Gli attacchi alla supply chain dell’informatica continueranno a essere, anche nel 2026, un fattore di rischio non facile da gestire: la pensa così gran parte dei vendor e degli osservatori. Che si tratti di cybercriminali che sanno intercettare e sfruttare una falla oppure di insider che agiscono in malafede, in tutti i casi la catena di fornitura è un vettore di infezione potente, con effetti a cascata. La superficie di attacco è diventata molto più ampia, permeabile e difficile da proteggere.
Come gestire il rischio legato alle terze parti? Le normative e i consueguenti obblighi di compliance possono aiutare? E qual è l’attuale posizione delle aziende italiane? Ce ne parla Enrico Ferretti, managing director di Protiviti, società di consulenza multinazionale che si occupa di gestione dell’IT, trasformazione digitale, risk & compliance. La sua offerta di Managed Solutions permette di integrare la gestione del rischio delle terze parti con altre funzioni di controllo critiche, come quelle per l’anticorruzione, l'antiriciclaggio e il rispetto delle sanzioni internazionali.
Enrico Ferretti, managing director di Protiviti
"La superficie d’attacco delle organizzazioni non coincide più con i loro confini. È l’ecosistema di fornitori, outsourcer, partner tecnologici e gestori di servizi a definire – nel bene e nel male – la vera postura di sicurezza. I numeri italiani lo mostrano con chiarezza: secondo i dati citati dall’Agenzia per la Cybersicurezza Nazionale (Acn), nel primo semestre 2025 gli attacchi verso realtà italiane sono aumentati del 53% rispetto al 2024, mentre gli incidenti con impatto confermato sono cresciuti del 98%. Un attacco su tre passa oggi dalla supply chain, spesso attraverso fornitori meno maturi dal punto di vista della sicurezza. I bersagli più colpiti restano Pubblica Amministrazione (centrale e locale), sanità e telco, e i recenti episodi che hanno coinvolto i gestori del traffico aereo ricordano quanto la dipendenza da terzi possa tradursi in disservizi sistemici ad alta risonanza.
Un primario fattore di rischio
Anche la prospettiva internazionale conferma la centralità del tema. Nella 13esima survey globale, edizione 2025, sulla percezione dei principali rischi da parte di 1.215 membri di CdA e C-suite executive, commissionata da Protiviti alla Erm Initiative della North Carolina State University, le relazioni con terze parti figurano nella “top 10” nei prossimi due o tre anni. In termini di distribuzione, un terzo degli executive attribuisce a questo rischio un impatto “alto”, un terzo un impatto “medio” e un terzo un impatto “basso”, segno di esposizioni molto diverse tra settori e supply chain. Ancora più eloquente l’orizzonte a dieci anni: tra i rischi operativi di lungo periodo, le terze parti si piazzano al terzo posto, selezionate dal 26% dei dirigenti (per le funzioni cyber, dal 31%), a testimonianza di un’interdipendenza che nel tempo tende a impennarsi.
Il collegamento con l’ambito cyber è diretto. Il report evidenzia che outsourcing, accordi di fornitura strategici e partnership di ecosistema estendono i confini dell’organizzazione e contribuiscono in modo significativo al rischio cyber: non basta essere forti “in casa” se la catena del valore rimane porosa. Per reagire, i board più maturi stanno investendo in horizon scanning abilitato da dati, analisi di scenario, modernizzazione tecnologica e pianificazione rapid-response: un pacchetto di misure che unisce prevenzione e prontezza operativa.
Sul fronte regolatorio, la Direttiva NIS2 e il Regolamento Dora spostano l’asticella dalla “buona pratica” alla due diligence: entrambi richiedono alle aziende in perimetro di imporre requisiti di sicurezza ai fornitori, di selezionarli anche in base alla loro maturità cyber, di verificarli nel tempo e sostituirli quando non adeguati. Per Pubblica Amministrazione, sanità, trasporti e telco, questo non è solo compliance: è resilienza operativa.
Aziende italiane: un ritardo da recuperare
Dalla nostra interlocuzione quotidiana con le aziende possiamo notare che in Italia ci troviamo attualmente in una fase ancora preliminare. La questione al momento rimane a livello di compliance, non è strategica. Nello specifico parliamo di adeguamento delle clausole contrattuali e di un focus primariamente diretto verso i grandi clienti. Sebbene siano stati fatti importanti passi avanti nella creazione di un quadro normativo e operativo, molte organizzazioni italiane (in ambito sia finanziario sia manifatturiero) sono ancora in fase di censimento dei fornitori e delle relazioni lungo la catena del valore, spesso assai ramificate, soprattutto tra le aziende orientate all’export, fulcro dell’economia italiana. Questo ritardo nella mappatura e nella qualificazione dei partner rischia di lasciarci indietro rispetto ad altri Paesi, che stanno investendo in soluzioni scalabili di monitoraggio e governance della supply chain.
Se non riusciremo a recuperare rapidamente questo gap, rischiamo di trovarci vulnerabili di fronte a minacce che già oggi sono ben visibili a livello globale. In particolare, le falle di sicurezza nei fornitori di terze parti sono il punto di accesso privilegiato per le cyber minacce, e non possiamo permetterci di trascurare questi anelli deboli. Investimenti in tecnologia, formazione e aggiornamento continuo sui fornitori, e una maggiore integrazione della sicurezza nella gestione della supply chain sono essenziali per non restare indietro".