AI e sicurezza cyber per aumentare produttività e resilienza

08/11/2025

Intervista a Alvise Biffi, Presidente Assolombarda

Milano, Monza e Brianza, Lodi e Pavia: un quadrilatero che genera da solo il 13,4% del PIL nazionale. Parliamo delle associate Assolombarda, lì dove l’impresa può fare la differenza nella transizione digitale e portare un contributo positivo al cambiamento, trainando il paese. Il nuovo Presidente Alvise Biffi ha le idee chiare su come ripensare l’impresa: l’IA e la sicurezza cyber sono elementi chiave per aumentare la produttività e garantire resilienza.

Da imprenditore e ora Presidente di Assolombarda, ritiene che le aziende - soprattutto le PMI - stiano investendo a sufficienza per proteggersi dalle minacce cyber e fisiche? E in un’ottica di attrattività di investimenti, quanto conta offrire un perimetro cyber-fisico il più possibile sicuro?

In uno scenario geopolitico complesso e in costante mutamento, mentre il progresso tecnologico procede speditamente, gli investimenti in cyber security non sono mai abbastanza. Esaminando il contesto nazionale, formato per la quasi totalità da PMI, e riprendendo i dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, è, però, utile segnalare che l’Italia continua a occupare l’ultima posizione tra i membri del G7, in relazione al rapporto tra spesa in cyber security e PIL. Gli investimenti dedicati sono, senza dubbio, cresciuti negli ultimi due anni, spinti principalmente dall’adeguamento alle normative nazionali ed europee, prima fra tutte la NIS, che, diversamente dal passato, pone un’attenzione molto importante sulla catena di approvvigionamento. Proprio quest’ultimo punto rappresenta il nodo cruciale. Se pensiamo alla scelta di un fornitore per le nostre aziende, sarà ormai imprescindibile comprendere come questo si approcci al tema della cyber security e quali siano le attività che ha intenzione di portare avanti. Chi di queste PMI non si adeguerà nel modo corretto, sarà automaticamente tagliata fuori dal mercato. La sicurezza, insomma, non è più un plus ma una vera e propria necessità assoluta per permettere alle aziende di sopravvivere. Le PMI, in questa direzione, stanno iniziando sì ad investire, ma tanta strada dovrà essere percorsa nel corso dei prossimi anni.

La sicurezza spesso è ancora percepita come un costo necessario. In molte occasioni, lei invece ha dichiarato che si tratti di un asset strategico, capace di abilitare nuovi modelli di business e rafforzare la competitività delle imprese. Ci può fare qualche esempio concreto?

Le aziende che investono possono, innanzitutto, ampliare il proprio business. Ad esempio, le imprese che implementano sistemi di sicurezza OT/IT integrati - e magari anche certificati - possono accedere a contratti con grandi player internazionali, che richiedono audit di sicurezza come prerequisito per poter lavorare con loro. Inoltre, molte trattative di acquisizione saltano o vengono ridimensionate se emergono falle di sicurezza durante la due diligence. Voi fareste affari con qualcuno che non protegge i suoi dati? Come potrebbe proteggere i vostri dati se non pone, in primo luogo, attenzione al suo perimetro? Investire su modelli di business che abbiano a cuore la cyber security permette di creare valore, innescando un’innovazione sicura e resiliente, rendendola un vantaggio competitivo nei confronti degli altri player del mercato.

Obiettivo primario del suo mandato è porre l’AI al centro della strategia industriale per accrescere la produttività. Ma l’AI porta con sé anche ulteriori rischi e minacce. Quali strategie di protezione consiglia e cosa può fare Assolombarda in questo senso?

L’intelligenza artificiale è, ormai, diventata accessibile a tutti, quasi una “commodity”. La sua esplosione, però, ha un duplice effetto: da un lato potenzia le capacità di difenderci analizzando ingenti volumi di dati, identificando pattern e anomalie, anche sconosciuti (come, ad esempio, zero-day) e consentendo un rilevamento più rapido delle minacce. Ma, dall’altro lato, ha potenziato anche la capacità degli attaccanti di superare le barriere linguistiche, condurre campagne su larga scala, rendendo gli attacchi più sofisticati e difficili da intercettare abbassando anche le competenze tecniche necessarie per attaccare e di conseguenza ampliando il numero di minacce. Come Assolombarda, abbiamo un forte know how sia in ambito AI che in ambito cyber e mettiamo a disposizione delle aziende associate molteplici strumenti che le imprese possono utilizzare per sfruttare al meglio, e in modo sicuro, questa tecnologia.

Nel mondo OT, la convergenza tra tecnologie fisiche e digitali pone ulteriori sfide: parliamo di protezione fisica e logica di macchinari, sensori, sistemi SCADA e ambienti produttivi interconnessi. Le PMI lombarde sono pronte?

Diciamo che sarebbe il caso di parlare di protezione integrata, che permette continuità operativa. I sistemi industriali si rafforzano con configurazioni sicure, segregazioni di rete robuste, patch e firmware testati in laboratorio, whitelisting applicativo e backup immutabili e offline (verificando regolarmente il ripristino). Il monitoraggio è, soprattutto, passivo: si dovranno mappare gli asset e usare sensori sicuri che raccoglieranno i log essenziali per individuare anomalie. Queste solo alcune delle attività che le PMI lombarde dovranno mettere in pratica. Sicuramente un’importante spinta la stanno ricevendo dalla implementazione della Direttiva NIS2 che, grazie alla sua visione di filiera, sta ponendo l’attenzione non più soltanto sul perimetro aziendale in senso stretto ma sulla postura delle aziende anche nei confronti dell’ecosistema che le circonda, in primis i fornitori. In sintesi, le PMI si stanno mettendo in sicurezza, spinte sia da obblighi normativi che sia da una richiesta del mercato, ma soprattutto hanno attivato una crescente consapevolezza dei rischi. La strada da fare perché siano pronte resta comunque ancora lunga.

Parliamo di mismatch tra domanda e offerta di competenze, particolarmente evidente in ambito security e OT: quanto occorrerà per colmare l’attuale lacuna di competenze e cosa può fare Assolombarda per accelerare il processo?

Il mismatch tra domanda e offerta di competenze in ambito cyber security e OT è, forse, oggi il nodo più critico per la trasformazione digitale e sicura delle aziende, poiché il problema è molto più ampio e corale. Per riuscire a colmare tale gap, sarà necessario investire risorse (non solo economiche) per stimolare e sviluppare una formazione più adeguata in ogni grado di istruzione. Sappiamo, ormai, che in Italia ci sono migliaia di posizioni aperte in ambito cyber security e OT che non riescono a essere coperte per mancanza di profili adeguati. A livello globale, il gap è ancora più ampio: si parla di oltre 4 milioni di professionisti mancanti. Possiamo quindi stimare che ci vorranno dai 5 ai 10 anni per ridurre significativamente questa lacuna. Come sistema-Paese ci stiamo lavorando: sono partiti numerosi corsi all’interno delle Università dedicati al tema (dal Politecnico di Milano alla Bocconi) e c’è un continuo lavoro anche con gli istituti tecnici. È notizia di qualche giorno fa che proprio il Team Italiano, i cui partecipanti hanno un’età compresa tra i 14 e i 25 anni, ha vinto l’undicesima edizione dell’European Cybersecurity Challenge (ECSC) a Varsavia, in Polonia, a testimonianza che la qualità della nostra accademia e dei nostri giovani è massima. Ma, oltre a supportare le nuove generazioni per evitare fughe all’estero, sarà importante riqualificare anche chi è già nel mondo del lavoro. I tecnici IT, ingegneri e operatori OT delle nostre aziende possono essere formati per assumere ruoli in ambito sicurezza, per questo l’attivazione di percorsi di upskilling e reskilling è oggi di massima priorità per colmare il gap.

Qual è il ruolo di Assolombarda?

Come Assolombarda, crediamo fortemente nel rafforzare le sinergie pubblico-privato ed è proprio tramite in questo spirito che lavoriamo a stretto contatto con l’Agenzia per la Cybersicurezza Nazionale (ACN). Inoltre, grazie alle competenze interne all’Associazione, possiamo
accompagnare le aziende nel percorso di messa in sicurezza e di individuazione di eventuali gap da colmare. In quest’ottica, vi aspettiamo al nostro appuntamento annuale per chiudere insieme il mese europeo della cyber security, il 31 ottobre, dove insieme all’ACN analizzeremo come, ad un anno dall’entrata in vigore del Decreto Legislativo 138/2024 sulla NIS2, il panorama della cybersicurezza sia mutato e quali saranno le nuove sfide normative e le opportunità strategiche per imprese e istituzioni.