Cybersecurity e canale: servizi gestiti e nuove competenze
Crescono attacchi e rischi: EDR, XDR, patch management e formazione trasformano l'offerta di cyber security del canale, tra servizi gestiti e nuove competenze.
Per la cybersecurity, il 2025 è stato un anno che ha obbligato a rivedere ogni record. Il Rapporto Clusit 2026certifica un dato che lascia poco spazio all’ottimismo: a livello globale sono stati censiti 5.265 incidenti, con un incremento del 48,7% rispetto all’anno precedente. La media mensile è passata da 171 eventi del 2021 a 439: si è avuto un aumento del 256% in cinque anni. Non si tratta più di una curva di crescita, ma di un’accelerazione strutturale che ridisegna il profilo del rischio per ogni organizzazione, pubblica o privata, grande o piccola.
Cyber attacchi: l’Italia tra i Paesi più colpiti
L’Italia si conferma tra le nazioni più colpite. Gli incidenti che hanno riguardato organizzazioni del nostro Paese rappresentano il 9,6% del campione globale, una quota sproporzionata rispetto al peso economico dell’Italia. Il fenomeno è guidato principalmente dal cybercrime (responsabile dell’89,3% degli attacchi a livello mondiale), ma in abbito italiano colpisce in modo particolare la crescita dell’hacktivism, che è passato da 80 a 196 episodi in un solo anno e che, secondo Clusit, arriva a costituire il 64% degli incidenti di questa tipologia censiti a livello europeo. Settori come Governo, militare e law enforcement hanno visto un incremento del 290% degli attacchi nel nostro Paese, mentre il manufacturing continua la sua ascesa a livello globale con un +79%.
Un mercato in piena trasformazione tecnologica
Il comparto delle soluzioni di sicurezza vive una fase di profonda ridefinizione. Le tecnologie di Endpoint Detection and Response (EDR) e le piattaforme Extended Detection and Response (XDR) sono diventate il fulcro delle strategie difensive delle organizzazioni più strutturate. Secondo le rilevazioni di Fastweb e Vodafone, la tattica di attacco più diffusa nel 2025 (rilevata attraverso gli agent EDR, i firewall perimetrali, le sonde IDS e i servizi di Identity Protection) è stata l’Execution, ovvero l’esecuzione di codice dannoso, che ha rappresentato il 38% degli eventi. Il dato conferma quanto le soluzioni di rilevamento comportamentale siano cruciali: l’utilizzo di EDR di nuova generazione, integrati con capacità di threat intelligence in tempo reale, si dimostra essenziale per monitorare e prevenire compromissioni che possono rivelarsi devastanti.
Parallelamente, i sistemi MDR (Managed Detection and Response) stanno emergendo come la risposta concreta alla cronica mancanza di personale specializzato. Una survey di Netwrix Research Lab, condotta su 2.150 professionisti IT di 121 Paesi, individua proprio nella carenza di personale IT e nei vincoli di budget i principali ostacoli alla sicurezza. In questo contesto, la delega a provider di servizi gestiti non è più una scelta di convenienza ma una necessità operativa. Alcune piattaforme MDR riescono oggi a gestire automaticamente il 97% degli alert senza intervento umano, con tempi di triage ridotti a pochi minuti rispetto alle ore precedentemente necessarie.
Il patch management è un altro fronte di primaria importanza per la cybersecurity. Clusit segnala esplicitamente come le vulnerabilità non patchate rimangano tra i vettori di accesso iniziale più sfruttati e i sistemi legacy e software non patchati costituiscano una delle criticità strutturali più frequenti, non solo nel settore industriale ma trasversalmente in tutti i comparti. Il tempo che intercorre tra la divulgazione di una vulnerabilità critica e il suo sfruttamento si è ulteriormente ridotto nel 2025, con attaccanti che sfruttano le “one-day vulnerability” (vulnerabilità appena divulgate) in finestre temporali sempre più strette, comprimendo ulteriormente il margine di reazione per i team IT.
Il canale tra consolidamento e specializzazione
Il canale della sicurezza informatica in Italia sta attraversando una fase di consolidamento e specializzazione. I system integrator e i managed service provider più evoluti stanno progressivamente abbandonando il modello del rivenditore puro per abbracciare quello del consulente di fiducia, capace di disegnare architetture di cybersecurity su misura e accompagnare il cliente in percorsi di maturità pluriennali. L’offerta si concentra sempre più su bundle di servizi che integrano monitoraggio continuo (SOC as a Service), gestione delle vulnerabilità, risposta agli incidenti e reportistica di conformità normativa.
La spinta regolatoria (NIS2, DORA per il settore finanziario, AI Act) sta diventando un motore di business per il canale. Molte PMI italiane, storicamente distanti dalla sicurezza informatica per ragioni culturali e di budget, si trovano oggi obbligate ad adeguarsi a standard che un tempo erano appannaggio esclusivo delle grandi organizzazioni. Il canale si è prontamente posizionato come intermediario tra la complessità normativa e le esigenze operative dei clienti, offrendo pacchetti di assessment, gap analysis e remediation che generano pipeline commerciali ricorrenti.
Si rinnova la partnership tra vendor e rivenditori
L’evoluzione verso l’XDR, che integra dati da endpoint, rete, cloud, identità e applicazioni in un’unica piattaforma analitica, sta ridisegnando i modelli di partnership tra vendor e rivenditori. I principali produttori di piattaforme di cybersecurity hanno moltiplicato gli investimenti in programmi di abilitazione tecnica per il canale, consapevoli che la complessità di questi strumenti richiede competenze che non si improvvisano. La figura del security architect certificato, capace di progettare e gestire architetture zero trust ibride, è diventata il profilo più ricercato (e più difficile da reperire) nell’ecosistema del canale italiano.
La survey di Netwrix conferma che la Privileged Access Management (PAM) è rimasta in cima alle priorità dei professionisti IT per il terzo anno consecutivo, con una crescita della domandada parte anche delle compagnie assicurative: la quota di organizzazioni tenute a soddisfare criteri PAM per ottenere copertura cyber è passata dal 36% nel 2023 al 48% nel 2025. Questo ha creato un ulteriore mercato di nicchia per il canale, che aiuta le aziende a soddisfare i requisiti degli assicuratori come condizione di accesso alle polizze cyber, ormai adottate dal 62% delle organizzazioni intervistate.
L’era dell’Agentic SOC
Va infine sottolineato come i Security Operations Center stiano entrando nell’era dell’Agentic SOC, in cui agenti di intelligenza artificiale assumono un ruolo attivo nell’analisi, nella correlazione e nelle prime fasi di risposta agli incidenti. L’automazione intelligente permette di delegare alle macchine attività ripetitive, migliorando velocità e precisione. Gli analisti umani si concentrano così su threat hunting, supervisione strategica, incident response avanzata e governance. Si tratta di una trasformazione destinata a ridefinire il mercato delle competenze di cybersecurity nei prossimi anni. Secondo Canalys (ora Omdia) molte organizzazioni stanno già adottando queste tecnologie agentic e la previsione è che entro uno o due anni l’uso di SOC autonomi diventi uno standard per i Chief Information Security Officer (CISO). Le capacità di queste piattaforme continueranno a crescere fino al 2030, estendendo il loro raggio d’azione oltre le attività di triage di primo livello fino a includere la caccia alle minacce e la risposta complessa a incidenti di sicurezza.
La formazione: da obbligo a vantaggio competitivo
Come conseguenza di questo stato di cose, anche la formazione aziendale sta evolvendo rapidamente. La security awareness tradizionale, spesso limitata a corsi annuali sul phishing, non è più sufficiente. Le imprese stanno progressivamente adottando programmi di security culture continuativa, che coinvolgono management, personale operativo, funzioni legali e board aziendali. La sicurezza viene sempre più interpretata come responsabilità condivisa, parte integrante della governance e non semplice delega al reparto IT.
Un elemento emergente riguarda la formazione sull’uso sicuro dell’intelligenza artificiale. L’adozione diffusa di strumenti AI generativi introduce nuovi rischi di cybersecurity, tra cui esposizione involontaria di dati sensibili, prompt injection, manipolazione degli output e data poisoning. Le aziende devono quindi educare dipendenti e dirigenti non solo a riconoscere attacchi tradizionali, ma anche a comprendere i nuovi vettori di rischio introdotti dall’AI. Nasce così una nuova area di competenza, la AI security awareness, destinata a diventare parte integrante dei programmi formativi corporate.
Il canale intercetta anche questa evoluzione, strutturando offerte di formazione avanzata, simulazioni, assessment culturali e percorsi di certificazione. La formazione non è più percepita come obbligo normativo, ma come vantaggio competitivo, capace di ridurre il rischio operativo e migliorare resilienza complessiva. In parallelo cresce la richiesta di figure ibride, come security architect, compliance specialist e analisti SOC capaci di operare in ambienti automatizzati.
L’evoluzione degli attacchi sta portando il mercato della cybersecurity a muoversi lungo due direttrici convergenti. La prima è l’integrazione tecnologica, con piattaforme sempre più unificate che combinano monitoraggio, detection, remediation e governance. La seconda è la trasformazione culturale, con formazione continua e sviluppo di nuove competenze. La capacità di adottare modelli ricorrenti basati su servizi gestiti e consulenza strategica è oggi l’arma con cui il canale può diventare un partner insostituibile nell’affrontare un ecosistema di minacce in costante evoluzione.
La Guida HR Factorial spiega perché quest’anno il settore delle risorse umane dovrà fare scelte strategiche su tecnologia, benessere e sviluppo delle persone.
Coinvolgere maggiormente le donne, superando il Gender gap, nello sviluppo dell’intelligenza artificiale grazie a tanta formazione e anche a un po’ di coraggio.
Lifelong Learning: quali saranno i trend e le previsioni del nuovo anno secondo Learnn, dopo un 2023 contraddistinto da un’alta domanda per i corsi su AI e ChatGP.
