Quasi un cyberattacco su dieci al mondo colpisce l’Italia. Stefania Ranzato (Deas): «Difendersi non basta. La vera sfida è comprendere la minaccia»
Quasi un attacco informatico su dieci nel mondo prende di mira l’Italia. Secondo l’ultimo rapporto Clusit, associazione italiana per la sicurezza informatica, nel nostro Paese si concentra il 9,6% degli attacchi cyber globali, una quota ben superiore al suo peso economico e demografico. Di fronte a questa situazione, la soluzione di cui si sente parlare più spesso prevede essenzialmente una cosa: difendersi. Eppure, alzare i muri non basta. Per chi lavora nel settore, diventa fondamentale capire come agiscono gli autori di un attacco cyber, quali vulnerabilità cercano e perché scelgono determinati obiettivi. È questa la filosofia alla base di Deas (Difesa e Analisi Sistemi), società italiana specializzata nella cybersicurezza fondata nel 2018 da Stefania Ranzato, che aiuta aziende e istituzioni a individuare i punti deboli dei propri sistemi prima di un eventuale attacco informatico.
Prevenire è meglio che curare, anche nella cybersicurezza
«Per oltre un decennio la cybersicurezza è stata raccontata come una disciplina della difesa. Un approccio necessario, ma che oggi non basta più. Il problema non è soltanto proteggere le infrastrutture: è comprendere la minaccia», spiega la fondatrice di Deas, Stefania Ranzato. L’attività dell’azienda parte proprio da questo principio: non limitarsi a installare strumenti di protezione, ma simulare il punto di vista di chi potrebbe tentare un’intrusione, individuando le criticità prima che si trasformino in problemi reali.
Un approccio che, per funzionare davvero, dovrebbe essere accompagnato anche da una maggiore consapevolezza dei cittadini: aggiornare i dispositivi, utilizzare password intelligenti, riconoscere i tentativi di truffa via sms o mail. Insomma, conoscere i rischi della rete e saperli gestire, seguendo le buone prassi della cyber literacy, perché anche nella cybersicurezza prevenire è meglio che curare. «La difesa più efficace – osserva ancora Ranzato – non nasce dalla protezione delle infrastrutture, ma dalla capacità di comprendere come ragiona chi intende comprometterle». Perché il vantaggio competitivo, soprattutto nel settore cyber, «appartiene a chi capisce prima».
Ti potrebbe interessare
- Attacco hacker a Trenitalia, guai sui dati dei clienti. L’email con l’avvertimento a tappeto su carte di credito, password e cellulari: cosa è successo
- Bruno Frattasi, direttore dell’Agenzia per la cybersicurezza, si dimette. Al suo posto Quacivi (ex ad Sogei)
- La storia dei tre informatici accusati di aver “bucato” anche il pc del procuratore di Torino, Bombardieri
I settori più esposti
A finire nel mirino di attacchi hacker sono spesso quelle organizzazioni che custodiscono grandi quantità di dati o gestiscono servizi essenziali: sanità, trasporti, pubblica amministrazione, banche e piattaforme digitali come Booking e AirBnb. L’ultimo esempio è arrivato da Trenitalia, vittima di un attacco informatico che ha sottratto i dati anagrafici, di contatto e di viaggio di migliaia di cittadini. Ma a finire nel mirino degli hacker sono sempre più spesso anche le strutture sanitarie. Secondo l’Agenzia per la Cybersicurezza Nazionale, nel 2025 gli attacchi contro il settore sanitario sono aumentati del 40%, confermando una tendenza che riguarda tutta Europa. Ospedali e strutture sanitarie sono considerati obiettivi sensibili perché un’interruzione dei servizi può generare gravi disagi e mettere a rischio l’assistenza ai pazienti.
Ma c’è un elemento che distingue le campagne odierne da quelle del decennio scorso. Le operazioni che oggi colpiscono infrastrutture critiche, amministrazioni pubbliche e operatori strategici non somigliano più alla criminalità informatica tradizionale. Dietro le campagne più sofisticate non agiscono soltanto gruppi mossi dal profitto, ma attori che operano secondo le logiche della competizione geopolitica. È una distinzione tutt’altro che terminologica: le principali agenzie occidentali di sicurezza e di difesa stanno convergendo verso un modello che mette al centro lo studio delle capacità avversarie. Non più solo la reazione all’incidente, ma l’analisi sistematica delle tecniche operative e della logica decisionale dei gruppi più avanzati. È l’ingresso a pieno titolo di discipline come l’Adversary Emulation, il Red Teaming e l’analisi delle TTP (Tactics, Techniques and Procedures) impiegate dagli attori state-sponsored.
Una visione anticipata
Questa filosofia ha iniziato a trovare spazio in Italia prima che diventasse senso comune. Quando il dibattito nazionale era ancora orientato in chiave puramente difensiva, Deas ne ha sostenuto l’importanza partendo da una posizione controcorrente: la sicurezza non può poggiare soltanto sugli strumenti di protezione, ma deve partire dalla comprensione operativa della minaccia. Una tesi che allora appariva minoritaria e che oggi, alla luce dell’evoluzione degli scenari internazionali, risulta semplicemente coerente con il modo in cui il settore ha ridefinito le proprie priorità.
Le campagne attribuite ai principali gruppi APT confermano quell’intuizione. Gli attaccanti più strutturati investono una quota rilevante delle proprie risorse non nell’attacco in sé, ma nello studio del bersaglio: analizzano infrastrutture, processi industriali, supply chain, procedure operative, comportamenti umani. Prima di compromettere un sistema, ne comprendono il funzionamento. Da qui è nato, negli anni, un modello orientato alla simulazione di scenari realistici, allo studio delle minacce statuali e alla formazione di professionalità in grado di ragionare secondo le logiche dell’hacking avanzato applicato alla protezione delle infrastrutture strategiche.
In questa prospettiva l’hacking perde la connotazione che l’immaginario collettivo gli attribuisce. Non è trasgressione, non è antagonismo. È una disciplina di comprensione dei sistemi complessi: una metodologia per individuare relazioni, vulnerabilità e comportamenti emergenti prima che un avversario li sfrutti. Una forma di conoscenza, prima ancora che di sicurezza.
Una questione di autonomia, non solo di sicurezza
Se i reati informatici preoccupano e sono in aumento, la ragione più immediata è che il valore economico dei dati è enorme. Proprio per questo, sostiene Ranzato, servono investimenti non soltanto nelle tecnologie, ma soprattutto nelle persone: «Le capacità offensive, intese come capacità di comprendere l’offesa per neutralizzarla, non si trovano sugli scaffali. Si sviluppano attraverso ricerca, sperimentazione continua e confronto con problemi reali». È il principio che regge gli ecosistemi cyber più maturi a livello internazionale, nei quali la ricerca offensiva è uno strumento ordinario per migliorare la resilienza complessiva dei sistemi.
Da questo discende una conseguenza che la politica industriale italiana farebbe bene a interiorizzare: in un settore dove il fattore decisivo è il capitale umano, la dipendenza tecnologica dall’esterno non è un dettaglio operativo ma una vulnerabilità strategica. «Formare, trattenere e valorizzare professionalità capaci di operare a questo livello significa, in ultima istanza, presidiare una porzione di autonomia nazionale», sottolinea Ranzato.
