
Consapevolezza del rischio in azienda – P1

La consapevolezza del rischio nelle aziende: perché manca
Perché il rischio resta invisibile, perché il contesto 2026 lo rende strategico e perché nascono resistenze interne anche nella sicurezza.
Questa prima puntata spiega perché il rischio resta spesso invisibile, come il contesto 2026 rende più urgente la sua gestione e perché nascono resistenze anche dentro le funzioni di sicurezza.
Analizziamo il motivo per cui molte aziende percepiscono il rischio solo dopo un incidente, quali pressioni normative e operative rendono oggi il tema centrale e perché la resistenza al cambiamento può nascere anche dentro le funzioni dedicate alla sicurezza.
La seconda puntata traduce questi concetti in metodo operativo, governance AI, roadmap e metriche.
Il rischio che non si vede
La difficoltà più grande nella gestione del rischio non è sempre tecnica. Spesso è percettiva. Un incidente informatico, un blocco di produzione, una violazione di dati personali, un errore di un sistema di AI o l’indisponibilità di un fornitore critico sono eventi visibili. Il rischio, invece, è ciò che viene prima: una combinazione di vulnerabilità, esposizione, probabilità, impatto e capacità di risposta.
Le organizzazioni, per loro natura, sono più abituate a reagire agli eventi che a governare le possibilità. Il fatturato, la consegna al cliente, il go-live di un progetto, l’urgenza commerciale e la continuità dell’operatività quotidiana producono segnali forti e immediati. Il rischio produce segnali più deboli: una procedura non aggiornata, una responsabilità non assegnata, un backup mai testato, un modello AI usato senza criteri, un fornitore non valutato, un dipendente che aggira un controllo perché lo considera troppo lento.
La gestione del rischio diventa matura quando l’azienda smette di chiedersi solo “che cosa è successo?” e inizia a chiedersi con continuità “che cosa potrebbe succedere, con quale impatto, e chi deve decidere cosa fare?”.
Questa è la ragione per cui la consapevolezza del rischio non può essere ridotta a una campagna di formazione annuale. È un modo di governare l’azienda. Richiede linguaggio condiviso, ruoli chiari, metriche comprensibili e una funzione sicurezza capace di parlare non solo di minacce, ma di decisioni, priorità, sostenibilità e valore.

La consapevolezza del rischio nelle aziende: perché manca
Perché il rischio resta invisibile, perché il contesto 2026 lo rende strategico e perché nascono resistenze interne anche nella sicurezza.
Questa prima puntata spiega perché il rischio resta spesso invisibile, come il contesto 2026 rende più urgente la sua gestione e perché nascono resistenze anche dentro le funzioni di sicurezza.
Analizziamo il motivo per cui molte aziende percepiscono il rischio solo dopo un incidente, quali pressioni normative e operative rendono oggi il tema centrale e perché la resistenza al cambiamento può nascere anche dentro le funzioni dedicate alla sicurezza.
La seconda puntata traduce questi concetti in metodo operativo, governance AI, roadmap e metriche.
Il rischio che non si vede
La difficoltà più grande nella gestione del rischio non è sempre tecnica. Spesso è percettiva. Un incidente informatico, un blocco di produzione, una violazione di dati personali, un errore di un sistema di AI o l’indisponibilità di un fornitore critico sono eventi visibili. Il rischio, invece, è ciò che viene prima: una combinazione di vulnerabilità, esposizione, probabilità, impatto e capacità di risposta.
Le organizzazioni, per loro natura, sono più abituate a reagire agli eventi che a governare le possibilità. Il fatturato, la consegna al cliente, il go-live di un progetto, l’urgenza commerciale e la continuità dell’operatività quotidiana producono segnali forti e immediati. Il rischio produce segnali più deboli: una procedura non aggiornata, una responsabilità non assegnata, un backup mai testato, un modello AI usato senza criteri, un fornitore non valutato, un dipendente che aggira un controllo perché lo considera troppo lento.
La gestione del rischio diventa matura quando l’azienda smette di chiedersi solo “che cosa è successo?” e inizia a chiedersi con continuità “che cosa potrebbe succedere, con quale impatto, e chi deve decidere cosa fare?”.
Questa è la ragione per cui la consapevolezza del rischio non può essere ridotta a una campagna di formazione annuale. È un modo di governare l’azienda. Richiede linguaggio condiviso, ruoli chiari, metriche comprensibili e una funzione sicurezza capace di parlare non solo di minacce, ma di decisioni, priorità, sostenibilità e valore.
Il contesto 2026: AI, cyber, norme e aspettative del mercato
Nel 2026 la gestione del rischio non è più un tema confinato ai reparti IT, legal o compliance. È diventata una condizione di affidabilità aziendale. Le ragioni sono almeno quattro: l’accelerazione dell’intelligenza artificiale, l’aumento dell’interdipendenza digitale, la pressione normativa europea e la crescente attenzione di clienti, assicuratori, investitori e partner di filiera.
Il dato economico aiuta a rendere concreto ciò che spesso viene percepito come astratto. Il Cost of a Data Breach Report 2025 di IBM indica un costo medio globale di una violazione dati pari a 4,4 milioni di dollari e sottolinea un “AI oversight gap”: molte organizzazioni adottano strumenti AI più rapidamente di quanto costruiscano controlli di accesso, policy e governance adeguate. [12] Il messaggio non è che l’AI sia da evitare; è che l’innovazione senza presidio produce debito di rischio.
Il Global Cybersecurity Outlook 2026 del World Economic Forum evidenzia come AI, frammentazione geopolitica e disuguaglianze di capacità cyber stiano rimodellando il panorama del rischio, aumentando la pressione sulle organizzazioni perché adattino strategia, investimenti e policy. [13] In altre parole, il rischio digitale non è solo una questione di tecnologia: è governance, resilienza, continuità operativa e capacità decisionale.
La pressione normativa europea non è un dettaglio
Per le aziende europee, o per quelle che operano sul mercato europeo, il rischio digitale è ormai intrecciato a un insieme di regole che chiedono non soltanto documenti, ma capacità dimostrabili. L’AI Act è entrato in vigore il 1° agosto 2024; alcune disposizioni, come pratiche vietate e obblighi di alfabetizzazione AI, si applicano dal 2 febbraio 2025, mentre gli obblighi per i modelli di AI general-purpose sono entrati in applicazione dal 2 agosto 2025. La pagina ufficiale della Commissione europea aggiornata al 2026 riporta anche il calendario applicativo rivisto per alcuni sistemi AI ad alto rischio, con scadenze differenziate nel 2027 e 2028. [1]
La NIS2, recepita in Italia con il Decreto legislativo 4 settembre 2024, n. 138, amplia il perimetro dei soggetti coinvolti e rafforza la centralità delle misure tecniche, organizzative e di governance per la cybersicurezza. [4] DORA, applicabile dal 17 gennaio 2025, impone al settore finanziario una disciplina organica sulla resilienza operativa digitale, includendo gestione del rischio ICT, incident reporting, test di resilienza e controllo dei fornitori ICT terzi. [5] Il Cyber Resilience Act, entrato in vigore il 10 dicembre 2024, introduce obblighi progressivi per prodotti con elementi digitali, con obblighi di reporting dal 11 settembre 2026 e applicazione principale dal 11 dicembre 2027. [6]
| Ambito | Che cosa cambia per l’azienda | Implicazione culturale |
|---|---|---|
| AI Act | Classificazione dei sistemi AI, alfabetizzazione, governance dei modelli, obblighi per GPAI e sistemi ad alto rischio. | L’AI non può essere introdotta solo perché “utile”: va censita, valutata, documentata e monitorata. |
| NIS2 / D.Lgs. 138/2024 | Maggiore perimetro di soggetti, governance cyber, misure proporzionate al rischio, gestione e notifica degli incidenti. | La cybersicurezza non è un presidio IT: è responsabilità gestionale e organizzativa. |
| DORA | Per il finanziario: resilienza digitale, test, gestione fornitori ICT, incident reporting e oversight sui provider critici. | La continuità operativa dipende anche dalla filiera tecnologica e contrattuale. |
| Cyber Resilience Act | Per produttori di software/hardware con elementi digitali: security by design, vulnerability handling, reporting. | La sicurezza entra nel ciclo di vita del prodotto, non si aggiunge alla fine. |
Queste norme non vanno lette come un elenco di obblighi separati, ma come segnali convergenti: il mercato europeo sta chiedendo alle organizzazioni di dimostrare controllo, tracciabilità, resilienza e responsabilità. Una cultura aziendale che percepisce la sicurezza come “freno” o “fastidio” rischia quindi di trovarsi fuori tempo non solo rispetto alle minacce, ma anche rispetto alle aspettative regolatorie e commerciali.
Cosa significa davvero mancata gestione del rischio
La mancata gestione del rischio non coincide semplicemente con l’assenza di antivirus, firewall, policy o procedure. Un’organizzazione può possedere molti strumenti e restare fragile, se questi strumenti non sono collegati a decisioni, responsabilità e comportamenti coerenti. Gestire il rischio significa costruire un ciclo: identificare, analizzare, valutare, trattare, monitorare e comunicare. È il linguaggio della ISO 31000, che descrive il risk management come un approccio integrato nei processi di governance, strategia, pianificazione, valori e cultura dell’organizzazione. [9]
Quando questo ciclo manca, si manifestano sintomi ricorrenti. I rischi vengono identificati tardi o solo dopo un audit. Le responsabilità sono implicite. I fornitori vengono scelti per prezzo e rapidità, ma non per resilienza. I progetti digitali partono senza valutazione preventiva. I team business considerano la sicurezza un ostacolo, mentre la sicurezza considera il business una fonte continua di deviazioni. L’AI viene adottata in modo frammentato, spesso attraverso strumenti esterni, account personali, plugin, automazioni o modelli non approvati. Il risultato è un’organizzazione che funziona, ma non sa davvero quanto sia esposta.
Confondere la presenza di controlli con la presenza di governo. Un controllo isolato riduce una vulnerabilità; un sistema di governo decide quali rischi sono accettabili, quali vanno ridotti, chi può accettarli, quando riesaminarli e come comunicarli.
Il rischio non gestito produce tre tipi di danno
Il primo è il danno operativo: sistemi indisponibili, processi bloccati, produzione rallentata, personale impegnato in attività di emergenza. Il secondo è il danno economico: costi di ripristino, consulenze, penali, perdita di ordini, aumento dei premi assicurativi, investimenti urgenti non pianificati. Il terzo è il danno fiduciario: clienti, dipendenti, partner e autorità iniziano a chiedersi se l’organizzazione sappia davvero proteggere ciò che le è stato affidato.
Nel caso dell’AI, il danno può essere ancora più sottile. Un modello può generare risposte errate ma plausibili, trattare dati non idonei, introdurre bias, automatizzare una decisione senza supervisione, esporre informazioni riservate o creare dipendenza da fornitori esterni non adeguatamente valutati. La criticità non nasce solo dall’algoritmo, ma dal contesto in cui viene usato: dati, utenti, obiettivi, controlli, log, auditabilità e capacità di intervento umano.
La matrice è volutamente semplice: serve a tradurre la conversazione dal piano tecnico al piano decisionale. Il suo valore non è “calcolare tutto”, ma far emergere chi decide, con quali informazioni e con quali soglie di accettazione.
Perché nascono le resistenze interne
Le resistenze degli operatori interni non sono sempre segno di superficialità. Spesso sono la risposta razionale a un sistema di incentivi incoerente. Se una persona viene valutata sulla velocità di consegna, tenderà a percepire un controllo di sicurezza come perdita di tempo. Se un responsabile di funzione non vede tradotto il rischio in impatti economici, penserà che la sicurezza sia un linguaggio tecnico lontano dal suo lavoro. Se un team ha vissuto la sicurezza solo come divieto, cercherà scorciatoie.
La cultura del rischio fallisce quando chiede alle persone di comportarsi in modo sicuro senza rendere quel comportamento compatibile con il lavoro reale. Le campagne di awareness, da sole, non bastano: devono essere accompagnate da processi più semplici, strumenti utilizzabili, feedback rapidi e responsabilità chiare. ENISA, nelle proprie attività di awareness e cyber hygiene, sottolinea proprio la necessità di promuovere cambiamento comportamentale e buone pratiche integrate nei diversi settori. [10]
| Resistenza | Come si manifesta | Che cosa c’è sotto | Risposta efficace |
|---|---|---|---|
| “Rallenta il business” | Controlli aggirati, eccezioni continue, approvazioni viste come burocrazia. | Il controllo è stato progettato senza capire il flusso operativo. | Co-design: sicurezza e business ridisegnano insieme il processo. |
| “È troppo tecnico” | Il management delega tutto agli specialisti. | Il rischio non è tradotto in impatti economici e decisionali. | Report con scenari, impatti, opzioni e decisioni richieste. |
| “Non succederà a noi” | Bassa priorità, budget rinviati, test mai eseguiti. | Ottimismo organizzativo e assenza di memoria degli incidenti. | Simulazioni di crisi e casi concreti riferiti al settore. |
| “Abbiamo già una policy” | Documenti presenti ma non applicati, controlli non misurati. | Compliance documentale scambiata per controllo reale. | Verifiche operative, metriche, audit su evidenze e miglioramento continuo. |
| “La sicurezza è compito loro” | Segnalazioni tardive, scarsa ownership nei team. | Responsabilità percepita come esterna. | Risk owner per processo, formazione per ruolo, escalation chiara. |
La resistenza è anche emotiva
Parlare di rischio significa spesso mettere in discussione abitudini, autonomia, priorità e competenze. Un operatore può sentirsi controllato. Un responsabile può temere che l’emersione di un rischio diventi un’accusa di cattiva gestione. Un tecnico può vedere la governance come burocrazia. Un commerciale può temere di perdere un’opportunità. Per questo la gestione del rischio deve evitare la cultura della colpa. Un’organizzazione matura non punisce chi segnala un problema; al contrario, considera la segnalazione tempestiva un comportamento da premiare.
La Cybersecurity and Infrastructure Security Agency statunitense sintetizza questo principio parlando di responsabilità condivisa: la sicurezza funziona quando ciascuno comprende la propria parte nel rendere l’esperienza digitale più sicura. [14] La stessa logica vale in azienda: la sicurezza non può essere “di tutti” in modo generico; deve essere di ciascuno in modo concreto.
Quando anche la funzione sicurezza diventa resistente
Un punto delicato, spesso evitato, è che le resistenze non arrivano solo dal business. Possono nascere anche all’interno della funzione sicurezza. Accade quando la sicurezza si percepisce come presidio assediato, quando è sovraccarica di richieste, quando non ha abbastanza sponsor, quando parla un linguaggio troppo tecnico o quando misura il proprio valore solo in termini di blocchi e non di abilitazione sicura.
Il paradosso è frequente: l’azienda ha una funzione sicurezza, ma questa non riesce a influenzare davvero le decisioni. Viene coinvolta tardi, spesso alla fine dei progetti, quando modificare architettura, fornitore o processo costa troppo. A quel punto il team sicurezza può soltanto dire “no”, oppure accettare eccezioni che non avrebbe voluto concedere. In entrambi i casi perde credibilità.
La funzione sicurezza matura non è quella che blocca di più, ma quella che aiuta l’organizzazione a prendere decisioni migliori: più rapide quando il rischio è basso, più rigorose quando il rischio è alto, più documentate quando il rischio è accettato consapevolmente.
Il National Cyber Security Centre del Regno Unito, nel proprio toolkit per i board, insiste sul ruolo degli organi di governo nel fare in modo che cyber resilienza e risk management siano incorporati in persone, sistemi, processi e tecnologie. [11] Questo messaggio è essenziale: la funzione sicurezza non può essere lasciata sola. Deve essere sostenuta da governance, budget, mandato e accesso alle sedi decisionali.
Fonti e riferimenti
Fonti pubbliche, autorevoli e raggiungibili, consultate per l’aggiornamento del testo al 7 luglio 2026. I link sono cliccabili; le date indicano la data di pubblicazione, entrata in vigore, aggiornamento della pagina o applicazione normativa quando disponibile.
| ID | Fonte | Data / aggiornamento rilevante | Rilevanza | Link |
|---|---|---|---|---|
| [1] | Commissione europea — AI Act, Shaping Europe’s digital future | Pagina con timeline aggiornata; consultata 7 luglio 2026 | Calendario applicativo AI Act, governance e obblighi. | Apri |
| [2] | Commissione europea — General-Purpose AI Code of Practice | Codice pubblicato 10 luglio 2025; pagina aggiornata 23 aprile 2026 | Trasparenza, copyright, safety & security per modelli GPAI. | Apri |
| [3] | Commissione europea — Guidelines for providers of GPAI models | 28 aprile 2026 | Ambito degli obblighi GPAI e calendario di enforcement. | Apri |
| [4] | Gazzetta Ufficiale — D.Lgs. 4 settembre 2024, n. 138 | GU n. 230 del 1 ottobre 2024 | Recepimento italiano della Direttiva NIS2. | Apri |
| [5] | EIOPA — Digital Operational Resilience Act (DORA) | Applicazione dal 17 gennaio 2025 | Resilienza operativa digitale nel settore finanziario. | Apri |
| [6] | Commissione europea — Cyber Resilience Act | Entrata in vigore 10 dicembre 2024; reporting dal 11 settembre 2026 | Security by design per prodotti con elementi digitali e vulnerability reporting. | Apri |
| [6b] | Commissione europea — CRA reporting obligations | Obblighi di reporting dal 11 settembre 2026 | Tempistiche 24h, 72h e report finale per vulnerabilità/incidenti gravi. | Apri |
| [7] | NIST — Artificial Intelligence Risk Management Framework | AI RMF 1.0; pagina NIST consultata 7 luglio 2026 | Framework volontario per rischi AI verso persone, organizzazioni e società. | Apri |
| [8] | NIST — Cybersecurity Framework 2.0 | 26 febbraio 2024 | Introduzione della funzione Govern e ciclo di gestione del rischio cyber. | Apri |
| [9] | ISO — ISO 31000:2018 Risk management — Guidelines | Standard ISO 31000:2018 | Principi e processo di risk management integrato nell’organizzazione. | Apri |
| [10] | ENISA — Awareness and Cyber Hygiene | Pagina consultata 7 luglio 2026 | Awareness, cambiamento comportamentale e cyber hygiene. | Apri |
| [11] | NCSC UK — Cyber Security Toolkit for Boards | Toolkit consultato 7 luglio 2026 | Ruolo del board nel governo del rischio cyber e della resilienza. | Apri |
| [12] | IBM — Cost of a Data Breach Report 2025 | Report 2025 | Costi medi delle violazioni dati e AI oversight gap. | Apri |
| [13] | World Economic Forum — Global Cybersecurity Outlook 2026 | 12 gennaio 2026 | Trend 2026: AI, geopolitica, cyber inequity, pressioni su strategia e investimenti. | Apri |
| [14] | CISA — Cybersecurity Awareness Program | Pagina consultata 7 luglio 2026 | Cybersecurity come responsabilità condivisa. | Apri |
| [15] | OECD — AI Principles | Adottati nel 2019, aggiornati nel 2024 | Principi per AI affidabile, innovativa e rispettosa di diritti e valori democratici. | Apri |



