Abstract
La cybersecurity è oggi un elemento imprescindibile della sostenibilità d’impresa. In un sistema produttivo come quello italiano, dominato da micro, piccole e medie imprese, la protezione dei dati e delle infrastrutture digitali non può più essere considerata un aspetto tecnico marginale, ma costituisce un fattore determinante anche per la continuità operativa e la competitività. Tuttavia, la crescente complessità del quadro regolatorio europeo e nazionale – dal GDPR alla direttiva NIS2, fino al Data Act e al DORA – sta alimentando un mercato opaco in cui proliferano offerte consulenziali spesso sproporzionate rispetto ai reali bisogni aziendali. Questo contributo analizza il nesso tra obblighi legali, sostenibilità e sicurezza informatica, evidenziando i rischi derivanti da un approccio passivo e non consapevole. Il testo si propone di fornire alle PMI strumenti critici per orientarsi, valutare le priorità e adottare misure efficaci, proporzionate e documentabili, evitando derive allarmistiche o scelte non giustificate sotto il profilo giuridico ed economico.
Chi ha paura dei cybercriminali?
Le PMI rappresentano il cuore pulsante del sistema economico italiano. Oltre il 75% delle imprese attive in Italia rientra in questa categoria, e in particolare le microimprese, con meno di 10 addetti, costituiscono da sole circa l’86% del totale. Un’enorme maggioranza di queste aziende opera nel settore terziario, spesso con margini ridotti e infrastrutture tecnologiche minime. Eppure, proprio queste imprese sono tra le più esposte ai rischi informatici.
Il problema è duplice: da un lato, c’è una mancanza strutturale di protezione; dall’altro, una sottovalutazione del rischio, figlia di un fraintendimento diffuso: “non siamo abbastanza grandi per interessare gli hacker”. Un errore grave. Le micro e piccole imprese sono spesso la porta d’ingresso nelle filiere produttive di aziende più grandi, e proprio per questo diventano bersagli facili per chi cerca vulnerabilità da sfruttare per accedere a obiettivi più ambiziosi.
Nel 2025, una ricerca di CrowdStrike ha fotografato con chiarezza il paradosso italiano: il 93% delle PMI è consapevole del rischio cyber, ma solo il 36% investe realmente in strumenti di protezione, e appena l’11% ha adottato soluzioni basate sull’intelligenza artificiale. È come sapere che il tetto perde e limitarsi a mettere una bacinella sotto la goccia. In questo scenario, il ransomware – ovvero i virus che bloccano i dati chiedendo un riscatto – prolifera soprattutto tra le microimprese, che spesso non dispongono nemmeno di un piano minimo di risposta agli incidenti (Cfr. Cyber security nelle Pmi: nel 2025 navigano ancora a vista, servono più investimenti di M. Castigli su cybersecurity360.it).
Il costo degli attacchi non è simbolico: un’impresa industriale su dieci in area EMEA ha subito danni superiori a 5 milioni di dollari a seguito di attacchi informatici. I danni non sono solo tecnologici, ma commerciali, reputazionali, organizzativi. Perdere i dati significa spesso fermare la produzione, interrompere i contratti, perdere clienti. Eppure, nelle PMI italiane la cybersecurity continua a essere trattata come una spesa accessoria, e non come un fattore vitale di sostenibilità (Ibid.).
La cybersicurezza è sostenibilità, ma occhio agli allarmismi
Per una PMI, essere sostenibile non significa solo rispettare l’ambiente o trattare bene i dipendenti. Significa anche essere in grado di reggere agli urti, proteggere le informazioni, garantire la continuità operativa. La cybersecurity, in questo senso, è parte integrante della resilienza d’impresa. Eppure, nella pratica quotidiana, viene spesso ancora vissuta come un vincolo burocratico, un costo inevitabile da contenere.
Il paradosso è evidente: molte imprese dichiarano di voler innovare, digitalizzarsi, accedere a fondi e bandi pubblici… ma trascurano del tutto la protezione delle infrastrutture informatiche su cui quei progetti si appoggiano. Questo approccio è miope. Senza sicurezza, ogni passo verso l’innovazione è instabile. Un attacco informatico ben riuscito può compromettere anni di investimenti e, nei casi peggiori, portare alla chiusura.
Attenzione però: proprio mentre la sicurezza informatica diventa una necessità concreta, cresce anche il rischio di affidarsi ai consulenti sbagliati. Il settore è oggi popolato da soggetti che vendono “compliance” come un pacchetto preconfezionato, senza spiegare davvero cosa serve, cosa è obbligatorio, cosa è strategico. Le norme europee e italiane sono complesse, è vero. Ma la confusione – soprattutto tra micro e piccole imprese – sta diventando un mercato. E c’è chi ci sguazza.
Molti imprenditori raccontano la stessa storia: “Non ci ho capito nulla, ma ho firmato un contratto da 10mila euro per un piano di cybersecurity che non so nemmeno se mi serve”. Questo atteggiamento porta a spese inutili e decisioni inefficaci. La cybersicurezza, come ogni altro investimento, va fatta con criterio, non per paura di multe o mode del momento. Bisogna rispettare gli obblighi, sì. Ma con giudizio e reale lungimiranza.
Obblighi di legge: cosa devono fare davvero le PMI?
Nel 2025, la cybersecurity per le imprese italiane non è più una raccomandazione: è un obbligo di legge, in molti casi vincolante. Ma non tutte le PMI sono soggette agli stessi doveri. Comprendere il quadro normativo è il primo passo per non farsi prendere dal panico e soprattutto per non spendere più del necessario.
Le normative principali sono tre: GDPR, NIS2 e DORA. A queste si aggiungono il nuovo Data Act e, per le imprese che producono hardware o software connessi, il Cyber Resilience Act. Vediamo in concreto cosa significano per una PMI.
Tutte le imprese, anche le micro, devono rispettare il GDPR se trattano dati personali. L’articolo 32 impone di adottare misure tecniche e organizzative adeguate per proteggere questi dati. Non servono certificazioni formali, ma occorrono antivirus aggiornati, backup, controllo accessi, formazione base. In caso di data breach, la notifica al Garante è obbligatoria entro 72 ore (cfr. Privacy e GDPR).
La direttiva NIS2, invece, riguarda la sicurezza delle reti e dei sistemi informatici. In Italia è stata recepita con il D.Lgs. 138/2024 e si applica solo alle imprese medie o grandi che operano in settori considerati “essenziali” (come energia, salute, trasporti, infrastrutture). Ma attenzione: anche fornitori ICT di enti pubblici o imprese critiche possono rientrare, anche se sono micro o piccole. In questo caso, ci sono obblighi formali di risk management, notifica degli incidenti entro 24 ore e piani di continuità operativa (approfondisci: Protezione dei dati e cybersecurity 2025: gli obblighi aggiornati per le aziende – Canella Camaiora).
Per chi opera nel settore finanziario, entra in gioco il regolamento DORA. Vale anche per PMI come fintech, istituti di pagamento o intermediari finanziari. Qui le regole sono severe: test di sicurezza, gestione del rischio ICT, obbligo di notifica e responsabilità diretta dei dirigenti.
Infine, il Data Act, applicabile dal settembre 2025, impone agli operatori digitali di garantire l’accesso sicuro e trasparente ai dati generati dai dispositivi connessi. Le microimprese sono parzialmente esentate, ma se forniscono dati a soggetti pubblici o grandi aziende, devono adeguarsi. Lo stesso vale per i produttori di dispositivi IoT, che dal 2026 dovranno rendere accessibili i dati per impostazione predefinita (“data by design”).
In sintesi: non tutte le PMI devono fare tutto, ma tutte devono fare qualcosa. Sapere esattamente cosa si applica alla propria realtà è il primo passo per evitare sanzioni, ma anche per evitare di sprecare risorse in azioni inutili o eccessive (approfondisci: Elefantiasi normativa? Quali sono i veri obblighi normativi per la Cybersecurity).
Come proteggersi sul serio, senza farsi fregare dai consulenti
Per una PMI, l’adeguamento agli obblighi di cybersecurity non può diventare una paralisi o un incubo. La parola d’ordine è proporzionalità: servono soluzioni che funzionano, ma che siano anche sostenibili in termini di costi, tempo e risorse umane. E soprattutto, che non facciano il gioco di chi lucra sulla confusione normativa.
Il primo passo è fare il punto della situazione, in modo semplice. Un check-up iniziale con un consulente serio – anche solo una riunione – può aiutare a capire se ci sono rischi evidenti: software obsoleti, mancanza di backup, nessun piano di continuità. Non serve partire con una certificazione ISO 27001 o con un SOC aziendale: per molte PMI bastano azioni di buon senso, documentate e coerenti.
Il secondo passo è scegliere i consulenti con criterio. I professionisti validi non si limitano a vendere soluzioni “chiavi in mano” o software preconfezionati. Ti spiegano perché serve quella misura, ti coinvolgono nel processo, ti danno strumenti per capire. Diffida di chi crea urgenza (“multe imminenti”, “obblighi assoluti”, “conformità immediata”) senza darti tempo di valutare. La cybersecurity non è mai un’emergenza da affrontare in 24 ore, ma un processo da costruire in modo ragionato.
Il terzo passo è fare cultura interna. Anche la miglior infrastruttura informatica può essere bucata da un clic sbagliato su una mail. La formazione dei dipendenti è spesso più efficace di qualsiasi firewall. Esistono corsi semplici, anche gratuiti, per spiegare come riconoscere phishing, ransomware e truffe online. Alcune camere di commercio o enti regionali offrono anche voucher per la sicurezza digitale: vale la pena informarsi.
Infine, bisogna documentare ciò che si fa. Anche se non si è soggetti a NIS2, avere un registro dei trattamenti GDPR aggiornato, una policy interna sui backup, una procedura per gestire un incidente informatico, sono tutti segnali di responsabilità. E, in caso di problemi, servono a dimostrare che si è agito con diligenza, riducendo i rischi di sanzioni o responsabilità.
In fondo, adeguarsi alla cybersecurity non è un esercizio di stile, ma un modo per non buttare via tutto ciò che si è costruito in anni di lavoro. La sicurezza digitale non deve impoverire l’impresa, ma proteggerla. Con intelligenza e misura.
© Canella Camaiora S.t.A. S.r.l. - Tutti i diritti riservati.
Data di pubblicazione: 17 Giugno 2025
È consentita la riproduzione testuale dell’articolo, anche a fini commerciali, nei limiti del 15% della sua totalità a condizione che venga indicata chiaramente la fonte. In caso di riproduzione online, deve essere inserito un link all’articolo originale. La riproduzione o la parafrasi non autorizzata e senza indicazione della fonte sarà perseguita legalmente.
Arlo Canella
Managing & founding partner, avvocato del Foro di Milano e cassazionista, responsabile formazione e ricerca indipendente dello Studio CC®.