Cyber Grant Blog

Il perimetro è già caduto | CyberGrant

Scritto da Valerio Pastore | Jul 17, 2026 11:31:39 AM

Il perimetro è già caduto: cosa ci siamo portati a casa da Beyond the Perimeter

di Valerio Pastore, Co-Founder, CyberGrant

Avevamo una certezza quando abbiamo organizzato il nostro evento Beyond the Perimeter: il modello di sicurezza perimetrale era in crisi. Tutti lo sapevano. Quello che non era scontato era quanto fossero disposti a parlarne, senza il filtro dei comunicati ufficiali.

La risposta è stata: molto.

 

Punti chiave

  • I cyber incident in Italia sono cresciuti del 53% nel 2025 rispetto all'anno precedente (fonte: ACN, Agenzia per la Cybersicurezza Nazionale)
  • Le aziende italiane investono 2,8 miliardi di euro in cybersecurity, +12% anno su anno (Osservatorio Security e Data Protection, Politecnico di Milano)
  • Il DLP tradizionale viene abbandonato mediamente entro due mesi dall'adozione: non per mancanza di volontà, ma per attrito strutturale con gli utenti
  • La Shadow AI, dipendenti che caricano documenti riservati su tool AI consumer, è oggi il rischio più sottovalutato nelle grandi organizzazioni
  • La crittografia funziona solo se è trasparente per l'utente: il modello di riferimento è BitLocker, non un PIN aggiuntivo da ricordare
  • Il "harvest now, decrypt later" pone già oggi un rischio concreto per i dati con orizzonte di confidenzialità lungo: chi non sta migrando verso algoritmi post-quantum accumula un debito di sicurezza che prima o poi va pagato

 

La minaccia non è fuori dal perimetro. È ovunque.

Il titolo dell'evento non era una provocazione retorica. Era una diagnosi.

L'ACN ha pubblicato qualche settimana prima del nostro incontro un rapporto che inquadra bene la scala del problema: gli incidenti cyber censiti in Italia nel 2025 sono aumentati del 53% rispetto all'anno precedente. Il dato pesa già così com'è, ma quello che impressiona di più è che parliamo solo degli incidenti rilevati e notificati. Quelli che rimangono silenti sono un multiplo di quella cifra.

Il business oggi vive nel cloud, nelle supply chain, nelle piattaforme SaaS, nei dispositivi personali dei dipendenti. Proteggere un perimetro fisico in questo contesto è logicamente incoerente: è come mettere un lucchetto a una porta quando le finestre sono spalancate e il tetto non c'è più.

Eppure la maggior parte delle architetture di sicurezza ragiona ancora in questi termini.

 

Perché si investe di più ma ci si sente meno al sicuro

L'Osservatorio Security e Data Protection del Politecnico di Milano registra investimenti italiani in cybersecurity a 2,8 miliardi di euro, con una crescita del 12% anno su anno. Numeri in salita.

Da chi era presente all'evento e gestisce la sicurezza sul campo è emersa una frustrazione costante: si acquistano tool, si forma il personale, si definiscono policy, eppure la percezione del rischio non scende. Il budget cresce, la sensazione di essere protetti no.

Il motivo è strutturale. Si continua a comprare strumenti pensati per difendere il perimetro in un'organizzazione che non ha più un perimetro definito. Ogni euro investito in sicurezza perimetrale in un ambiente cloud-first e distribuito ha un rendimento marginale decrescente.

La domanda forse più importante che abbiamo affrontato durante la tavola rotonda era questa: cosa cambia se spostiamo la protezione dal perimetro al dato?

 

Quando il DLP non funziona, il problema è nel modello

Uno degli scambi più onesti della mattinata è arrivato da chi gestisce sicurezza in ambienti enterprise da anni. Il punto era scomodo ma preciso: il DLP tradizionale viene adottato, poi abbandonato in media entro due mesi. Non perché le organizzazioni non vogliano proteggere i dati, ma perché genera attrito, falsi positivi, workflow bloccati, utenti che aggirano i controlli perché non hanno alternative pratiche.

Il problema non è l'implementazione. È il modello.

Il DLP tradizionale nasce da un presupposto che non regge più: il dato è in un posto, lo proteggo in uscita, lo inseguo lungo i canali di fuga. Oggi quel dato è in cloud, in shared folder, in tool AI, in allegati di posta, su dispositivi non gestiti. Non c'è un'uscita da sorvegliare perché il dato è già ovunque.

La risposta che è emersa dalla discussione è opposta: portare la protezione dentro il file, non intorno al perimetro. Se il documento è cifrato alla nascita e resta cifrato ovunque vada, il problema dell'esfiltrazione non scompare, ma cambia natura. Non devi più bloccare ogni via di uscita. Devi solo fare in modo che ciò che viene preso non serva a niente.

"Non si protegge l'uscita, si protegge il file alla nascita. Il dato diventa il vero perimetro di sicurezza."

 

Shadow AI: il rischio che fa preoccupare di più nelle riunioni di board

Uno dei temi che ha animato di più la discussione è stato quello della Shadow AI. Non la Shadow IT classica, l'uso non autorizzato di tool SaaS, ma una più nuova e più difficile da governare: i dipendenti che caricano documenti aziendali riservati su tool AI consumer come ChatGPT, Gemini o strumenti simili, spesso in buona fede, spesso senza capire cosa succede a quei dati una volta trasmessi.

La prof.ssa Greta Nasi, condirettore del Master in Cyber Risk Strategy and Governance (Bocconi e Politecnico di Milano), ha evidenziato un punto che tutti hanno riconosciuto come centrale: una volta che un documento sensibile finisce in un sistema di cui si conosce poco o nulla, il controllo è già perso. Prima ancora di pensare al file, bisogna chiedersi cosa sta succedendo alla proprietà intellettuale dell'azienda, chi lo legge, cosa ne fa.

Il punto che è emerso con chiarezza è che non si tratta di un problema tecnologico. È un problema di governance.

Chi carica documenti riservati su uno strumento non approvato lo fa per due motivi: velocità o mancanza di alternative. Non agisce per malafede. Agisce per efficienza. E se non gli offriamo un'alternativa migliore, continuerà a farlo.

La risposta non è vietare ChatGPT in azienda. È offrire qualcosa di altrettanto comodo, ma privato, governato, tracciabile. Un'AI privata on-premise come AIGrant che elabora documenti aziendali senza esporli a modelli pubblici, con governance per reparto, RBAC, e un audit trail completo su ogni interrogazione.

 

La crittografia deve essere invisibile per funzionare

C'è un blocco psicologico diffuso nei confronti della crittografia enterprise. Quando si propone di cifrare i file, arrivano i dubbi. Si pensa a workflow bloccati, chiavi perse, processi che diventano più lenti.

Abbiamo affrontato questo punto direttamente durante la tavola rotonda, e la risposta più precisa che è emersa è che il problema non è la crittografia: è la crittografia mal progettata.

Il modello di riferimento esiste da anni. Si chiama BitLocker. Chi usa Windows lo usa quotidianamente senza saperlo. Il disco è cifrato. Non c'è PIN aggiuntivo, non c'è rallentamento percepibile, non c'è attrito. La sicurezza c'è. L'utente non la vede.

L'obiettivo è trasferire questa logica ai file, non solo al disco. Ogni documento deve essere cifrato alla creazione e restare leggibile per chi ha l'autorizzazione, su qualsiasi dispositivo, su qualsiasi cloud. Chi non ha l'autorizzazione vede dati inutilizzabili. Senza che l'utente autorizzato debba fare nulla di diverso dal suo workflow normale.

Con FileGrant, questo si traduce concretamente in: cifratura CRYSTALS-Kyber al momento della creazione, controllo degli accessi post-condivisione (revoca anche dopo che il file è già stato inviato), blocco degli screenshot, protezione dallo scraping da parte di sistemi AI esterni. Il tutto con un'interfaccia che non chiede all'utente di "fare sicurezza": la sicurezza è già nel file.

 

Post-quantum: il rischio che arriva prima che tutti se ne accorgano

Il tema della crittografia post-quantum ha trovato terreno fertile nella discussione. Non è un tema futuro: è un rischio presente.

La logica del "harvest now, decrypt later" funziona così: un attaccante raccoglie oggi dati cifrati con algoritmi classici (RSA, ECC), li conserva, e attende che la potenza computazionale quantistica sia sufficiente per decifrarli. I dati che sembrano protetti oggi potrebbero essere accessibili tra cinque o dieci anni.

Per i dati con un orizzonte di confidenzialità lungo, contratti strategici, proprietà intellettuale, dati clinici, infrastrutture critiche, questo è un problema che esiste già. Non è una minaccia futura: è un accumulo di debito di sicurezza che chi non agisce sta già costruendo.

Lo standard di riferimento è CRYSTALS-Kyber, ora ufficialmente NIST FIPS 203 (ML-KEM) dal 2024. Non è una scelta avanzata per chi vuole essere all'avanguardia: è l'algoritmo che le organizzazioni con dati sensibili a lungo termine dovrebbero adottare adesso. Una guida tecnica completa alla condivisione file quantum-safe è disponibile sul nostro blog.

 

Il ransomware perde efficacia quando il dato è già cifrato

Un altro nodo che è emerso durante la discussione riguarda il ransomware e la sua logica economica.

Il ransomware nasce da un'asimmetria: l'attaccante prende i dati, li rende inaccessibili o minaccia di pubblicarli, e chiede un riscatto. Se i dati sono già cifrati, questa asimmetria si riduce drasticamente. Esportare dati cifrati con crittografia robusta è costoso e a bassa resa: nella filiera degli attacchi informatici, che è una filiera economica con costi e margini, un dato cifrato correttamente è semplicemente poco redditizio.

Non è una protezione assoluta. Ma è una variabile che sposta il calcolo dell'attaccante.

 

Cybersecurity come responsabilità di board, non solo dei CISO

Una tesi ricorrente nella tavola rotonda: la cybersecurity non può più essere delegata interamente al CISO o al team IT. Deve diventare una responsabilità di vertice.

Non nel senso che il CEO deve diventare un esperto di sicurezza informatica. Nel senso che le conseguenze di un incidente cyber oggi non sono solo tecniche: sono operative, reputazionali, legali, a volte di sicurezza nazionale.

Mario Ferloni, responsabile dell'unità Cyber Security del Comune di Milano, ha illustrato bene questa complessità dal lato della pubblica amministrazione: gli enti pubblici gestiscono dati di milioni di cittadini, devono garantire servizi essenziali, operano con risorse vincolate e devono comunque fare in modo che la compliance, NIS2, in primo luogo, non rimanga sulla carta.

La normativa NIS2, recepita in Italia con il D.Lgs. 4 settembre 2024 n. 138 ed entrata in vigore il 16 ottobre 2024, formalizza qualcosa che le organizzazioni più mature già applicavano: la resilienza digitale è una responsabilità di vertice. La Determinazione ACN 127437 del 13 aprile 2026 è il documento operativo più aggiornato per i soggetti essenziali e importanti.

Un attacco a un ospedale non è un problema IT. È un problema di salute pubblica. Un'interruzione di un operatore energetico non è un incidente tecnico. È un rischio sistemico. La differenza tra chi ha capito questo e chi ancora delega la sicurezza a un team isolato sarà visibile alla prossima crisi.

 

Cosa ci siamo portati a casa da una mattinata "a porte chiuse"

Beyond the Perimeter era strutturato in modo diverso dal solito. Niente palco, niente presentazioni di prodotto, niente marketing. Una tavola rotonda chiusa tra chi lavora davvero su questi problemi ogni giorno: CISO e responsabili della sicurezza di grandi organizzazioni, rappresentanti del settore pubblico, accademici che formano i futuri strategist della sicurezza, investitori che leggono il mercato da una prospettiva diversa.

Quello che ne esce non è un comunicato stampa. È una mappa di dove sta effettivamente il problema.

Le tre certezze che portiamo via dalla mattinata:

Il perimetro è già caduto. Non è una previsione. È una descrizione dell'oggi, e le architetture di sicurezza che non l'hanno ancora registrato stanno accumulando rischio silenzioso.

La protezione deve spostarsi sul dato. Non sui canali di uscita, non sui device, non sul perimetro. Sul file, dalla nascita. Una protezione che segue il dato ovunque vada, indipendentemente dal cloud, dal dispositivo, dal canale di trasmissione.

La tecnologia c'è. Il collo di bottiglia è culturale e organizzativo. Le organizzazioni che vincono non sono quelle con il budget più alto: sono quelle che riescono a fare sicurezza senza che gli utenti la sentano come un ostacolo.

 

Vuoi confrontarti su come questi principi si applicano alla tua organizzazione? Richiedi una sessione di analisi su un caso simile al tuo.