Immagina di aver costruito un caveau impenetrabile, con pareti di acciaio spesse un metro e codici biometrici che cambiano ogni sessanta secondi, solo per scoprire che il ladro è già dentro, seduto alla tua scrivania, e ha le chiavi di casa perché gliele hai spedite tu stesso tramite un’email di phishing. Molti investitori si avvicinano al settore della protezione dei dati con questa stessa ingenuità strutturale, convinti che basti comprare un paniere di aziende che vendono firewall per stare dalla parte della ragione. Quando analizzi Ishares Digital Security Ucits Etf, ti rendi conto che la narrazione dominante sulla sicurezza informatica è parziale, quasi infantile. Si crede che il valore risieda nel lucchetto, mentre il vero business si è spostato sulla gestione del caos e sulla resilienza dei sistemi che non possono più permettersi di essere offline nemmeno per un istante. Non è una scommessa sulla sconfitta dei criminali informatici, perché quelli vinceranno sempre qualche battaglia; è una scommessa sull’inevitabilità di una spesa che le aziende non possono più tagliare, nemmeno durante una recessione feroce.
La trappola della crescita lineare in Ishares Digital Security Ucits Etf
Il primo errore che commetti quando guardi a questo settore è pensare che la minaccia cresca allo stesso ritmo delle difese. Non è così. Il crimine informatico è un’industria che non ha costi di logistica, non ha sindacati e non deve sottostare alle normative fiscali di Bruxelles. Le aziende che compongono l’ossatura di questo mercato devono correre il doppio solo per restare ferme. Se guardiamo alla composizione di questo specifico strumento finanziario, notiamo una frammentazione che spaventa il neofita ma entusiasma chi capisce le dinamiche del software. Molti si aspettano di trovare solo i grandi nomi storici, quelli che vendevano scatole metalliche da montare nei server room, ma la realtà odierna è fatta di microservizi e protezione dell’identità. Se un tempo il nemico cercava di abbattere il muro, oggi cerca di impersonare il proprietario.
C’è chi sostiene che il settore sia ormai saturo, che le valutazioni siano eccessive e che i giganti del cloud finiranno per cannibalizzare le piccole società di sicurezza offrendo soluzioni integrate. È l’argomento preferito degli scettici: perché pagare per un servizio esterno quando Microsoft o Amazon ti offrono già una protezione di base? Questa visione ignora la legge fondamentale dell’informatica aziendale: nessuno vuole consegnare tutte le chiavi del regno a un unico fornitore. Il cosiddetto multi-cloud non è solo una scelta tecnica, è una strategia di sopravvivenza. Le società presenti nel portafoglio del fondo vivono proprio grazie a questa necessità di avere un controllore terzo, un arbitro che non coincida con chi ospita i dati. La crescita non è data dalla vendita di nuovi antivirus, ma dalla complessità crescente di un mondo dove ogni lavatrice e ogni sensore industriale è un potenziale punto di ingresso per un attacco.
Oltre il concetto di difesa statale
Dimentica l’idea che la sicurezza informatica sia una questione di hacker solitari in uno scantinato buio. Siamo di fronte a una guerra fredda permanente tra blocchi statali, dove il codice ha sostituito il plutonio. Quando investi attraverso Ishares Digital Security Ucits Etf, stai entrando in un mercato che è diventato un’estensione della difesa nazionale. I budget governativi per la protezione delle infrastrutture critiche sono diventati rigidi verso il basso. Se lo Stato deve scegliere tra asfaltare una strada o proteggere la rete elettrica da un ransomware che potrebbe spegnere gli ospedali, sceglierà sempre la seconda. Questo garantisce un flusso di cassa alle aziende del settore che pochi altri comparti tecnologici possono vantare.
Spesso mi chiedono se non sia meglio puntare sul settore tecnologico generico. La mia risposta è un secco no. Il settore tecnologico ampio è ciclico, influenzato dai capricci dei consumatori e dai tassi di interesse che strozzano la crescita delle startup. La sicurezza dei dati è diversa. È una tassa sull'esistenza digitale. Non puoi decidere di non pagarla se vuoi restare sul mercato. Le aziende che fanno parte di questa strategia d'investimento non vendono un prodotto opzionale; vendono la continuità operativa. Se il tuo sito di e-commerce va giù per un attacco DDoS, perdi milioni ogni ora. Il costo del software di protezione diventa irrilevante rispetto al costo del disastro. Questa è la leva psicologica e finanziaria che sostiene l'intero comparto: la paura della perdita è un motore economico molto più potente della speranza di guadagno.
L'approccio di questo fondo non è quello di cercare il "prossimo Google" della sicurezza, ma di catturare l'intero ecosistema che beneficia di questo spostamento tettonico della spesa aziendale. Vedo spesso investitori che cercano di fare cherry-picking, scegliendo la singola azienda che ha appena annunciato un algoritmo rivoluzionario. È un gioco pericoloso. In questo campo, l'innovazione di oggi è il debito tecnico di domani. Un approccio diversificato ti permette di non restare bruciato se una delle stelle del settore subisce a sua volta una violazione dei dati, cosa che accade più spesso di quanto le pubbliche relazioni vogliano ammettere. La forza sta nella rete, non nel singolo nodo.
La resilienza come nuovo paradigma di profitto
Dobbiamo smettere di parlare di protezione e iniziare a parlare di resilienza. La vecchia scuola diceva: non farti hackerare. La nuova scuola dice: verrai hackerato, assicurati solo che i tuoi sistemi tornino online in dieci minuti e che i dati siano cifrati. Questo cambio di mentalità ha spostato enormi volumi di capitali verso le aziende che si occupano di disaster recovery e di architetture zero-trust. Non ci si fida più di nessuno, nemmeno dell'utente che si è appena autenticato. Ogni transazione, ogni spostamento di file viene verificato costantemente. Questo significa che il software di sicurezza non è più un portiere che sta all'ingresso, ma una pattuglia che gira costantemente dentro l'edificio.
Le critiche che leggo riguardo ai costi di gestione di questi strumenti spesso mancano il punto. Ti dicono che potresti replicare il paniere da solo risparmiando qualche punto base. Ti sfido a farlo. Il settore si muove così velocemente che la rotazione delle aziende all'interno del comparto è frenetica. Società che tre anni fa erano leader indiscusse oggi sono state acquisite o sono diventate irrilevanti. Affidarsi a una struttura che segue un indice metodico basato sulla classificazione dei ricavi garantisce che tu stia investendo in chi effettivamente guadagna dalla sicurezza, non in chi lo dichiara semplicemente nei propri comunicati stampa per cavalcare l'onda.
Ho osservato come molti analisti tradizionali fatichino a comprendere la valutazione di queste società. Guardano i multipli di prezzo sugli utili e inorridiscono. Ma gli utili, in questa fase di espansione globale, sono un indicatore fuorviante. Quello che conta è la ritenzione dei clienti e il valore a vita di ogni contratto. Una volta che un’azienda ha implementato un’architettura di sicurezza specifica, il costo di sostituzione è talmente alto che il fornitore ha creato un fossato economico quasi inattaccabile. È un modello di business basato sulla rendita, molto simile alle vecchie utility dell'energia o dell'acqua. Solo che qui l'acqua è il dato e l'energia è la fiducia.
C'è poi l'elemento geopolitico che troppo spesso viene ignorato nei salotti finanziari di Milano o Londra. La frammentazione di internet, quella che alcuni chiamano splinternet, costringe le multinazionali a raddoppiare gli investimenti per conformarsi a normative diverse e spesso contrastanti tra Stati Uniti, Europa e Asia. Il Regolamento Generale sulla Protezione dei Dati, meglio noto come GDPR, ha trasformato la sicurezza informatica da una scelta tecnica a un obbligo legale con sanzioni che possono arrivare al 4% del fatturato mondiale annuo. Questa pressione normativa è benzina pura per le società che gestiscono la conformità e la sicurezza in modo automatizzato. Chi investe qui non sta scommettendo su un trend passeggero, ma sulla burocratizzazione forzata della tecnologia.
Molti sostengono che l'intelligenza artificiale renderà obsoleti i sistemi attuali. Sostengono che l'AI sarà in grado di difendere i sistemi autonomamente, riducendo la necessità di software di terze parti. Io credo l'esatto opposto. L'intelligenza artificiale è l'arma perfetta per i criminali: permette di creare attacchi su scala massiva, personalizzati e in grado di mutare in tempo reale. Per combattere un'offensiva gestita da un algoritmo, hai bisogno di una difesa ancora più sofisticata, gestita da un altro algoritmo. Questo porta a una corsa agli armamenti digitale dove il vincitore è chi vende le armi, non chi combatte la guerra. Le aziende di sicurezza stanno integrando l'intelligenza artificiale nei loro prodotti da anni, molto prima che diventasse una parola di moda a Wall Street. Non sono le vittime del cambiamento, ne sono le principali beneficiarie.
Guardando ai dati storici, si nota una decorrelazione interessante durante i momenti di panico dei mercati. Quando tutto crolla, le aziende possono tagliare le spese di marketing, possono rimandare l'acquisto di nuovi computer, possono ridurre i viaggi d'affari. Ma non spegneranno mai il firewall. Non smetteranno mai di pagare per la protezione dei loro database. Questa caratteristica rende il comparto una sorta di bene rifugio all'interno del settore tecnologico. È la parte noiosa della rivoluzione digitale, quella che non finisce sulle copertine delle riviste patinate, ma è quella che permette a tutto il resto di funzionare.
C'è una differenza fondamentale tra chi cerca il brivido della speculazione e chi cerca la solidità di un trend macroeconomico inarrestabile. La protezione dei dati non è una moda come lo sono stati i token non fungibili o certi settori del metaverso. È una necessità biologica dell'organismo economico moderno. Senza sicurezza, non c'è fiducia; senza fiducia, non c'è commercio elettronico, non c'è banking online, non c'è industria 4.0. Se togli la spina alla sicurezza digitale, l'intera economia globale torna all'età della pietra in meno di ventiquattr'ore.
In un'epoca di incertezza, dove le frontiere fisiche sembrano tornare di moda, le frontiere digitali sono le uniche che contano davvero per il flusso dei capitali. Investire in questo ambito significa riconoscere che il rischio non è un'anomalia del sistema, ma la sua caratteristica principale. Il valore non sta nell'eliminazione del rischio, un obiettivo utopistico e irraggiungibile, ma nella sua gestione intelligente e redditizia. Le aziende che sanno navigare in queste acque torbide sono quelle che domineranno i portafogli dei prossimi decenni, indipendentemente dalle fluttuazioni di breve periodo dei tassi di interesse o dalle dichiarazioni dei politici di turno.
Siamo passati da un mondo in cui la sicurezza informatica era un costo nel bilancio del reparto IT a un mondo in cui è una priorità strategica discussa nei consigli di amministrazione. Chi non capisce questo passaggio è destinato a guardare i grafici dei rendimenti con frustrazione, cercando di capire perché certe aziende continuino a crescere nonostante tutto. La risposta è semplice: vendono la cosa più preziosa che esista oggi, ovvero la certezza che domani l'azienda esisterà ancora.
Smetti di cercare il lucchetto perfetto e inizia a investire nel sistema che accetta l'esistenza dei ladri.
