Fare e progettare sicurezza ai tempi della phygital security

di Annalisa Coviello

La phygital security, lemma cardine di secsolutionforum, è stata protagonista della tavola rotonda “Cybersecurity e relazioni con la sicurezza fisica” dell’ultima edizione, che ha visto confrontarsi professionisti del calibro di Andrea Busato, Group CISO - Chief Information Security Officer - OVS S.p.A.; Francesco Cantoni, IT Manager Arco Spedizioni SpA; Riccardo Morandotti, ICT Manager & Ciso, ButanGas SpA; Luca Moroni, Cybersecurity e IT Governance Coach, Co-fondatore di CSA, membro del Board di ISACA Venice e Giovanni Zanetti, Cybersecurity Delivery Manager, Fondazione Milano Cortina 2026. Di seguito una sintesi ragionata del confronto.

Partiamo dall’ultimo speaker, che ha analizzato un caso di grande risonanza mediatica che bene chiarisce cosa significhi fare sicurezza nel mondo della complessità: Giovanni Zanetti gestisce infatti la cyber security delle Olimpiadi Invernali Milano Cortina, di scena dal 6 al 22 febbraio 2026. “Una sfida notevole, in particolare in un momento di estrema complicazione geopolitica. L’integrazione tra mondo cyber e fisico è molto più spinta di quello che si potrebbe pensare in questo contesto, perché tutto - dagli accrediti alla videosorveglianza - passa oggi sulle reti. Si deve quindi interagire con Prefetture, Questure, ma anche con i team di polizia postale e i servizi segreti di tutto il mondo: pianificare una sicurezza che comprenda tutti questi aspetti non è impresa facile. A ciò si aggiunga il fatto che, per la prima volta, l’Olimpiade è “diffusa”: i campi di gara non sono cioè concentrati in una grande città ma disseminati sull’arco alpino per un’area di 22.000 kmq che abbraccia Lombardia, Veneto e Trentino-Alto Adige. Si tenga presente che solo da Milano a Anterselva ci vogliono 6 ore di auto: seguire la sicurezza in tutti i campi di gara è quindi una sfida rilevante”. 

Coordinare sicurezza cyber e fisica 

E il tema del coordinamento tra sicurezza cyber e fisica è stato essenzialmente al centro di tutte le relazioni che hanno trattato l’argomento, evidenziando quanto sia ormai imprescindibile saper articolare dei progetti strutturati e saper lavorare in team, considerato che qualunque dispositivo di sicurezza è oggi interconnesso.
Per Francesco Cantoni “il fatto che le apparecchiature siano oggi assai più facili da installare ha permesso una diffusione sempre maggiore di dispositivi da mettere in rete e da gestire. Se questo da un lato ha facilitato il lavoro degli installatori, dall’altro lato ha però aperto nuovi scenari di rischio. Si è spostato il perimetro: se prima l’obiettivo era allargare la visuale di monitoraggio, oggi l’obiettivo è mettere in sicurezza i dispositivi stessi, non più solo l’area. Per garantirne la sicurezza digitale occorre quindi collaborare in maniera molto più stretta con altri reparti”.

Sulla stessa linea Riccardo Morandotti: “la semplicità di installazione ha portato a un proliferare di apparati interconnessi ma la semplicità non deve essere un assist per l’aumento del rischio. Qualunque misura di sicurezza fisica venga implementata deve essere discussa con il dipartimento di cybersecurity, perché implementare una misura di sicurezza non basta. Bisogna far sì che questa misura sia anche efficace ed efficiente e che essa stessa non si riveli una fonte di rischi. Se un apparato di protezione si rivela debole in termini di sicurezza rende infatti insicura l’intera azienda, introducendo nuovi pericoli digitali. L’unica soluzione è far lavorare a braccetto cyber, IT e network”.

Andrea Busato insiste sul tema dello spostamento del rischio sulla catena intesa non solo come supply chain tradizionale, ma come l’insieme dei vari uffici e delle diverse persone che formano un’azienda. “Per questo nella nostra organizzazione lavoriamo molto sul reciproco scambio e la reciproca consapevolezza, ma anche sulla formazione, di quelli che sono i rischi legati alla sicurezza nel suo complesso. Non si può più ragionare a compartimenti stagni (sicurezza IT, security fisica, protezione del perimetro): oggi occorre ragionare su tutti gli elementi che garantiscono la sicurezza di un’azienda e sulla sua continuità operativa”.

Consapevolezza diffusa

Ancora sul tema della semplificazione, Cantoni specifica che con l’avanzamento tecnologico non sono state semplificate le cose: si è solo spostata la loro complessità. “Forse la difficoltà maggiore, oggi, è proprio l’aspetto digitale dei prodotti, anche se bisogna sempre considerare il progetto nella sua interezza. Il costo più basso dei dispositivi non sempre equivale a un reale risparmio, perché bisogna aggiungere il rischio di cyber attacchi, che deriva proprio dall’utilizzo di sistemi meno cari ma anche meno sicuri. Pertanto, tutti gli operatori devono essere allineati sul massimo livello possibile di sicurezza digitale: chi progetta, chi decide, chi acquista e chi installa”. 

E tutti devono essere formati, come ricorda Morandotti: “tutti gli operatori del settore devono essere consapevoli che l’introduzione di apparati non sicuri, non certificati possono portare danni all’azienda. Se poi si tratta di un’infrastruttura critica, che gestisce, ad esempio, sostanze chimiche, si potrebbe arrivare ad arrecare seri danni anche alle persone. Il grande cappello della sicurezza deve dunque arrivare a coprire ogni apparato che presenti una connessione o un’interconnessione con qualcos’altro. Un’infarinatura anche minima di cybersecurity è essenziale. E’ poi fondamentale saper comunicare: anche con il cliente finale, bisogna sempre chiedere un’interfaccia con la parte che gestisce l’IT e la cybersecurity. E ricordarsi che inserire un prodotto non sicuro in un mondo interconnesso è come una valanga: si parte da un sassolino, ma a valle non si sa quali danni possa generare”. 

Responsabilità condivisa 

“Il tema della responsabilità condivisa resta centrale”, riprende Busato. “Nella cybersecurity quando affrontiamo un progetto parliamo sempre di security by design e by default, che significa considerare tutti gli elementi legati alla sicurezza informatica fin dagli step iniziali della progettazione”. La cybersecurity non può essere considerata come ultimo anello della catena, ma va coinvolta sin dalle prime fasi del progetto, gli fa eco Zanetti. “La qualità è una componente della fornitura che nel tempo rende sempre. Un progetto fatto bene è sicuramente replicabile e quindi diventa un asset per l’installatore e per l’azienda. Questo vuol dire investire nella formazione e controllare la catena dei fornitori. Soprattutto, significa lavorare con scrupolo e produrre tutti i documenti necessari, perché se oggi non è necessario certificare la cybersicurezza come si fa con un impianto, fra poco ci si arriverà”. La professionalità dei fornitori rinvia poi al tema della responsabilità e delle polizze sulla cybersecurity, che ormai sono molto diffuse, segno che il problema non è solo sentito dagli addetti ai lavori, ma ormai è entrato nella mentalità comune. 

Collaborare vuol dire

Ma in concreto che significa collaborare? Per Cantoni significa non aver paura di chiedere e alzare la mano. “E poi, fare attenzione alla qualità dei dispositivi messi in campo e, ultimo aspetto ma non meno importante, responsabilizzare ogni attore del progetto su quello che si sta facendo”. 

Per Busato basta sempre domandarsi, anche nel più semplice impianto da installare, se esso possa dirsi sicuro dal punto di vista cyber. E poi segnalare qualunque anomalia o malfunzionamento, perché qualcosa che non va in un sistema può avere ripercussioni anche sul piano digitale. Infine, servono formazione e aggiornamento sia di chi lavora sugli impianti, sia di chi fa sicurezza cyber.

Pienamente d’accordo Luca Moroni, che da Moderatore ha concluso: “i sistemi di sicurezza fisica, a partire dalla videosorveglianza, presentano caratteristiche di cyber security che non sempre l’installatore conosce a fondo o è in grado di configurare. Non si richiede ovviamente ad un tecnico installatore di diventare un super esperto di cybersecurity, ma è giusto aspettarsi che collabori con chi ne sa di più in quel campo. Ognuno può e deve mettere un pezzo della propria esperienza e competenza per rendere la parte digitale sicura, perché non possiamo più permetterci compromessi”.