Aumenta la consapevolezza in merito alla cyber security da parte delle piccole e medie imprese italiane: il Cyber Index PMI, l’indice che valuta il livello di consapevolezza e maturità delle piccole e medie imprese italiane nella gestione dei rischi digitali, evidenzia infatti le piccole e medie imprese italiane raggiungono un livello di consapevolezza in materia di sicurezza digitale pari a 55 punti su 100.

Il dato indica quindi un miglioramento progressivo, seppur contenuto: seppur ci sia stato un aumento del 3% rispetto al 2024 (e del 4% sul 2023), le PMI italiane ancora non raggiungono la soglia di sufficienza fissata a 60 su 100.

Il rapporto, inoltre, evidenzia una marcata polarizzazione tra un nucleo ristretto di imprese più mature e una vasta platea ancora esposta ai rischi.

Il Cyber Index PMI è un’inziativa promossa da Confindustria e Generali, con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la partnership istituzionale dell’Agenzia per la Cybersicurezza Nazionale.

L’obiettivo dell’indgine, giunta alla sua terza edizione, è quello di monitorare nel tempo l’evoluzione della postura di sicurezza del tessuto imprenditoriale italiano, intesa come capacità di governare il rischio cyber attraverso scelte strategiche, assetti organizzativi, processi e strumenti adeguati.

Il rapporto si costruisce sull’analisi di tre aspetti dimensioni:

• approccio strategico, che riguarda il coinvolgimento del management, la definizione di investimenti dedicati e la formalizzazione delle responsabilità in materia di sicurezza digitale
• identificazione, ovvero la capacità di comprendere il fenomeno cyber, individuare le minacce, mappare gli asset e valutare i rischi in modo strutturato
• attuazione, che misura l’introduzione di strumenti, processi e soluzioni operative per mitigare il rischio e rispondere agli incidenti.

L’evoluzione della postura di sicurezza nelle PMI italiane, tra governance e operatività

L’analisi delle tre dimensioni alla base del Cyber Index PMI rivela un’evoluzione asimmetrica nella maturità digitale delle imprese italiane.

Il dato di maggiore rilievo riguarda l’approccio strategico, che per la prima volta raggiunge la piena sufficienza con un punteggio di 62 su 100, segnando un incremento di sei punti rispetto alla rilevazione del 2024.

Il miglioramento riflette una gestione più strutturata della governance del rischio, caratterizzata da un coinvolgimento diretto del management nella definizione delle responsabilità e in una pianificazione degli investimenti più puntuale.

A fronte di una visione strategica consolidata, emergono tuttavia difficoltà nel tradurre le linee guida in azioni concrete.

La dimensione relativa all’identificazione delle minacce e alla mappatura degli asset rimane l’area più critica, con una valutazione media di 47 su 100. Nonostante una crescita marginale di due punti, la capacità di analizzare i rischi in modo strutturato non appare ancora allineata alla consapevolezza teorica dichiarata dalle aziende.

Il quadro operativo si completa con la dimensione dell’attuazione, ferma a quota 57 su 100 e sostanzialmente stabile rispetto all’anno precedente.

L’introduzione di strumenti e processi per mitigare gli incidenti procede con maggiore lentezza rispetto alla definizione dei budget, evidenziando un divario tra l’intenzione d’investimento e l’effettiva adozione di soluzioni protettive.

“Il 2025 ha rappresentato un vero punto di svolta nelle relazioni geopolitiche e nel progresso tecnologico rendendo le minacce cyber ancor più sofisticate e complesse da gestire”, commenta Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano.

“Lo scenario rischia di inasprirsi ulteriormente nonostante il livello record che ha già raggiunto: negli ultimi tre anni quasi una PMI su quattro ha subito una violazione informatica. Il livello di consapevolezza e preparazione delle imprese migliora, ma ancora non ha raggiunto i risultati sperati. È importante reagire come sistema Italia e Europa per garantire un livello comune di preparazione sufficiente ad affrontare un rischio che diventa sempre più operativo”, aggiunge.

La maturità delle imprese: il 38% adotta un approccio artigianale alla cyber security

L’indagine permette di suddividere il tessuto produttivo italiano in quattro profili di maturità, rivelando una distribuzione che privilegia ancora le fasi di transizione.

Le aziende classificate come mature rappresentano il 16% del campione: tali realtà adottano un approccio strategico e dispongono di leve di attuazione che integrano tecnologie, processi e formazione del personale.

Segue il gruppo delle imprese consapevoli, pari al 32%, le quali, pur comprendendo le implicazioni delle minacce informatiche, mostrano una capacità operativa ancora limitata.

La quota maggioritaria, pari al 38%, appartiene alla categoria delle aziende informate. In questo caso, la gestione della sicurezza digitale segue logiche di tipo artigianale, prive di una reale consapevolezza degli strumenti necessari alla protezione degli asset.

Infine, il 14% delle PMI è definito principiante, con una preparazione quasi nulla e l’assenza di misure difensive concrete.

Un segnale di evoluzione emerge dal confronto con le rilevazioni precedenti: per la prima volta le realtà mature superano numericamente le principianti, che registrano un calo di sei punti percentuali.

Nonostante il dato positivo, la sfida della resilienza rimane aperta per il 70% delle piccole e medie imprese, ancora ferme in una fase intermedia dove la conoscenza teorica del rischio non garantisce un’efficace capacità di difesa.

L’impegno di Generali, Confindustria e ACN per diffondere la cultura della cyber sicurezza tra le piccole e medie imprese italiane

L’analisi mostra ancora una volta la necessità di un profondo cambio di mentalità: la gestione dei rischi informatici non deve essere interpretata come un mero adempimento burocratico o tecnico, ma come un fattore abilitante della trasformazione digitale.

“Il Cyber Index PMI mostra che la consapevolezza sta crescendo, ma il salto di qualità passa dall’esecuzione: governance, gestione del rischio e competenze. Come Confindustria vogliamo accompagnare le imprese in questo percorso con strumenti operativi, standard di riferimento e iniziative concrete che rendano la sicurezza accessibile a tutto il sistema produttivo, soprattutto alle realtà più piccole”, commenta Pietro Labriola, Delegato del Presidente di Confindustria per la Transizione Digitale.

Per sostenere il cambio di mentalità necessario a superare gestioni ancora frammentate del rischio, Generali, Confindustria e l’Agenzia per la Cybersicurezza Nazionale hanno avviato un ciclo di incontri formativi e workshop.

Le attività, iniziate a Gallarate e destinate a proseguire a Pescara e Matera, mirano a coinvolgere direttamente le imprese associate per accrescerne la consapevolezza operativa e proteggerne la continuità del business.