensano che basti assumere un bravo CTO per essere "a norma" con le esigenze dello Stato. Non è così che funziona. Il sistema di informazione per la sicurezza della Repubblica ha una gerarchia e delle funzioni di coordinamento che vanno ben oltre la semplice difesa dai malware. Quando si parla di infrastrutture critiche o di asset strategici nazionali, il riferimento non è il tecnico del piano di sopra, ma un'architettura complessa che fa capo alla Presidenza del Consiglio.
Chi fallisce in questo ambito di solito ignora la Legge 124 del 2007 e le sue successive modifiche. Pensano che la gestione del segreto sia un'opzione o un fastidio burocratico. Ho visto dirigenti d'azienda presentarsi a incontri istituzionali senza aver effettuato le dovute verifiche sui propri dipendenti o senza aver richiesto i nulla osta di sicurezza necessari. Il risultato è sempre lo stesso: porte chiuse, contratti saltati e una reputazione distrutta presso gli uffici che contano. Se non capisci che la tua azienda è parte di un ecosistema di sicurezza nazionale, rimarrai sempre un fornitore di serie B, destinato a raccogliere solo le briciole dei mercati meno sensibili.
Pensare che la conformità sia un modulo da compilare una volta l'anno
C'è questa idea pericolosa che la sicurezza sia un "set and forget", ovvero qualcosa che imposti e poi dimentichi. In realtà, il flusso informativo tra i vari attori dell'intelligence e le realtà private strategiche è costante. Se pensi di poter ottenere una certificazione o un'autorizzazione e poi ignorare gli aggiornamenti sulle minacce ibride o sulle nuove vulnerabilità sistemiche, sei fuori strada.
Dalla mia esperienza, la differenza tra chi sopravvive a un attacco mirato (o a un tentativo di spionaggio industriale) e chi chiude i battenti sta nella velocità di reazione. Quella velocità non viene dal software, ma dalla rete di relazioni e dalla comprensione dei canali ufficiali. Se accade un incidente che tocca la sicurezza nazionale, non chiami la polizia postale e basta; devi sapere esattamente come si muove la macchina dello Stato. Chi aspetta il disastro per capire a chi rivolgersi ha già perso in partenza.
Il mito dell'indipendenza totale dalle direttive del Dipartimento delle Informazioni per la Sicurezza Dis
Molti imprenditori, specialmente nel settore tech, soffrono di un complesso di superiorità. Credono che lo Stato sia lento, vecchio e inutile. Questo pregiudizio costa caro. Ho visto startup con tecnologie rivoluzionarie fallire perché non hanno voluto allinearsi agli standard di sicurezza richiesti per le tecnologie dual-use o per i settori sensibili. Pensavano di poter fare tutto da soli, proteggendo la loro proprietà intellettuale con metodi artigianali.
Quando invece ti allinei alle procedure, non stai solo "ubbidendo" a una legge, stai proteggendo il valore della tua impresa. Lo Stato non è lì solo per controllare, ma per garantire che il patrimonio tecnologico italiano non finisca nelle mani sbagliate. Sottovalutare l'importanza del coordinamento informativo significa esporre il fianco a acquisizioni ostili mascherate da investimenti o a furti di brevetti che potrebbero essere evitati con una corretta gestione delle informazioni classificate.
La gestione dei Nulla Osta di Sicurezza (NOS)
Un punto critico che quasi tutti sbagliano riguarda il personale. Gestire un'azienda che lavora con informazioni sensibili richiede che le persone siano fidate, e la fiducia in questo campo si misura con i NOS.
- Non puoi richiedere un NOS per tutti "giusto per sicurezza". È una procedura costosa e lunga.
- Non puoi ignorare la scadenza dei titoli di sicurezza dei tuoi collaboratori.
- Non puoi pensare che un controllo fatto cinque anni fa sia ancora valido se il profilo di rischio della persona è cambiato.
L'approccio corretto è quello chirurgico: identificare chi deve sapere cosa e garantire che solo quelle persone abbiano l'accesso, mantenendo i dossier sempre aggiornati e pronti per le ispezioni. Ogni errore in questa fase non è solo una sanzione amministrativa, è una potenziale falla di sicurezza che può compromettere l'intera struttura.
Ignorare la differenza tra intelligence e semplice investigazione privata
Molti manager, quando sospettano un problema interno, assumono agenzie investigative private dai nomi altisonanti. Spesso queste agenzie operano ai limiti della legalità, raccogliendo prove che non possono essere usate in tribunale o, peggio, attirando l'attenzione delle autorità per metodi poco ortodossi. Ho visto casi in cui l'intervento di un investigatore privato ha inquinato così tanto la scena di un crimine informatico da rendere impossibile qualsiasi azione legale successiva.
Il professionista esperto sa che quando la minaccia è di natura esterna e strutturata, magari proveniente da attori statali o gruppi terroristici, gli strumenti privati non servono a nulla. Bisogna conoscere il perimetro di sicurezza nazionale cibernetica. Sapere dove finisce la tua responsabilità e dove inizia quella dello Stato è fondamentale. Se cerchi di fare l'eroe solitario, finirai per essere schiacciato tra chi ti attacca e chi dovrebbe proteggerti ma si trova ostacolato dalle tue azioni maldestre.
Un confronto reale: la gestione della crisi prima e dopo
Per capire davvero cosa intendo, analizziamo come due diverse aziende hanno gestito lo stesso tipo di minaccia: un tentativo di infiltrazione tramite ingegneria sociale mirato a ottenere i progetti di un nuovo sistema di difesa.
L'approccio sbagliato (L'azienda Alpha) L'azienda Alpha rileva un'attività sospetta sui propri server. Il CEO, preso dal panico, ordina al team IT di bloccare tutto e formattare le macchine coinvolte. Contemporaneamente, assume un'azienda esterna per fare "pulizia". Non viene fatta alcuna segnalazione alle autorità perché temono per la loro reputazione. Tre mesi dopo, scoprono che i file erano già stati esfiltrati tramite un accesso remoto dormiente che non avevano trovato. Il progetto finisce su un mercato nero estero. Lo Stato scopre la fuga di notizie, revoca tutte le licenze all'azienda e avvia un'indagine penale per omessa custodia di materiale classificato. L'azienda Alpha fallisce entro l'anno.
L'approccio corretto (L'azienda Beta) L'azienda Beta nota la stessa attività. Il responsabile della sicurezza, che conosce le procedure, isola i sistemi ma non distrugge le prove. Segue immediatamente i protocolli di comunicazione stabiliti, attivando i canali di raccordo previsti. Gli esperti del settore intervengono con discrezione, identificando non solo la falla, ma anche l'origine dell'attacco. L'intelligence fornisce all'azienda Beta le contromisure per neutralizzare l'aggressore senza che questi se ne accorga, permettendo di trasformare la vulnerabilità in una fonte di informazioni preziose. L'azienda mantiene i contratti, riceve una nota di merito per la collaborazione e rafforza la sua posizione come partner affidabile dello Stato.
La differenza tra i due scenari non è nel budget, ma nella preparazione e nel rispetto del quadro istituzionale. La prima azienda ha agito per paura, la seconda per metodo.
Sottovalutare l'analisi del rischio e la sicurezza fisica
C'è una tendenza a pensare che tutto avvenga nel cloud. Si spendono milioni in cybersecurity e poi si lasciano le porte degli uffici aperte o si permette a visitatori non identificati di girare nei laboratori con uno smartphone in tasca. La sicurezza delle informazioni è un concetto totale.
Dalla mia esperienza nei dipartimenti operativi, ho visto segreti rubati non tramite complessi attacchi hacker, ma semplicemente fotografando documenti lasciati sulla scrivania o ascoltando conversazioni in un bar vicino alla sede aziendale. Se il tuo piano di protezione non include la sicurezza fisica e la formazione psicologica del personale (la cosiddetta sicurezza umana), hai un buco enorme nel tuo sistema. Non serve a nulla avere il protocollo più avanzato del mondo se poi il tuo dipendente più fidato cade nella trappola di un profilo social falso che lo aggancia per carpire dettagli sulla sua routine lavorativa.
La realtà dei fatti e cosa serve davvero per proteggersi
Smettiamola con le illusioni: la sicurezza assoluta non esiste e nessuno verrà a salvarti se non hai costruito prima una struttura solida. Se pensi che esista una scorciatoia o un software magico che risolva i tuoi problemi di conformità e protezione, sei la vittima perfetta per il prossimo venditore di fumo.
Per lavorare seriamente in settori che toccano l'interesse nazionale, devi accettare che la tua libertà d'azione sarà limitata. Dovrai sottoporti a controlli, dovrai investire in procedure che sembrano rallentare il lavoro e dovrai essere trasparente con le istituzioni. Molti non hanno lo stomaco per questo. Vogliono i profitti dei contratti governativi senza gli oneri della sicurezza.
Ecco cosa serve davvero:
- Una gerarchia chiara dove la responsabilità della sicurezza non è delegata all'ultimo arrivato, ma è in cima alle priorità del consiglio di amministrazione.
- Un investimento costante nella formazione del personale, non con noiosi video-corsi, ma con simulazioni reali di attacco e gestione dello stress.
- Una conoscenza profonda del quadro normativo italiano ed europeo, per evitare di investire in soluzioni che non verranno mai accettate in fase di audit.
- La capacità di ammettere un errore immediatamente. Nascondere una falla di sicurezza è il modo più veloce per trasformare un problema tecnico in un disastro legale e reputazionale.
Non c'è spazio per l'ego in questo campo. O segui le regole del gioco stabilite da chi ha la visione d'insieme della sicurezza dello Stato, o sei destinato a diventare un caso di studio su come non gestire un'azienda strategica. La scelta è tua, ma il tempo per decidere solitamente scade molto prima che te ne accorga. Se non hai ancora integrato la cultura della sicurezza nazionale nei tuoi processi operativi, non sei protetto: sei solo fortunato. E la fortuna, nel mio mondo, ha una data di scadenza molto breve.
