NEWS

 

La ritrosia delle imprese italiane verso una compliance effettiva, tra carenze culturali, e imperativi normativi ed economici

In Italia, la compliance è ancora prevalentemente vista da manager e imprenditori come un onere formale piuttosto che come un investimento strategico per la resilienza aziendale. Questa diffusa ritrosia culturale, particolarmente radicata nelle Piccole e Medie Imprese (PMI), genera un'applicazione frammentaria e superficiale delle normative, esponendo le organizzazioni a rischi sistemici che travalicano i confini nazionali.

Alla radice del problema c’è un approccio miope che limita la compliance al minimo indispensabile, finalizzato a evitare sanzioni o perdere opportunità commerciali, eludendo così ogni reale impatto sull'organizzazione, sulla sicurezza dei dati, sui processi interni e sui criteri di selezione di fornitori e prodotti.

Questa visione riduttiva si traduce in carenze operative significative: mancanza di competenze interne, scarsa supervisione della supply chain e dipendenza da soluzioni di facciata lasciano le imprese vulnerabili. L’attacco ransomware del settembre 2025, che ha paralizzato gli aeroporti europei a causa della compromissione di un fornitore critico, ne è un chiaro esempio su larga scala. Non si tratta di un caso isolato, ma di una manifestazione macroscopica delle stesse debolezze che affliggono molte PMI italiane.

Le conseguenze di questa sottovalutazione sono tangibili: interruzioni operative, danni reputazionali e costi finanziari elevati. Per questo è fondamentale interpretare l’incidente aeroportuale come un monito universale che evidenzia l’urgenza di un approccio strategico alla compliance. Solo così le imprese potranno trasformare un obbligo normativo in un vantaggio competitivo, garantendo resilienza e sostenibilità nel mercato globale." Solo così le imprese possono trasformare un obbligo normativo in un vantaggio competitivo, garantendo resilienza e sostenibilità nel mercato globale.

Dalla teoria alla pratica: il caso aeroportuale come specchio delle debolezze strutturali - Nella tarda serata del 19 settembre 2025, un attacco ransomware attribuito al gruppo “HardBit” ha colpito i sistemi di Collins Aerospace, una sussidiaria di RTX Corporation, innescando un effetto domino che ha paralizzato alcuni dei principali aeroporti europei. L’attacco ha compromesso la piattaforma cloud MUSE, utilizzata per gestire operazioni critiche come check-in, imbarco e gestione bagagli in diversi hub internazionali. Entro il 20 settembre, gli aeroporti di Londra Heathrow, Bruxelles e Berlino Brandeburgo hanno segnalato gravi disservizi, costringendo il personale a ripiegare su procedure manuali obsolete. Solo a Bruxelles, nella prima giornata, si sono registrate 10 cancellazioni, salite a 40 lunedì 22 settembre.

L'incidente di Collins Aerospace non è solo un evento isolato su scala globale, ma rappresenta un microcosmo delle vulnerabilità che caratterizzano molte Piccole e Medie Imprese italiane. Le carenze strutturali evidenziate nell'attacco ransomware trovano riscontro quotidiano nelle pratiche di gestione del rischio e della compliance delle PMI, rendendo il caso uno specchio potente per riflettere sulle sfide del tessuto imprenditoriale nazionale.

Le indagini hanno rivelato che l’attacco non ha preso di mira direttamente gli aeroporti, ma ha sfruttato vulnerabilità nel sistema MUSE, un servizio cloud utilizzato da molteplici compagnie aeree. Questo approccio ha evidenziato un "Single Point of Failure" (SPOF), ovvero un singolo punto critico il cui collasso ha causato un effetto a cascata su scala continentale. Tra le vulnerabilità identificate figurano sistemi obsoleti come: IIS 8.5, server Glassfish risalenti al 2014 e dispositivi Cisco ASA privi di supporto. Inoltre, un precedente attacco ransomware del gruppo BianLian nel 2023 aveva già colpito Collins Aerospace, sollevando dubbi sulla gestione della sicurezza informatica dell’azienda.

(Nella foto: Felice Amelia, Chief Privacy Officer di Estra Spa)

Il 24 settembre, un uomo di 40 anni è stato arrestato nel West Sussex (Regno Unito) dalla National Crime Agency in collaborazione con autorità internazionali. L’operazione ha coinvolto enti come il National Cyber Security Centre (NCSC) e l’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA), dimostrando l’importanza della cooperazione globale nella lotta al cybercrime. Il processo di recovery si è rivelato complesso: tentativi iniziali di ripristino hanno portato a reinfezioni, costringendo Collins Aerospace a ricostruire completamente i sistemi. L’aeroporto di Bruxelles ha implementato un sistema sostitutivo entro il 28 settembre, anticipando di due mesi la roadmap prevista.

L’incidente ha ulteriormente evidenziato la necessità di adeguarsi alla Direttiva NIS2, che impone nuovi standard di sicurezza ai fornitori di servizi essenziali. Tra questi, la valutazione continua della supply chain, la trasparenza sui rischi e strategie di mitigazione per evitare concentrazioni eccessive su singoli fornitori. L’analisi dell’incidente evidenzia debolezze strutturali che trascendono il settore aereo, tra cui:

- Inadeguata due diligence sui fornitori critici: Valutazioni superficiali o non aggiornate dei fornitori possono tradursi in rischi sistemici. Il precedente attacco BianLian del 2023 avrebbe dovuto innescare una rivalutazione approfondita della postura di sicurezza di Collins Aerospace.

- Mancanza di visibilità sulla supply chain estesa: La complessità dell'ecosistema tecnologico moderno richiede visibilità oltre il primo livello di fornitori. L'opacità sulle relazioni e dipendenze della supply chain estesa crea punti ciechi che gli aggressori possono sfruttare.

- Pianificazione inadeguata della continuità operativa: Il ricorso improvvisato a procedure manuali ha evidenziato carenze nella pianificazione e nel testing dei piani di contingenza.

- Gestione del rischio di concentrazione: La dipendenza da un singolo fornitore per servizi mission-critical condivisi da multiple organizzazioni ha creato un rischio sistemico che si è materializzato con conseguenze transnazionali.

La crisi aeroportuale, quindi, non deve essere vista come un'anomalia esotica, ma come un potente monito. È la manifestazione macroscopica delle potenziali conseguenze catastrofiche derivanti dalle carenze culturali, operative e di compliance che caratterizzano gran parte del panorama imprenditoriale italiano.

La compliance come "costo" e la cultura della "facciata" - Il principale ostacolo a una resilienza diffusa risiede in una radicata percezione culturale: “la compliance è vista come un costo puro, un onere burocratico da minimizzare”, piuttosto che come un investimento strategico per la tutela del valore aziendale e la continuità operativa. Questo approccio riduttivo è particolarmente pervasivo nel mondo delle PMI, dove le risorse sono limitate e l'orizzonte temporale è spesso focalizzato sul breve termine.

Questa mentalità si traduce in un'applicazione delle normative frammentaria e superficiale, limitata al minimo indispensabile per evitare sanzioni immediate. I dati confermano un preoccupante divario di maturità: il Rapporto Cyber Index PMI 2024 di Generali e Confindustria ha rilevato che solo il 15% delle PMI italiane adotta un approccio strutturato alla cybersecurity. Il livello medio di maturità si attesta a un insufficiente 52 su 100, con il 56% delle imprese che si dichiara poco consapevole o del tutto impreparato.

Di fronte alla crescente complessità normativa (GDPR, NIS2, D.lgs. 231/2001, etc.), le imprese adottano spesso strategie di elusione. La più comune è la cosiddetta compliance "di facciata": si producono documenti e procedure formali che rimangono sulla carta, senza un reale controllo operativo o un'integrazione nei processi aziendali. Un'altra strategia è la continua richiesta di "semplificazione normativa", che spesso maschera la volontà di ridurre gli obblighi sostanziali, anziché snellire le procedure.

Un ulteriore sintomo di questa cultura è la riluttanza a investire nella formazione interna. Molti manager considerano più vantaggioso affidarsi a consulenti esterni per gestire le complessità normative, piuttosto che costruire competenze interne a lungo termine. Questo crea un pericoloso circolo vizioso: l'azienda non internalizza mai la conoscenza e la responsabilità, rimanendo dipendente da soluzioni esterne che sono spesso generiche e non calate nella specifica realtà operativa.

Come dimostra il caso Collins Aerospace, gli aeroporti hanno probabilmente delegato la valutazione della sicurezza del sistema MUSE a consulenze esterne, senza sviluppare competenze interne adeguate. Questa abdicazione di responsabilità ha lasciato ampie falle nella governance della supply chain, facilitando l'attacco ransomware.

La supply chain Sotto la lente della Direttiva NIS2: obblighi a cascata - La Direttiva (UE) 2022/2555, nota come NIS2, rappresenta la risposta legislativa diretta dell'Unione Europea ai rischi sistemici derivanti dalle catene di fornitura digitali, come quello materializzatosi nella crisi aeroportuale. Con la sua entrata in vigore, la gestione della sicurezza della supply chain cessa di essere una best practice per diventare un obbligo di legge per un'ampia platea di organizzazioni.

La direttiva amplia notevolmente il suo campo di applicazione, includendo entità "essenziali" e "importanti" in diciotto settori critici, dall'energia ai trasporti, dalla sanità ai servizi digitali. Il cuore della normativa, per quanto riguarda la gestione dei fornitori, è l'articolo 21, che impone a queste entità di adottare misure di gestione del rischio di cybersecurity "adeguate e proporzionate". Tra queste misure, il punto (d) è esplicito: è obbligatorio includere la "sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza concernenti le relazioni tra ciascuna entità e i suoi fornitori o prestatori di servizi diretti".

Applicando questo requisito al caso di studio, un aeroporto, in qualità di "entità essenziale" nel settore dei trasporti, sarebbe legalmente obbligato ai sensi della NIS2 a condurre una rigorosa due diligence su un fornitore critico come Collins Aerospace. Questo non si limiterebbe a una verifica contrattuale, ma implicherebbe una valutazione sostanziale delle sue misure di sicurezza.

Se fosse stato già in vigore, il CRA avrebbe imposto a Collins Aerospace di integrare la sicurezza fin dalla progettazione del sistema MUSE, riducendo significativamente le vulnerabilità sfruttate dagli aggressori.

Trasformare la compliance da obbligo a vantaggio competitivo - L'analisi del disastro aeroportuale e del quadro normativo europeo converge su una conclusione inequivocabile: ignorare la compliance della catena di fornitura digitale non è più un'opzione sostenibile per le PMI italiane. Farlo significa esporsi a un intreccio di rischi che possono compromettere l'esistenza stessa dell'impresa:

- Rischio operativo: Interruzioni dei servizi, blocchi della produzione e incapacità di servire i clienti.
- Rischio legale e finanziario: Pesanti sanzioni amministrative e costi di ripristino.
- Rischio commerciale: Perdita di contratti e opportunità di business.
- Rischio reputazionale: Danno all'immagine e perdita di fiducia.

Per la leadership delle PMI, il momento di agire è ora. È necessario un cambio di paradigma, abbandonando l'approccio reattivo e burocratico per abbracciare una visione strategica della compliance. Le seguenti azioni sono imperative:

- Adottare la governance del rischio: Mappare la supply chain, identificare fornitori critici e condurre valutazioni periodiche.
- Investire nella cultura della sicurezza: Formare tutto il personale, con particolare attenzione al management.
- Integrare la sicurezza "by design": Incorporare principi di sicurezza fin dalle prime fasi di progettazione.
- Sfruttare la compliance come leva commerciale: Utilizzare la conformità come un vantaggio competitivo.

Per le PMI italiane, trasformare la compliance in un vantaggio competitivo non è solo una necessità legale, ma una chiave per aprirsi nuove opportunità di crescita. Investire oggi in sicurezza e resilienza significa garantire un futuro prospero in un'economia sempre più digitale e interconnessa.

Note sull'Autore

Felice Amelia Felice Amelia

Chief Privacy Officer Estra Spa. Membro del Gruppo di Lavoro Federprivacy per la privacy nel marketing e nel commercio elettronico.

Articoli correlati

Prev Il nuovo paradigma: l’Advanced-Strategic-Data-Governance e la “software selection”
Next Quando un click sbagliato può costare milioni di euro all’azienda

Galleria Video

Vademecum per prenotare online le vacanze senza brutte sorprese

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza