Payload: la sostanza della cybersecurity

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

/ https://creativecommons.org/licenses/by/4.0/]

[Immagine di copertina di Bart Fish & Power Tools of AI /

https://betterimagesofai.org

Il cyberspazio americano

Alessandro Lavarra — Tue, 17 Mar 2026 08:02:43 GMT

Ciao, sono Ale.

Scrivo Payload per raccontare la sostanza della cybersecurity. Di solito questo significa analizzare dati, standard internazionali o intervistare chi lavora in questo settore, oggi voglio fare qualcosa di diverso: commentare il documento President Trump’s Cyber Strategy for America, reso pubblico dalla Casa Bianca il 6 marzo 2026 perché è molto più significativo di quanto sembri.

https://www.whitehouse.gov/articles/2026/03/white-house-unveils-president-trumps-cyber-strategy-for-america/

I commentatori italiani di cui ho letto finora tendono a normalizzarlo, inserendolo in un percorso di continuità con le precedenti iniziative americane in materia di sicurezza. Secondo me, è un errore.

Come sta diventando chiaro su più fronti, anche qui l’amministrazione Trump ha tracciato una direzione radicalmente diversa dal passato e il testo del suo Cyber Strategy for America contiene elementi di rottura molto più profondi e preoccupanti di quanto sembri.

Preoccupanti anche perché non si tratta dell’ennesima stravaganza di un presidente fuori standard, si tratta di un disegno più ampio, che coinvolge oligarchie digitali strutturate e radicate da decenni.

Per capirlo davvero, bisogna tornare un po’ indietro. Seguitemi.

PayPal, Tolkien e la supremazia americana

Il personaggio chiave di questa storia si chiama Peter Thiel, co-fondatore, insieme a Elon Musk, di PayPal, e teorico del pensiero che oggi permea la classe dirigente americana.

Nelle sue teorie, e nei suoi saggi, Thiel ha ridefinito il ruolo della tecnologia, non più come elemento portante di un’economia consumer fondata sul mercato, ma come asset strategico al servizio del governo, per sostenere la supremazia USA sul mondo. Supremazia economica, strategica ma sopratutto militare.

Da qui si può già leggere con occhi diversi il parterre di star del tech che abbiamo visto sfilare alla nomina di Trump alla Casa Bianca.

Thiel non è solo un uomo di teoria. Potenza economica e digitale della Silicon Valley, ha fondato Palantir (nome che evoca i cristalli veggenti di Tolkien) che ha fatto della consulenza ai militari la propria ricchezza. Nel tempo, Palantir ha formato talenti che hanno generato spin-off di successo verticali sullo stesso tema: supporto alla supremazia militare. Tutti con nomi usciti dalla Terra di Mezzo: Anduril (la spada di Aragorn, defense tech), Erebor (banca digitale per startup AI e mondo crypto), Mithril Capital, Rivendell (Gran Burrone), Sauron (home security), Durin, Narya Capital lanciata da J.D. Vance pupillo di Thiel da lui sostenuto nelle sue campagne elettorali.

Il Palantír di Orthanc come appare nel film La Compagnia dell'Anello

Non è una coincidenza, è un ecosistema che usa il naming tolkieniano come elemento di riconoscimento, come cifra identitaria di un movimento. I riferimenti a Tolkien, a un mondo nettamente diviso tra bene e male, non sono casuali, trasmettono una visione in cui il “male” è qualsiasi antagonista degli USA (oggi leggerei soprattutto la Cina) e ogni strumento tecnologico è giustificato in nome di una crociata morale. Le zone grigie dell’etica civile vengono semplicemente annullate.

Questo ecosistema ha radici antiche. Negli anni 2000 circolava già il termine “PayPal Mafia”: il gruppo di ex dipendenti e fondatori di PayPal (Peter Thiel, appunto, Elon Musk, Reid Hoffman, Max Levchin, David Sacks e Jeremy Stoppelman) diventati fondatori o finanziatori di Tesla, LinkedIn, YouTube, Facebook, Yelp e Palantir. Un gruppo molto dotato, capace di influenzare profondamente lo sviluppo tecnologico moderno, fondato su competenze, investimenti incrociati e contratti con i governi.

In sintesi: c’è una scena della Valley con forti interessi e legami con i governi, una visione suprematista, capacità di lobbying e una forza tecnologica in grado di influenzare le masse. Una scena che, a un certo punto, ha trovato in Trump l’elemento chiave per entrare direttamente nella stanza dei bottoni, oggi, infatti, molti protagonisti siedono in ruoli chiave del governo USA intenti a realizzare quello che Thiel aveva teorizzato.

Ma cosa aveva teorizzato Thiel?

“Invece delle Nazioni Unite, sature di interminabili e inconcludenti dibattiti parlamentari che somigliano a storie shakespeariane raccontate da idioti, dovremmo considerare Echelon, il coordinamento segreto dei servizi di intelligence mondiali, come la via decisiva verso una vera pax americana globale.”

— Peter Thiel

Questo è un estratto de Il momento straussiano, pubblicato in Italia da Liberilibri nel 2025, ma in circolazione negli Stati Uniti già dal 2007.

Chi conosce l’operato di Palantir riconoscerà nella citazione qui sopra una dichiarazione di intenti a cui Thiel è rimasto fedele negli anni, e che è stata ribadita più i recente dal socio Alexander C. Karp in La Repubblica Tecnologica, in modo ancora più esplicito.

La frase nell’immagine qui sopra è come Palantir si presenta sul proprio sito. Come è chiaro dai riferimenti militari, Thiel e Karp non hanno mai rifiutato di cooperare con il governo statunitense in quell’ambito, anzi, la loro filosofia si basa proprio sull’idea di una Silicon Valley determinante per la supremazia militare degli U.S.A. e non più come solo strumento economico rivolto al mercato consumer.

Stiamo parlando di alcune delle persone più ricche e influenti del pianeta, eppure qualcuno ancora crede che queste siano opinioni isolate, che non avranno una presa reale sulla politica internazionale, tantomeno sulla cybersecurity.

Invece con questa panoramica possiamo leggere meglio l’attualità, capire la richiesta di deregolamentazione da parte delle big tech in nome del free speech e l’antipatia per le normative europee che limitano la loro azione, il significato dell’antieuropeismo, la sicumera con cui il governo americano compie azioni militari guidate dall’AI… e oggi ritroviamo il loro marchio di fabbrica nel documento con data 6 marzo 2026 intitolato President Trump’s Cyber Strategy for America.

Una certa idea di cyberspazio

Nel documento President Trump’s Cyber Strategy for America il cyberspazio è esplicitamente definito come arsenale militare, utilizzabile per distruggere infrastrutture straniere. La deregulation è presentata come acceleratore necessario alla supremazia tecnologica, a scapito della responsabilità dei produttori. E la parola “Adversaries” rimane volutamente vaga ad indicare chiunque ostacoli gli interessi USA, dentro o fuori dai confini.

→ Scarica il pdf di “President Trump’s Cyber Strategy for America”

Alla luce di tutto questo, anche la reazione sproporzionata verso il rifiuto di Anthropic di collaborare senza limiti etici con il governo diventa comprensibile. Non è una reazione isolata è la risposta prevedibile a un sistema ideologico che non ammette eccezioni.

Il documento apre con una dichiarazione di supremazia “Cyberspace was born in America” e altre frasi chiave sono:

“We will establish a new level of relationship between the public and private sectors to defend America in peace and war.”

“We must move away from adversary vendors and products, promoting and employing U.S. technologies.”

Nell’introduzione colpisce come il riferimento alla potenza militare arrivi prima di ogni riferimento alla cybersecurity, le cui attività vengono definite “non-kinetic powers”.

È chiaro che l’amministrazione Trump sta mettendo in atto quello che Thiel e Karp hanno teorizzato. Le infrastrutture civili IT diventano così parte dell’arsenale militare americano, e possono essere usate per “operazioni cyber sia difensive sia offensive” contro i non meglio specificati “avversari”.

L’impatto di questi cambiamenti sull’Unione Europea e sull’Italia è difficilmente prevedibile. Un corso d’azione ideale sarebbe rendersi indipendenti dalle tecnologie americane, in modo speculare, tra l’altro, al protezionismo degli americani stessi, ma una transizione in tempi rapidi è complicata da immaginare, per non parlare delle possibili implicazioni geopolitiche.

Di certo il panorama della cybersecurity sta cambiando su tre livelli.

Prima, le aziende si difendevano dai cybercriminali; oggi parliamo di conflitti tra nazioni.
Prima la Silicon Valley poteva avere contratti con il governo, ma era sostanzialmente indipendente; oggi le aziende americane che si rifiutano di collaborare rischiano di essere bollate come un rischio per la sicurezza nazionale.
Prima il governo USA vedeva gli sviluppi tecnologici come un vantaggio commerciale; oggi come un’arma militare da sfruttare per mantenere il primato mondiale.

È logico e rassicurante pensare che la militarizzazione della Silicon Valley e la spinta alla deregolamentazione trovino giustificazione strategica nella competizione per l’egemonia su AI, semiconduttori e quantum computing contro Pechino. Il “cyberspazio come arsenale” ha un bersaglio preciso, e probabilmente non siamo noi, almeno per ora. Ma noi europei rappresentiamo un problema diverso, un freno, il tentativo di regolamentare il loro spazio d’azione.

Compiere scelte consapevoli sulle tecnologie che si portano in casa sarà sempre più cruciale.

Restare seduti sull’attuale situazione (usando social, strumenti di comunicazione, servizi SaaS e cloud americani senza pensarci) significa stare seduti sul deposito di munizioni di un potenziale avversario.

Non possiamo fare granché, ancora. Ma almeno possiamo cominciare a esserne consapevoli. E a esercitare una sana diffidenza.

Ale

PS - per tornare al nostro protagonista Peter Thiel, aperto critico della democrazia, cristiano ortodosso e teorico dell’uso della tecnologia per la corsa all’immortalità, sarà a Roma per una serie di lezioni dal contenuto riservato con tema l’anticristo.

E per Thiel l’anticristo è chiunque ostacoli l’avanzare della tecnologia.

Alcune cose che, se ti va, possiamo fare insieme:

LAB Bolzano — Sei in zona Bolzano e stai valutando le soluzioni SASE? Allora il nostro LAB è perfetto per te.

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Il percorso verso la sicurezza OT

Alessandro Lavarra — Tue, 03 Mar 2026 11:31:18 GMT

Ciao, sono Ale.

Il vendor di segmentazione ti dice che hai bisogno della sua piattaforma; il vendor di monitoring ti spiega che senza visibilità sei cieco; il vendor di threat detection ti mostra quanto sei vulnerabile.

Hanno tutti ragione, su un punto specifico, ma hanno tutti torto se pensano che comprare una singola tecnologia risolva il problema della sicurezza OT.

Le soluzioni puntuali possono essere ottimi passi avanti, ma quello che serve, come sempre, è un po’ di metodo.

Nell’IT abbiamo avuto il tempo di evolvere i nostri modelli gestionali assieme all’evolvere della complessità degli ambienti e delle minacce; ora dobbiamo fare lo stesso nell’OT ma in tempi decisamente più compressi.

A darci una grossa mano sono strumenti, come lo standard di riferimento internazionale IEC 62443, che mettono un po’ d’ordine nella lista di cose da fare e che ho usato come base teorica per questa newsletter.

Cosa abbiamo imparato nell’IT

Nell’IT abbiamo consolidato una cultura della sicurezza che oggi diamo per scontata.

Abbiamo l’inventario dei dispositivi, sappiamo gestire il patching, monitoriamo le vulnerabilità, abbiamo un framework dentro il quale ragionare quando dobbiamo aggiungere una funzione o coprire un nuovo bisogno.

È questo framework a permetterci di risolvere i problemi, e a integrare le tecnologie nel nostro ambiente, non le tecnologie in sé. Quando oggi nell’IT valutiamo una nuova tecnologia di sicurezza, sappiamo dove inserirla e quale gap deve aiutarci a chiudere.

Come nel mio sport, lo sci alpinismo, vengono prima la padronanza della tecnica e la capacità di pianificazione di una gita, e poi il modello di sci d’ultima gamma, quando abbiamo anche la capacità di distinguere le differenze tra un modello e l’altro, così nell’IT vengono prima le competenze, i processi e la visibilità e dopo i prodotti inseriti nel nostro contesto per quella feature esatta che ci risolve quell’esatto bisogno.

Nell’OT questo contesto non esiste ancora

La sicurezza OT è relativamente nuova come disciplina organizzata.

Gli ambienti operativi sono stati progettati per funzionare, non per essere sicuri. Prima la protezione era garantita dall’isolamento fisico: se la rete OT non era connessa al resto del mondo, non servivano le stesse misure di sicurezza dell’IT. Invece ora l’isolamento non esiste più. Le reti OT sono connesse, integrate, esposte.

Dobbiamo costruire quel contesto in cui muoverci consapevolmente che nell’IT abbiamo impiegato vent’anni a sviluppare, ma dobbiamo farlo in tempi molto più brevi.

Il problema è che molte organizzazioni saltano i passaggi fondamentali.

Vedono il rischio, cercano la soluzione, comprano la tecnologia. Ma senza il framework di base, quella tecnologia non può produrre i risultati attesi.

Inoltre, se il livello più alto dell’architettura OT non è adeguatamente protetto, è difficile salvaguardare anche i livelli sottostanti, rischiando di installare un’accozzaglia di dispositivi inutilmente.

Lo standard parla di “Defense in Depth”, in cui la sicurezza deve avvenire ed essere garantita in modo stratificato per ciascun layer, e non può essere in carico a pochi dispositivi vista l’eterogeneità dei collegamenti e delle comunicazioni tra sistemi.

Questo riduce la probabilità che, durante un attacco, tutto il sistema venga danneggiato, visto che ogni livello viene protetto.

La cultura che serve

Il percorso, come sempre, inizia “a secco” prima dell’acquisto di qualsiasi tecnologia. Inizia con domande semplici e fondamentali:

Primo: sai cosa hai? Hai l’inventario completo dei dispositivi OT, dei controller, dei sensori, delle connessioni?

Molte organizzazioni scoprono dispositivi che non sapevano di avere quando fanno il primo assessment, o più semplicemente si accorgono di quanto sia una superficie di attacco sensibile il traffico OT off-net che non passa per i gateway perimetrali o che non ci sono controlli sui protocolli proprietari.

Secondo: e per quanto riguarda la sicurezza fisica? come è gestita? Sì, perché nell’OT la sicurezza fisica/prossimale conta più che nell’IT. L’accesso fisico a un PLC può compromettere un intero processo produttivo. Alzare il livello di protezione fisica è un prerequisito, non un optional e visto il design delle reti OT non è raro trovare AP di terzi, modem 4G, laptop collegati alle linee.

Lo standard sottolinea e differenzia le misure di sicurezza che un asset owner dovrebbe garantire o quanto meno valutare in sede di risk assessment, prevedendo diverse escalation di livelli di sicurezza raggiungibili e lasciando intendere che la limitazione fisica degli accessi sia importante tanto quanto la limitazione tramite firewall.

Terzo: quali strumenti usare? Solo dopo aver costruito visibilità e controllo di base ha senso introdurre tecnologie specializzate di monitoring avanzato, threat detection.

Mentre, in parallelo o come approccio di base è un punto chiave la segmentazione. Il concetto fondamentale dello standard è, infatti, la separazione, ove possibile, dell’ambiente IT da quello OT, segmentando il sistema in Zone per raggruppare asset con le stesse caratteristiche di sicurezza.

Questo permette di porre una base di sicurezza per l’ambiente OT garantendo che tutti i sistemi abbiano un livello di sicurezza minimo adeguato al rischio associato.

Come abbiamo già visto parlando di NIS2, anche in questo caso, la IEC non fa riferimento a un livello di sicurezza generale, ma sottolinea che questo deve essere specifico per ogni asset e valutato in sede di risk assessment.

Inoltre, una delle linee guida dello standard prevede di riportare i livelli di sicurezza per ogni dispositivo inserito all’interno delle varie Zone, permettendo all’asset owner e al service provider di focalizzarsi sui livelli di sicurezza specifici che non si sono raggiunti e che devono essere raggiunti per assicurare un livello di salvaguardia maggiore.

Perché non funziona comprare la soluzione

Se compri una piattaforma di segmentazione OT senza avere l’inventario completo dei dispositivi, come fai a segmentare correttamente?

Se introduci monitoring avanzato senza conoscere i pattern di traffico normali, come distingui le anomalie dal rumore?

Se implementi threat detection senza aver alzato la sicurezza fisica di base, stai proteggendo la porta mentre lasci la finestra aperta.

La tecnologia è l’ultimo anello della catena, non il primo.

E questo vale ancora di più nell’OT che nell’IT, perché gli ambienti OT hanno vincoli specifici: disponibilità come priorità assoluta, impossibilità di fermare i processi per fare manutenzione, dispositivi legacy che non possono essere aggiornati, accessi di terzi, ambienti difficili da presidiare fisicamente.

Costruire il framework

Il framework della sicurezza OT si costruisce per strati. Ogni strato supporta quello successivo.

Base: visibilità completa. Sai cosa hai, dove si trova, come comunica, con chi comunica. Un buon inventario dei sistemi è necessario per la sicurezza. La stessa IEC lo indica come un passaggio fondamentale per eseguire un risk assessment completo.

Primo strato: controllo degli accessi. Chi può accedere fisicamente e logicamente ai sistemi OT, con quali permessi, in quali condizioni.

Secondo strato: gestione delle vulnerabilità. Fare patching con la frequenza tipica degli ambienti IT e con le stesse modalità è rischioso, se non addirittura impossibile. Lo standard definisce un programma strutturato e documentato per le patch (SPMP), fondamentale da conoscere per gestire le vulnerabilità in modo sicuro.

Terzo strato: segmentazione e isolamento. Limiti la superficie d’attacco separando i sistemi critici da quelli meno critici, l’OT dall’IT, i processi tra loro.

Quarto strato: detection e response. Identifichi le anomalie, hai procedure per rispondere, sai come contenere un incidente senza fermare la produzione.

La sicurezza dei sistemi IACS deve essere vista nel suo intero ciclo di vita, dalla fase iniziale di risk assessment alla fase di mantenimento e dismissione. È la stessa IEC che lo prevede, riconoscendo nei sistemi IACS l’importanza di garantire continuità operativa lungo la sua intera catena funzionale.

Insomma, ogni strato richiede competenze, processi, governance. La tecnologia entra in ogni strato, ma non è il punto di partenza.

Da dove iniziare

Se devi costruire o migliorare la sicurezza OT nella tua organizzazione, il primo passo, da standard, non è sfogliare brochure o fare demo. È fare l’assessment. Capire dove sei, cosa hai, quali sono i gap più critici.

Il secondo passo è definire le priorità basandoti sul rischio reale. Quali sistemi, se compromessi, causano il danno maggiore? Quali sono più esposti? Quali hanno vulnerabilità note e non mitigabili?

Il terzo passo è costruire le competenze interne. La sicurezza OT richiede persone che capiscono sia l’OT che la sicurezza. Questa combinazione è rara, va coltivata.

Il nostro consiglio pragmatico è, parallelamente, iniziare con quello che hai a disposizione: uso puntuale dei firewall, sicurezza all’edge se hai una LAN evoluta, sistemi NAC.

Solo dopo arrivano gli investimenti in tecnologie puntuali e quando arrivano sai esattamente dove inserirle, cosa devono fare, come misurarne l’efficacia.

Come sempre, non inseguire la tecnologia: usala consapevolmente.

Ale

Alcune cose che, se ti va, possiamo fare insieme:

LAB Bolzano — Sei in zona Bolzano e stai valutando le soluzioni SASE? Allora il nostro LAB è perfetto per te.

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

L’AI è ancora nella fase dell'illusione?

Alessandro Lavarra — Thu, 12 Feb 2026 11:30:43 GMT

Ciao, sono Ale.

Gartner ha pubblicato un’analisi sulla cybersecurity e l’AI che conferma quello che molti di noi vedono ogni giorno: il gap tra promesse e realtà sta generando “prompt fatigue” e ROI negativi.

Non è nulla di sorprendente: quando l’hype supera di tre ordini di grandezza la maturità della tecnologia, la disillusione è garantita.

L’hype non è sostenibile

La corsa alla GenAI ha seguito il copione classico: vendor che ribattezzano automazioni esistenti come “agenti AI”, executive che approvano budget senza metriche chiare, team che integrano strumenti frammentati sperando in produttività miracolosa.

Il risultato? Gartner lo chiama con precisione: “prompt fatigue”.

Troppi tool con interfacce interattive. Troppi assistenti che richiedono prompt diversi. Troppa frammentazione nei workflow di operation.

E dietro tutto questo, un problema più profondo: molti “agenti AI” venduti come rivoluzionari sono semplicemente script di automazione potenziati. Non c’è autonomia. Non c’è capacità decisionale. Solo marketing che maschera funzionalità già viste.

Non sto dicendo che la GenAI sia inutile, ma il modo in cui viene venduta e implementata ignora sistematicamente i rischi per inseguire produttività teorica.

I rischi che nessuno vuole discutere

Quando integri LLM di terze parti nella tua infrastruttura security, introduci superfici di attacco specifiche che la maggior parte delle organizzazioni non sta presidiando.

Gartner le categorizza in tre aree:

1. Content Anomaly Detection

Il problema: I modelli generativi producono output probabilistici. Questo significa fantasie, contenuti inaccurati, violazioni di copyright, output illegali o dannosi per il brand.

Cosa significa per te: Se un assistente AI suggerisce una risposta basandosi su dati allucinati, stai prendendo decisioni su informazioni false. E se quell’output finisce in una comunicazione esterna, hai un problema di brand oltre che tecnico.

2. Data Protection

Il problema: Quando usi modelli esterni, i tuoi dati passano attraverso infrastrutture che non controlli. Leakage, compromissione della confidenzialità, impossibilità di condurre privacy impact assessment.

Cosa significa per te: Ogni prompt che contiene informazioni sensibili è un potenziale data breach. E quando il modello è hostato esternamente, non hai visibilità su come quei dati vengono gestiti, storati, o usati per training.

La falla: Dati confidenziali trasmessi attraverso prompt a servizi esterni. Privacy compromessa in ambienti gestiti da terzi. Impossibilità di governare policy di data protection in modelli black box.

NB Anche utilizzando LLM interni, senza una corretta data classification rischi di istituire i modelli con dati sensibili o riservati compromettendo la segregazione delle informazioni

3. Sicurezza delle applicazioni AI

Il problema: i sistemi di AI sono vulnerabili a nuovi tipi di attacco come prompt injection (dirette e indirette), attacchi ai vector database, accesso non autorizzato a parametri del modello.

Cosa significa per te: Un attaccante che riesce a iniettare prompt malevoli può manipolare l’output del modello, estrarre dati sensibili, o bypassare controlli di sicurezza. Se invece “avvelena” i database che alimentano il modello (Retrieval Augmented Generation) corromperà tutte le risposte future.

Questi rischi si amplificano quando usi modelli esterni senza controllare i processi applicativi, lo storage, gli update del modello, ma esistono anche con modelli on-prem, se non proteggi l’intera catena.

La governance come perimetro

In questo contesto, l’EU AI Act è il primo framework sistematico che tenta di categorizzare il rischio AI in modo granulare indicando quattro tier:

Rischio minimo: Nessun obbligo specifico, AI che non minaccia diritti o sicurezza (largely unregulated)
Rischio limitato: Requisiti di trasparenza, necessità di informare l’utente che sta interagendo con una AI.
Alto rischio: Compliance stringente, risk assessment obbligatori, e requisiti di cybersecurity espliciti.
Rischio inaccettabile: Sistemi vietati (social scoring, manipolazione comportamentale, rilevamento emozioni in scuole, sorveglianza biometrica di massa)

Le penalità? Fino a €35M o il 7% del fatturato globale annuo.

A differenza del GDPR (entrato in vigore tutto insieme nel 2018), l’AI Act ha enforcement scaglionato. Questo permette di lavorare verso compliance in fasi, invece di correre verso una deadline singola e ci da il tempo di maturare nella consapevolezza dei rischi legati all’AI.

Ma c’è un problema pratico: per essere compliant, devi sapere quali sistemi AI hai in uso direttamente o annegati in soluzioni terze (embedded). E Gartner stima che il numero di sistemi AI embedded nelle enterprise sia aumentato di un ordine di grandezza.

L’inventario degli AI-enabled systems diventano un prerequisito.

Ancora una volta e anche in questo caso, non puoi fare risk assessment su quello che non sai di avere.

Come gestire (budget, metriche e skill)

Il consiglio di Gartner è sensato e va nella direzione opposta dell’hype: approccio pluriennale, non big bang.

Anno 1-2: Application Security e Security Operations

Inizia dove l’impatto è misurabile. Integra GenAI in modo progressivo nei workflow esistenti, non stravolgere tutto per inseguire l’automazione totale.

Metriche prima di tutto

Definisci come misuri i benefici prima di iniziare. Gartner segnala che molte organizzazioni non hanno metriche per valutare il ROI delle GenAI.

Raffina detection e productivity metrics per account per le nuove capacità GenAI.

Priorità: Augmentation, non Automation

L’obiettivo non è sostituire competenze è aumentare la loro capacità (nel nostro caso gli analisti aumentano la capacità di sviluppo di integrazioni e tool di automazione). Pianifica a lungo termine i cambiamenti nei requisiti di skill , perché GenAI cambierà cosa serve sapere fare.

Bilancia privacy e rischi

Valuta i benefici attesi contro i rischi di adozione. Non è “AI sì o no”. È “quale AI, con quali controlli, per quale use case”.

Governance interna prima di compliance esterna

Anche se non sei sotto EU AI Act ora, inizia ad inventariare. Sapere quali sistemi AI usi, dove risiedono i dati, chi ha accesso, quali controlli hai, dove le addestri.

Questo serve per:

Risk management interno
Vendor management (cosa fanno i tuoi fornitori con l’AI)
Preparazione a normative future

Come agire (discovery, protezione)

La capacità generativa dei modelli non la controlli. È probabilistica per natura.

Ma puoi controllare: la governance dei tuoi dati, il catalogo dei tuoi asset, l’accesso ai sistemi critici, i controlli runtime sulle applicazioni AI.

E su questo punto gli strumenti a disposizione stanno evolvendo sia integrati nelle architetture SASE (come CATO) sia con soluzioni puntuali di DSPM come Cyera.

Invece di inseguire promesse probabilistiche o entusiasmi basati su hype, costruisci fondamenta solide:

Discovery: Quali AI agent, quali modelli, quali integrazioni hai già?

Access Control: Chi può fare cosa? Gli agent hanno credenziali proprie? Possono accedere a sistemi e dati critici?

Development Lifecycle: Version control per agent code, niente secrets in code, framework con security built-in.

Runtime Controls: Protezione near-real-time contro prompt injection, jailbreak, manipolazione output.

Data Governance: Quali dati possono essere inviati a modelli esterni? Come proteggi confidenzialità?

Oltre all’hype

L’automazione totale delle attività è un sogno ricorrente che si infrange sempre contro la complessità reale.

La GenAI non è diversa. È l’ultima di una serie di tecnologie che promettono boost di produttività spinta dall’automazione.

Questo non significa rifiutare l’innovazione. Significa esercitare dissenso cognitivo rispetto al marketing.

Significa costruire su fondamenta solide (governance, catalogazione, controlli) invece che su promesse.

E significa accettare che il valore della GenAI si misurerà in anni, non in trimestri.

Chi oggi sta implementando GenAI senza metriche, senza discovery, senza controlli sui rischi specifici, sta vivendo il paradosso di accumulare debito tecnico (e di compliance) mascherato da innovazione.

E tra 18-24 mesi, quando Gartner pubblicherà i dati sulla disillusione post-implementazione, scopriremo quanto è costato inseguire l’hype invece di costruire valore reale.

Ale

Fonti: Cybersecurity and AI: Enabling Security While Managing Risk (2025), EU AI Act

P.S. Sono felice di vivere in Europa e sapere che c’è questa cura e questo percorso di maturazione nella regolamentazione AI. Non crediamo alla falsa narrazione che l’Europa regolamenta mentre gli altri innovano. C’è in ballo la nostra sicurezza che è più preziosa del fatturato delle big tech.

Alcune cose che, se ti va, possiamo fare insieme:

LAB Napoli — Stai valutando le soluzioni SASE, ma hai bisogno di capire concretamente come funzionano? Allora il nostro LAB è perfetto per te.

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

I firewall di ultima generazione saranno l’ultima generazione di firewall

Alessandro Lavarra — Fri, 30 Jan 2026 11:31:35 GMT

Ciao, sono Ale.

Con questa newsletter mettiamo il dito su un nervo scoperto per molti system integrator e IT Manager. Le architetture SASE hanno riscritto le regole del gioco, ma molti non si sono ancora adeguati.

Oltre all’esperienza di decine di conversazioni negli ultimi mesi, un mio recente post su LinkedIn ha riacceso il dibattito.

La mia affermazione era netta:

La paura di eliminare il firewall fisico è l’ultima resistenza di un modello IT che non esiste più.

Ne è scaturita una discussione che mi permette oggi di riassumere lo stato dell’arte delle reti geografiche e della sicurezza.

Molte aziende adottano piattaforme SASE come CATO ma le limitano. Le usano per use case puntuali in parallelo ad architetture legacy o, come vediamo per CATO, come proxy per superare il Great Firewall cinese, ma poi mantengono i firewall fisici nelle altre location.

Nel caso di CATO pagano per la piattaforma globale per eccellenza e la riducono a un compito regionale.

Perché? Per il combinato disposto di due cause:

Non si fidano a eliminare del tutto il firewall fisico
Il loro fornitore non ha il grado di maturità necessario sulla tecnologia per spingerli a farlo

Il risultato è un’architettura ibrida inefficiente che perde tutti i vantaggi del SASE e accumula tutti gli svantaggi delle architetture legacy.

Il modello IT che non esiste più

Il firewall fisico appartiene a un’epoca diversa dell’IT.

Un’epoca in cui:

Gli utenti lavoravano in ufficio, connessi alla LAN
I dati risiedevano nel data center aziendale
Le applicazioni giravano on-premises
Il perimetro di rete era definibile geograficamente

Quel modello è finito progressivamente negli ultimi 15 anni e ora è definitivamente superato.

Oggi:

Gli utenti sono distribuiti (home office, smartworking, mobilità)
I dati sono nel cloud (AWS, Azure, GCP)
Le applicazioni sono SaaS (ERP, Microsoft 365, Salesforce, tool collaborativi)
I branch sono distribuiti geograficamente
Terze parti e partner accedono a risorse condivise IT e OT.

In questo ecosistema, il firewall fisico è un collo di bottiglia architetturale e presidia un confine che non esiste più.

Ogni connessione deve passare attraverso un punto fisico. Ogni sede ha bisogno della sua coppia di firewall in HA. Ogni accesso remoto richiede VPN che backhaulano il traffico verso il data center per ispezionarlo, anche se la destinazione è un servizio cloud.

Latenze. Complessità. Single points of failure. Costi hardware crescenti. Poca visibilità e controllo sulle periferie.

Perché mantenere l’ibrido non conviene

Molte aziende adottano SASE ma mantengono i firewall fisici “per sicurezza”. Questo crea un modello ibrido che è inefficiente a tutti i livelli. Due architetture in parallelo che amplificano i limiti delle architetture legacy

Inefficienza operativa

Gestire due architetture diverse significa:

Due set di configurazioni da mantenere allineate
Due skill set necessari nel team
Due vendor da coordinare
Due superfici di troubleshooting quando qualcosa non funziona

Si perde l’elemento vincente del SASE: la standardizzazione e la gestione centralizzata.

Invece di avere policy definite una volta e applicate globalmente, hai policy sui firewall locali + policy sulla piattaforma SASE. E devi tenerle sincronizzate manualmente.

Rischio cyber aumentato

Le configurazioni inconsistenti tra sedi diverse sono una superficie di attacco.

Un attaccante che compromette una sede con configurazioni più deboli può usarla come pivot verso il resto della rete. La segmentazione è efficace solo se è coerente ovunque.

Con firewall fisici distribuiti, la coerenza è un obiettivo, non una garanzia. Con SASE, è nativa.

Pressione sul personale

Gestire hardware legacy richiede tempo che il tuo team già non ha.

Firmware update sui firewall (con quale tempestività?). Sostituzione hardware quando va fuori supporto. Troubleshooting di problemi hardware. Gestione licenze per sede.

Le configurazioni in parallelo (locale + cloud) sono più onerose da implementare e manutenere. Ogni change richiede doppio lavoro.

E il personale che sa configurare firewall legacy è sempre più difficile da trovare e trattenere e aumenta il vincolo verso la tecnologia già nota.

Le obiezioni (e le risposte)

“Non esiste un modello universale. Se il progetto di firewall fisico è fatto bene, me lo tengo.”

Corretto: non esiste un modello universale.

Ma la domanda è: il tuo progetto “fatto bene” anni fa è ancora adeguato oggi?

Un’architettura “ben progettata” nel 2015 era centrata sul data center. Nel 2025, è centrata su identità e zero trust. Se hai utenti in mobilità, branch distribuiti, data center in cloud e servizi SaaS, cosa fai? Continui a seminare coppie di firewall e VPN in ogni sede?

Le architetture evolvono con l’ecosistema.

Il firewall fisico può ancora avere senso in casi specifici (ambienti OT isolati, requisiti compliance particolari). Ma nella stragrande maggioranza dei casi, è una zavorra.

“Dipende da costi, trust verso il vendor, threat model. Le best practice consolidate non si cancellano.”

Le best practice consolidate sono sacrosante. Concordo.

Ma la tecnologia si è evoluta talmente velocemente che ha introdotto semplificazioni utilissime per concentrarsi sul core business invece che sul tuning di N piattaforme eterogenee.

Quando dici “dipende dal livello di trust verso il fornitore”, stai implicitamente dicendo che ti fidi di più del tuo firewall fisico. Ma:

Il firmware del firewall viene da un vendor (Palo Alto, Fortinet, Cisco)
Le signature IPS/antimalware vengono aggiornate da quel vendor
Le vulnerability vengono patchate da quel vendor

La differenza è che con SASE, il vendor gestisce l’infrastruttura. Con firewall on-premises, tu gestisci l’hardware ma dipendi comunque dal vendor per sicurezza e aggiornamenti.

La questione del trust non cambia. Cambia dove si materializza la dipendenza.

Sul costo: mantenere firewall fisici ha costi nascosti. Licenze per sede, sostituzione hardware ogni 3-5 anni, personale per gestione, downtime per manutenzione.

SASE sposta da CapEx a OpEx, ma elimina molti costi nascosti.

“E la defense in depth? E la segmentazione? Modello stratificato?”

Con buona pace degli approcci “stratificati” basati su perimetro fisico: sono superati.

La defense in depth in SASE non solo esiste, ma è più completa:

Identità e autenticazione (chi sei)
Device posture (da dove ti connetti, com’è configurato il device)
Crittografia end-to-end
IPS, anti-malware, CASB, DLP inline

Tutto scalabile a tutto il traffico, senza i limiti fisici dei firewall.

Troppo spesso, nelle architetture con firewall fisici, non si fa nemmeno TLS inspection perché inginocchierebbe le appliance. O si creano cascate di tecnologie (firewall → proxy → DLP → sandbox) dove diventa difficile gestire anche solo il troubleshooting e che generano latenze.

La segmentazione e la segregazione si fanno anche in architetture SASE. Anzi, si aggiungono policy basate su identità in ottica zero trust.

Le regole sono valide per tutta la WAN immediatamente, senza doverle deployare in decine di siti. Coerenza e ordine garantiti.

E se non basta, ci sono analisi XDR inline su tutti gli eventi di rete e sicurezza.

“SASE sposta il rischio, non lo elimina. Firewall locale = gestione rischio.”

Questa è l’obiezione più tecnica e merita rispetto.

È vero: SASE sposta il rischio. Introduce dipendenze su connettività, identità, vendor.

Ma non elimina il concetto di firewall. Lo evolve.

In un’architettura SASE, il firewall come oggetto fisico non esiste più. Diventa una feature distribuita, insieme ad altre più legate all’identità.

Gartner ha iniziato a chiamarlo “Hybrid Mesh Firewall”: controlli distribuiti, policy centralizzate, enforcement ovunque serve.

L’attaccamento all’appliance “firewall” come la conosciamo è resistenza. Non al cambiamento in senso emotivo, ma a un modello architetturale che ha già cambiato.

Nella pratica, i problemi non nascono dall’architettura ibrida in sé. Nascono da scelte progettuali sbagliate e configurazioni incoerenti.

E il modello ibrido (firewall fisici + SASE) è quello che genera più facilmente configurazioni incoerenti.

Se mantieni controlli locali per compliance o continuità operativa in scenari specifici, ha senso. Ma nella maggior parte dei casi, è sovra-ingegnerizzazione che aggiunge complessità senza aggiungere sicurezza.

La SASE è evoluzione

Le soluzioni SASE non sono il silver bullet. Nessuna tecnologia lo è ma è innegabile che alza notevolmente l’asticella.

SASE copre molte necessità che tutte le aziende hanno, indipendentemente dal settore o dimensione:

Connettività sicura per utenti distribuiti (ZTNA)
Accesso sicuro a risorse cloud e on-premises
Policy di sicurezza coerenti ovunque
Scalabilità senza hardware aggiuntivo
Visibilità centralizzata su tutto il traffico

Eliminare i firewall fisici, a parte eccezioni puntuali, quando si adottano architetture SASE, è l’unico modo per:

Standardizzare la sicurezza
Smettere di subire l’obsolescenza dei componenti hardware
Ridurre la complessità operativa
Liberare il team da attività a basso valore (gestione hardware, aggiornamenti) per concentrarsi su attività ad alto valore (governance, policy, incident response, hardening)

La sicurezza è una questione di responsabilità tecnica non di ideologia, e la responsabilità tecnica, oggi, include capire quando un modello architetturale ha fatto il suo tempo.

Ale

Alcune cose che, se ti va, possiamo fare insieme:

LAB Napoli — Stai valutando le soluzioni SASE, ma hai bisogno di capire concretamente come funzionano? Allora il nostro LAB è perfetto per te.

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

La complessità e il paradosso della barca a motore

Alessandro Lavarra — Tue, 13 Jan 2026 14:30:06 GMT

Ciao, sono Ale.

Nel nostro lavoro inseguiamo il mito del controllo. Vogliamo sistemi deterministici. Vogliamo sapere cosa fare per annullare un rischio, vogliamo premere un tasto e sapere esattamente cosa succederà.

Vogliamo “semplificare”.

Ma spesso rincorriamo una falsa promessa. Quello che stiamo cercando di fare non è semplificare: è banalizzare. E c’è una differenza abissale.

I sistemi che gestiamo - le reti, la security, le persone - non sono complicati. Sono complessi. E se provi a governare un sistema complesso seguendo il manuale delle best practice ti schianti.

Ho invitato Enrico Cerni, manager e autore, per smontare l’illusione che abbiamo di poter prevedere tutto e per capire con quali strumenti ci si muove nella complessità.

Enrico, tra le tante cose, è anche un esperto di complessità e l’occasione è proprio l’uscita del suo ultimo libro Atlante della complessità (Il Sole 24 Ore).

Abbiamo parlato di organizzazioni, di barche a vela, di origami e di perché, per andare avanti, devi accettare di perdere l’equilibrio.

Ecco cosa ci siamo detti.

Partiamo dalle basi. Nel mio mondo, inseguiamo il mito del “liberarci dalla complessità”. Vogliamo soluzioni chiare a problemi oscuri. Ma possiamo capirla e governarla, questa complessità?

No. Togliamoci subito questo peso: la complessità non si risolve . Edgar Morin diceva che è una “parola problema”, non una “parola soluzione”. Studiare la complessità non serve a eliminare i problemi, serve ad abbracciarli, ad accettare e a capire la nostra identità.

Dobbiamo capire che il contrario di complessità non è semplicità. Il contrario è banalità. È il filo sfilacciato. La semplicità, invece, è il contrario della complicazione. Sono due assi diversi.

Siamo esseri Unitas Multiplex: teniamo insieme elementi contraddittori e paradossali. Se cerchi di ridurli a un’unica linea retta, perdi la realtà.

Per anni ho usato la parola “complesso” come sinonimo di “difficile”. Poi, quando ho incontrato il framework Cynefin ho scoperto la distinzione tecnica fondamentale. Non è solo semantica, è un terreno a sé stante.

Esatto, c’è una differenza sostanziale.

Il complicato è meccanico: lo puoi smontare, capire e aggiustare. Segue leggi lineari, per quanto difficile c’è un manuale o un esperto che lo domina.

Il complesso no. Nel complesso le interazioni tra le parti cambiano continuamente, la relazione tra causa ed effetto non è lineare.

Se tratti un problema complesso (le persone, il mercato, un team) come se fosse complicato (una macchina rotta), applicherai la soluzione “tecnica” giusta al problema sbagliato. E fallirai, perché cerchi una causalità diretta che non esiste.

Questa è stata la mia epifania. Nel Tech viviamo di best practice. Se fai A, ottieni B. È il dogma dell’IT, ma capire che ci muoviamo in un sistema che non sottostà alle leggi meccaniche mi ha aiutato nei nostri tempi di trasformazione e di grandi cambiamenti.

Nei sistemi lineari funziona così. Giri la chiave, il motore si accende. Nei sistemi complessi, l’output di un input è un “chissà”.

Prendi un team di 10 persone e ne aggiungi una. Il risultato sarà +10% di produttività? Forse. O forse il team esplode. Dipende dalle relazioni, che sono invisibili e imprevedibili.

È il concetto di tipping point.

Pensa all’acqua. Tu abbassi la temperatura di un grado alla volta. 20 gradi, 19, 18... l’acqua resta acqua. Ti aspetti che continui così. Poi arrivi a zero. E tutto cambia di stato. Diventa ghiaccio.

Non è lineare. C’è una discontinuità radicale che non potevi prevedere guardando solo il grado precedente.

Uso anch’io spesso la metafora del “navigare” per descrivere come muoversi nei nostri tempi complessi. Sembra quasi un cliché da LinkedIn, ma nel tuo libro assume un contorno molto più pratico, quasi tecnico. Cosa intendi per navigazione in un sistema complesso?

La differenza è il mezzo.

Noi vorremmo navigare con una barca a motore: imposto la rotta, do gas, arrivo. Tempo stimato: X.

Ma la complessità si naviga a vela, o a remi.

Significa che la rotta esatta non è predeterminabile. La scopri solo quando arrivi in porto.

Dipende dal vento, dalle correnti sotterranee, da come regoli le vele momento per momento.

È impredicibile.

È come guardare un banco di pesci: sai dove sono ora, ma tra cinque secondi? Dipende da un predatore, da un rumore, da un’ombra. Non c’è un algoritmo che te lo dice prima.

Nello studio dei sistemi complessi ho capito la forza dell’auto-organizzazione. Per le le aziende moderne lo abbiamo interpretato come “uccidere la gerarchia” per essere agili. Tu sostieni che non è così semplice.

Non tutte le organizzazioni devono essere auto-organizzate, anzi. Le strutture gerarchiche funzionano perché hanno regole lineari di comando e controllo, e va benissimo così.

Il punto è un altro: anche dentro la gerarchia più rigida esistono fenomeni di auto-organizzazione spontanea.

Un leader consapevole non reprime questi fenomeni, ma sa che esistono e cerca di sollecitarli. Non è anarchia, è lasciare spazio a un ordine diverso che emerge dal basso, perché è lì che nascono creatività e immaginazione.

Nelle aziende amiamo categorizzare le persone. “Lui è un tecnico”, “Lei è un commerciale”, “Lui è aggressivo”. Funziona per semplificare, ma funziona per capire?

Assolutamente no. Noi siamo Unitas Multiplex: conteniamo moltitudini. Dire “quella persona è aggressiva” è falso. È un po’ aggressiva, un po’ mite, dipende dal contesto e dalla relazione in quel momento.

Siamo costantemente pendolanti tra poli opposti. Se guardi un collaboratore e vedi solo la sua etichetta professionale o il suo ruolo gerarchico, ti perdi tutto il potenziale che emerge quando esce da quella definizione statica.

Parliamo di “fare rete”. È diventato il mantra di ogni business lunch e personalmente è un concetto di cui parlo volentieri e che cerco di sviscerare nella sua sostanza. Ma nel libro descrivi la rete con una doppia natura che spesso ignoriamo.

Sì, la rete è paradossale.

Da un lato è una rete di salvataggio, salvifica. Ci dà la possibilità di raccogliere il bene che c’è e ci sostiene.

Dall’altro, la rete è ciò che ci imbriglia.

È il prezzo dell’interdipendenza: non puoi avere il sostegno senza il vincolo. Essere un nodo della rete significa che non sei isolato, ma significa anche che i movimenti degli altri nodi ti influenzano e ti legano. Dobbiamo imparare a stare in questa tensione.

Hai citato le relazioni invisibili. Spesso nelle aziende e tra le aziende si ragiona a silos: il reparto IT, il fornitore, il cliente. Il mio sforzo dichiarato è applicare la logica della rete e superare questa separazione. È una mentalità che condividi?

Esatto. Niente esiste senza essere in relazione con qualcos’altro.

C’è un’immagine bellissima del monaco Thich Nhat Hanh. Lui guarda un foglio di carta e dice: “Questo foglio è una nuvola”.

Perché? Perché senza la nuvola non c’è pioggia. Senza pioggia non cresce l’albero. Senza albero non c’è la carta. Tutto si tiene insieme. Questa è l’interdipendenza.

Anche le aziende sono “vuote” di un’essenza propria se le stacchi dal loro contesto. Se il territorio soffre, l’impresa soffre. Clienti e fornitori non sono entità separate, sono nodi dello stesso sistema.

Parliamo di cambiamento. Oggi siamo investiti dall’AI, tutto corre veloce. Ma tu fai una distinzione precisa tra cambiare e trasformarsi.

Sì, spesso confondiamo i termini. Emanuele Coccia distingue tre stati: conversione, cioè il soggetto cambia, ma il contesto resta uguale; rivoluzione: Il contesto cambia radicalmente, ma il soggetto che guarda resta lo stesso (e spesso subisce il cambiamento); metamorfosi: soggetto e contesto cambiano contemporaneamente.

Noi siamo in metamorfosi. Siamo come bruco e farfalla nello stesso istante: strisciamo e abbiamo le ali. Dobbiamo imparare a gestire questa doppia natura.

A proposito di passato. In informatica abbiamo il tasto “Undo” per annullare l’errore, nella vita reale no. C’è un’immagine nel libro che mi ha colpito molto: quella dell’origami.

Sì, è il concetto di path dependence (dipendenza dal percorso). Pensa a un foglio di carta. La prima piega che fai determinerà se quel foglio diventerà un cigno o una barca.

Non puoi fare qualsiasi cosa in qualsiasi momento: la storia conta. Nelle relazioni umane, spesso è la prima stretta di mano, il primo sguardo o il contesto del primo incontro a definire tutto il futuro di quel rapporto.

C’è una direzione intrinseca che prendiamo fin dall’inizio, anche senza saperlo.

Tutto bello in teoria, ma in pratica? Il nostro cervello cerca scorciatoie e sicurezza. Possiamo davvero “imparare” a gestire l’imprevisto o è una dote innata?

Si può allenare, eccome. Le neuroscienze ci dicono che il cervello rimane plastico fino alla fine.

Ma l’allenamento non si fa sui libri. Si fa rompendo gli schemi quotidiani.

Vuoi allenarti alla complessità? Fai una strada diversa per andare al lavoro. Mangia un cibo che non hai mai assaggiato. Chiama quel conoscente che non è un amico ma con cui sarebbe interessante prendere un caffè.

La competenza chiave è la curiosità. Abituati a non scegliere il percorso solito. È lì che costruisci la capacità di reagire quando il percorso solito non esiste più.

Tutto questo genera incertezza. In un mondo così, io sostengo che la fiducia diventi l’unico collante. Ma come si fa ad avere fiducia quando tutto trema?

La fiducia non è statica. È dinamica, come il camminare. Pensa al passo. Per andare avanti, cosa fai? Perdi l’equilibrio sulla gamba posteriore per spingerti su quella anteriore. Ogni singolo passo è un esercizio di perdita di equilibrio e di gestione dell’ignoto.

Se vuoi rimanere in equilibrio perfetto, stai fermo. Ma se vuoi andare verso il futuro (o saltare una pozzanghera, come dice Floridi), devi accettare quel momento di vuoto, prendere la rincorsa e saltare.

Chiudo con una nota sul tuo libro. Ho notato che la struttura riflette il tema trattato: non è un testo lineare.

È una sfida all’abitudine.

Il libro contiene 27 rotte, ma non devi leggerle in fila. Il mio consiglio è di scorrere l’indice e lasciarti chiamare da una parola.

Leggi quel capitolo, e alla fine troverai quella che chiamo la “rotta del desiderio”: un’indicazione delle altre rotte che intersecano quella appena letta.

Per esempio, la rotta della “Rete” incrocia quella del “Futuro” e dell’ “Ecologia”.

L’idea è di zigzagare. Costruire un percorso individuale.

La complessità non è un bug del sistema. È il sistema.

Smettila di cercare la best practice che ti salva da sola. Non esiste la procedura che elimina l’incertezza del fattore umano o del mercato e per questo cercare la best practice miracolosa è un approccio controproducente.

Bisogna, invece, allenare la capacità di leggere i segnali (il vento) e adattare le vele.

Ringrazio ancora Enrico per tutti gli spunti di questa chiacchierata e per aver “puntellato” alcune mie intuizioni sulla complessità, il fare rete, la fiducia di cui mi sentirete ancora parlare, e non posso far altro che consigliare ancora una volta il suo libro Atlante della complessità.

Alla prossima,

Ale

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Il primo anno di Payload

Alessandro Lavarra — Tue, 30 Dec 2025 11:31:14 GMT

Ciao, sono Ale.

Siamo alla fine dell’anno e mi sembra una buona occasione per una riflessione sul 2025 di Payload: tendiamo sempre a sottostimare le nostre audience online, perché abbiamo in mente i numeri dei grandi influencer.

A confronto, le 267 aperture dell’ultimo numero di Payload sembrano niente.

Ma proviamo a cambiare la contestualizzazione di questo dato: radunare 267 persone a un evento offline di cybersecurity non può essere etichettato come un insuccesso. Ancora meno se tra queste 10 si prendono il tempo di farti sapere che hanno apprezzato (come i 10 like dell’ultimo numero su Substack).

Payload ha chiuso il suo primo anno con 833 iscritti e 14 newsletter inviate.

Potevano essere di più? Certo. Alcuni numeri potevano essere migliori? Probabile. (anche se rileggendone alcuni mi sono stupito anch’io della loro sostanza 😄)

Ma il tasso di apertura medio del 15% e l’engagement costante dimostrano una cosa: chi legge, legge per davvero.

Cosa abbiamo fatto nel 2025

Nel primo anno ho scelto di portare voci che contano.

Stefano Quintarelli, pioniere dell'infrastruttura digitale italiana, per parlare dello stato reale della digitalizzazione del paese. Non la narrazione ufficiale, ma la realtà vista da chi ha costruito Internet in Italia e poi è entrato in Parlamento per provare a cambiare le cose.

Giulia Pastorella, per analizzare lo stato del digitale in Parlamento dall’interno. Come funzionano davvero le cose quando devi legiferare su tecnologie che il 90% dei parlamentari non capisce davvero.

Ho analizzato il mercato ICT italiano con i dati Context, mostrando come la crescita non sia trainata dal volume (che crolla) ma dal valore strategico. E come questo cambi completamente le priorità di budget per il 2026.

Ho parlato del mondo OT, dove la security degli impianti industriali è ancora un far west e i vendor vendono complessità invece di risolvere problemi architetturali di base.

Ho mappato lo stato del mercato del lavoro IT e cybersecurity, con i dati WeHunt sul Triveneto: 4,8 milioni di professionisti cyber mancanti globalmente, 100K in Italia. Non è un problema temporaneo. È il nostro terreno di gioco.

Cosa ho imparato

Era il primo anno di questo progetto e non avevo aspettative sulle possibilità di successo.

Trovare spunti davvero rilevanti per CIO, CISO e IT manager di medio-grandi imprese richiede impegno. Questi professionisti non hanno tempo per bollettini di minacce, CVE del giorno, o pitch mascherati da contenuto educativo.

Ho scelto di scrivere solo quando avevo qualcosa da dire e ho preferito mancare una scadenza che sprecare il tempo di chi legge.

Ho capito che l’engagement conta più dei numeri assoluti. 833 iscritti non sono tanti in assoluto. Ma se il 15% apre ogni volta e il 5,5% interagisce, significa che sto scrivendo per le persone giuste.

Ho imparato che le interviste danno spessore. Portare Quintarelli o Pastorella non è solo “contenuto di valore”. È dare voce a chi ha davvero costruito o vissuto dentro i sistemi di cui parliamo.

Cosa non cambierà nel 2026

Payload rimarrà una newsletter che arriva ogni due settimane circa per condividere spunti e riflessioni sugli impatti della cybersecurity nel mondo reale.

Niente CVE. Niente bollettini. Niente vendor pitch. Niente hype sull’ultima tecnologia che “cambierà tutto”.

Solo analisi su come la tecnologia impatta davvero il business. Su come i CIO devono riallocare budget. Su perché il rate of innovation è un problema strutturale. Su come la carenza di talenti cambia il modello operativo.

E continuerò a portare voci che contano, persone che hanno costruito o stanno costruendo pezzi dell’infrastruttura digitale che usiamo tutti.

Un ringraziamento

Negli incontri di persona avuti in questi giorni ho ricevuto feedback che mi hanno sorpreso. Persone che, anche se non appaiono nei like o nei commenti, mi dicono che leggono e tengono d’occhio cosa scrivo.

Questo per me vale più di qualsiasi metrica.

Grazie a chi legge, a chi risponde, a chi condivide. E grazie a chi ha accettato di essere intervistato, portando competenza ed esperienza diretta.

Se non sei ancora iscritto

Payload è per CIO, CISO e IT manager di medio-grandi imprese che vogliono opinioni informate sulla cybersecurity e il suo impatto sul business.

Se questo ti serve, puoi iscriverti qui:

Ci vediamo nel 2026.

Ale

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Come sperperare budget nell'OT

Alessandro Lavarra — Thu, 04 Dec 2025 11:30:48 GMT

Aggiungere sofisticate tecnologie di sicurezza a una rete industriale non gestita è sperpero. Si deve partire dalle basi.

L’industria manifatturiera italiana ha da sempre avuto una grande attenzione per l’ottimizzazione della produzione. Abbiamo sempre spinto sull’innovazione, cercando l’efficienza degli impianti che oggi, complice anche Industria 4.0, sono sempre più intelligenti.

L’informatica è entrata in produzione, la fabbrica si è digitalizzata e di conseguenza la superficie d’attacco si è dilatata.

Tuttavia, la rete di fabbrica (OT) non è la rete d’ufficio (IT). L’aggiornamento dei sistemi operativi segue i ritmi di macchine che vivono a lungo, protocolli di comunicazione proprietari, accessi di terze parti, impossibilità tecnica di installare agenti di sicurezza. Non possiamo comportarci come abbiamo imparato a fare sugli endpoint IT.

Proprio in questo scenario, i fondamentali della sicurezza diventano legge. Sicurezza intrinseca e separazione fisica, concetti spesso trascurati, qui rappresentano il vero punto di svolta.

Il timore del fermo produttivo, costo tangibile e molto più chiaro all’imprenditore rispetto ad altri costi, ha risvegliato il mercato. Dove c’è paura, c’è offerta. Dove c’è produzione c’è budget. Ed ecco esplodere la moda delle soluzioni OT.

Prodotti luccicanti e promesse di visibilità e remediation miracolose. Soluzioni che promettono di sanare architetture traballanti con un rivestimento digitale ad alto costo.

I vendor spingono tecnologie all’ultimo grido, le reti OT sono un far west. Apparati di terze parti, accessi di manutentori esterni, dispositivi installati all’insaputa di tutti.

Occorre fermarsi. Esiste un principio di realtà che nessun software aggira.

La tecnologia non corregge gli errori di architettura.

Installare sistemi avanzati su una rete piatta, non gestita e priva di segregazione è un esercizio di vanità. Equivale a installare un sofisticato sistema di sorveglianza in una casa priva di porte. Vedrete i ladri in alta definizione mentre entrano, ma qualsiasi mezzo per fermarli non potrà che limitare i danni e non più evitarli.

Molti propongono l’acquisto di oggetti che promettono sicurezza evitando il lavoro “sporco”. Invece la chiave è proprio in questo lavoro a basso valore economico ma ad alto valore intellettuale.

Riportare la rete ai livelli base di sicurezza significa tornare al Layer 2, alle fondamenta dell’edificio.

Prima di cedere alle sirene del mercato, consolidate i fondamentali della network security by design:

Segmentazione e segregazione della rete: L’ambiente è diviso in compartimenti stagni? Una minaccia può muoversi lateralmente compromettendo l’intero impianto produttivo o si ferma ad un singolo macchinario / una singola zona della rete?
Network Access Control (NAC): Autenticazione all’Edge e profili assegnati dinamicamente. Sappiamo davvero chi entra e dove può andare, o ci affidiamo alla speranza?
Sicurezza Intrinseca: La rete è costruita per essere sicura o la sicurezza è un ripensamento?
Principi di Least Privilege e Need to Know: Limitiamo l’accesso di utenti e dispositivi ai soli protocolli necessari? Tutti possono avere accesso indiscriminato oppure gli accessi sono basati sull’identità aziendale e sul ruolo?

Molti System Integrator ignorano questo approccio per forma mentis, non voglio dire per convenienza economica. Chi vende prodotti cerca problemi adatti alle sue soluzioni. Chi proviene dalla cultura della sicurezza di rete, come noi, osserva l’infrastruttura e parte da lì.

L’approccio corretto spesso è per sottrazione, non per addizione. Prima si riduce la superficie d’attacco lavorando sull’architettura esistente: pulire il segnale, definire i perimetri, blindare l’accesso.
Solo successivamente, caso per caso, si integra la tecnologia puntuale per i rischi residui.

Non fatevi spillare budget per strumenti che non siete pronti a governare. La sicurezza reale è silenziosa, invisibile e risiede nelle fondamenta.

Tutto il resto sono le luci del centro commerciale.

Ale

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Il personale cyber in Triveneto

Alessandro Lavarra — Tue, 11 Nov 2025 10:26:38 GMT

Ciao, sono Ale.

Di recente ho partecipato come speaker al Cyber Security Talent Talk, dove sono stati presentati i dati di un interessante studio compiuto da WeHunt sui professionisti cyber del Triveneto.

Lo studio ha mappato 78 professionisti su circa 500 contattati nel Triveneto, analizzando ruoli, competenze, gap critici e posizionamento retributivo.

I numeri confermano un problema globale: la carenza di professionisti cyber non è un’emergenza temporanea. È la condizione normale.

Un problema globale, non locale

🌍 La dimensione del gap
4,8 milioni di professionisti cyber mancano a livello globale 300.000 in Europa 50.000–100.000 in Italia

Questi non sono numeri astratti. Sono posti vacanti che non verranno riempiti.

Ogni azienda che cerca un Security Analyst, un Cloud Security Specialist, un CISO compete per una risorsa scarsa.

Nel Triveneto, questo si traduce in un gap di competenze critico che lascia le aziende esposte.

Dove mancano davvero le competenze

🔍 Gap di competenze critici
Cloud Security: Solo 1–2 professionisti su 78 citano esperienza su AWS, Azure o cloud security
OT/SCADA Security: Quasi assente in una regione manifatturiera dove la security degli impianti industriali è critica
Digital Forensics: Solo un Incident Response Consultant mappato — gap del 25% a livello globale
DevSecOps: Competenze scarse su application security

In una regione come il Triveneto, ricca di manifattura e impianti produttivi, la mancanza di specialisti OT/SCADA è un rischio concreto.

Il cloud security è praticamente inesistente, nonostante le migrazioni cloud siano in corso in tutte le aziende medio-grandi.

La digital forensics è un deserto: quando hai un incidente grave, non hai professionisti che sanno gestirlo.

Questi gap non sono casuali. Sono la conseguenza diretta della carenza globale.

Le competenze specialistiche sono rare ovunque, ma nel Triveneto lo sono ancora di più.

L’outsourcing diventa necessità

Con 4,8 milioni di professionisti cyber mancanti a livello globale, è meglio essere consapevoli che non potrai inserire in organico tutte le competenze di cui hai bisogno.

L’outsourcing non è più solo una scelta strategica. È una necessità operativa.

Non puoi avere un Digital Forensics Specialist a tempo pieno quando ce n’è solo uno mappato nell’intera regione.

Non puoi costruire un team cloud security interno quando le competenze sono così scarse.

Non puoi presidiare la security OT/SCADA con personale che non ha questa specializzazione.

Secondo noi però la gestione del rischio cyber non può essere semplicemente delegata. Il modello che funziona è ibrido:

Competenze strategiche interne: leadership, governance, relazione con il business, risk management.
Competenze specialistiche esterne: cloud security, OT security, incident response, forensics, generica conoscenza tecnica delle soluzioni.

Questo non è un compromesso. È la strategia sostenibile in un mercato dove la domanda supera l’offerta di un ordine di grandezza e dove minacce e tecnologie si inseguono in una crescita senza freni.

Il secondo problema: parlare al business

Anche quando trovi le competenze tecniche, c’è un altro gap critico.

💼 Soft Skills emergenti**”Saper tradurre esigenze tecniche al CDA”** e “parlare la lingua di chi investe” sono competenze sempre più richieste dai professionisti cyber.Almeno 5 professionisti mappati hanno citato esplicitamente il bisogno di migliorare comunicazione, management e strategia.

La cybersecurity sta diventando una funzione strategica. Il CISO deve saper parlare al CFO, al CEO, al CDA.

Deve tradurre “dobbiamo investire in hardening perché abbiamo ancora regole any-any sui firewall” in “dobbiamo mitigare un reale rischio di interruzione operativa con impatto di X milioni sul fatturato”.

Se il tuo team cyber non sa parlare il linguaggio del business, le tue richieste di budget avranno vita difficile. E la tua security rimarrà sempre sottofinanziata.

Le aziende dovrebbero investire in formazione su comunicazione, leadership e risk management. Non solo certificazioni tecniche.

I numeri della distribuzione e il paradosso dei senior

Per completezza, ecco come si distribuiscono i professionisti mappati:

📊 Seniority e Ruoli:
45% Senior (oltre 10 anni) | 35% Middle (4–9 anni) | 12% Junior (meno di 3 anni) 20% Manager Operativi | 19% Specialisti Tecnici | 14% Leadership | 13% Consulenti

Retribuzioni:
RAL media 57.000€ (range 22K€–120K€)

Solo il 12% sono junior, il che potrebbe indicare un problema di ricambio generazionale.

Invece questo squilibrio si spiega perché la cybersecurity è un settore di recente espansione dove molti senior (80%) non provengono da studi specifici ma sono figure cresciute “sul campo” o promosse da altri reparti IT.

Oggi, al contrario, i profili junior hanno una preparazione formale più specifica ma mancano di esperienza. Le aziende finali cercano profili già pronti, più rari e costosi, perché non hanno spazio e modo di far crescere gli altri. I System Integrator specializzati svolgono un ruolo strategico anche perché sono l’ambiente ideale dove i profili più giovani possono fare esperienza e trasformare solide preparazioni teoriche in esperienza e competenze necessarie al mercato.

Come adattarsi a questo contesto “new normal”

1. Accetta che il modello “tutto interno” non funziona

Con 50–100K professionisti mancanti solo in Italia, stai competendo per una risorsa scarsa. Non hai le caratteristiche e le risorse per far crescere i profili junior più promettenti. Il modello ibrido interno/esterno non è un ripiego: è strategia.

2. Prioritizza le soft skills

La capacità di tradurre rischio cyber in impatto business vale quanto, se non di più, delle competenze tecniche. Investi nella formazione manageriale del tuo team IT.

3. Costruisci partnership prima dell’emergenza

Non cercare fornitori di incident response o cloud security quando sei sotto pressione. Costruisci relazioni solide quando hai tempo di valutare competenze reali. La carenza di professionisti cyber è globale, strutturale e non migliorerà.

→ 4,8 milioni di posizioni vacanti nel mondo non si colmano con qualche corso di formazione.

Nel Triveneto questo si traduce in gap critici su cloud security, OT/SCADA, forensics. Competenze che non puoi trovare localmente e che devi necessariamente esternalizzare.

Chi continua a cercare l’autosufficienza completa rimarrà bloccato.

Chi accetta il modello ibrido e investe anche sulle soft skills per tradurre la cyber in linguaggio business avrà un vantaggio competitivo.

Ale

P.S. Ringrazio Francesca Tonini e WeHunt, innanzitutto per avermi invitato a condividere le mie opinioni durante il loro evento, e poi per aver condiviso i dati su cui ho basato questa newsletter.

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Lo SPID, l’infoplutocrazia e il primo sito web dell’Inter

Alessandro Lavarra — Thu, 30 Oct 2025 11:30:43 GMT

Ciao, sono Ale.

Questa edizione di Payload sarà un’intervista. L’ospite è Stefano Quintarelli, uno dei pionieri in Italia per quanto riguarda Internet.

Stefano non è uno che ha semplicemente assistito alla nascita di Internet in Italia: l’ha costruita.

Nel 1989, ancora studente, ha fondato la prima associazione telematica studentesca italiana, e nel 1994 ha creato I.NET, il primo Internet Service Provider professionale del paese, contribuendo a costruire gran parte dell’ecosistema internet italiano.

Non male per uno che si definisce semplicemente “informatico interessato all’IT dal 1979”.

Dal 2013 al 2018 è stato deputato, membro della Commissione per i diritti e i doveri in Internet della Camera dei Deputati e leader dell’Intergruppo parlamentare per l’innovazione tecnologica.

È stato lui a ideare lo SPID e la strategia informatica della Pubblica Amministrazione, e dal 2014 al 2021 ha presieduto il Comitato di indirizzo dell’Agenzia per l’Italia Digitale.

Ha poi fatto parte del Gruppo di esperti di alto livello sull’intelligenza artificiale della Commissione Europea e presieduto l’Advisory Group on Advanced Technologies for Trade and Transport delle Nazioni Unite.

In sostanza, è uno dei pochi in Italia che può parlare di digitale, politica e futuro senza che nessuno gli chieda le credenziali.

Hai un curriculum che definirei disarmante per chi deve presentarti brevemente a un pubblico. Oggi, come ti piace definirti o presentarti?

Attualmente, gestisco un fondo di venture capital, con una lunga – come direbbe Indiana Jones – chilometrica storia professionale alle spalle.

Dunque, l’attualità è quella del gestore di Venture Capital. È un mercato europeo o internazionale?

Abbiamo una quota di investimenti all’estero, quindi non siamo focalizzati solo sull’Italia. Il nostro focus preferenziale è lavorare con founder italiani che hanno fatto una esperienza all’estero.

C’è un dibattito sulla diversa velocità del nostro mercato rispetto alle dinamiche internazionali...

Se si guardano i numeri, il dibattito non sussiste. La quantità di capitali investiti in Italia, rispetto all’Europa, è minima. In Europa, rispetto agli Stati Uniti, è minima. Siamo un “minimo al quadrato”. Questo deriva dalla mancanza di una grande tradizione di imprenditori che creano una prima, seconda e terza impresa, e di una diffusione della cultura dell’imprenditoria digitale legata alle start-up (anche se si può fare un’azienda digitale dignitosissima, con buona crescita, senza che sia una start-up).

Il lavoro di un fondo è prendere soldi e restituirli aumentati a chi ce li ha affidati. Per fare ciò, entriamo in un’azienda e a un certo punto dobbiamo uscirne, vendendo le nostre quote. Chi ha i maggiori capitali per comprare? Gli americani. Gran parte del nostro lavoro è aiutare le aziende a crescere, non solo in Italia, ma anche a livello internazionale. Tutte le nostre aziende in portafoglio hanno attività internazionali. Inoltre, ci occupiamo di farle conoscere ai fondi internazionali. Nel mondo delle start-up, dopo la fase Series A, i fondi americani cominciano a giocare in Europa, dal Series B in poi. È lì che ci sono opportunità per generare buoni rendimenti. I fondi europei di VC hanno rendimenti spesso migliori di quelli statunitensi perché operano in una fase più precoce della vita aziendale e poi vendono a loro, che arrivano con capitali molto più consistenti. Sebbene la quantità di start-up in Europa sia paragonabile o superiore a quella statunitense, è difficile – se non impossibile – creare in Europa un’azienda da decacorno.

Però il mercato presenta caratteristiche che rendono l’investimento interessante?

L’Europa investe 70 miliardi all’anno in capitale di rischio pre-IPO, contro i 1300 degli Stati Uniti. Per cui, a un certo stadio, se vuoi crescere ulteriormente, prenderai capitali americani. Questi fondi richiederanno di trasferire l’headquarter nel Delaware. Non dobbiamo essere spaventati da questo, ma cavalcarlo. Israele ha costruito la sua fortuna così: l’importante è mantenere una quota rilevante di intelligenza e l’attività di Ricerca e Sviluppo nel paese. Le aziende sono incorporate o commercialmente attive negli Stati Uniti, ma il cuore aziendale rimane in Israele. Abbiamo persone di talento. Se uniamo italiani che hanno fatto esperienza all’estero, che hanno conoscenza delle “liturgie” del settore – che qui non ti insegna nessuno – e li aiutiamo a innestarsi sul bacino di tecnici e imprenditori italiani, i rendimenti si possono fare.

Tra l’imprenditore e l’idea non c’è il successo. Come si dice, il successo è l’un per cento ispirazione e il novantanove per cento sudorazione. Non basta l’idea, bisogna anche lavorare. Poi servono i capitali, e devi sapere come gestire l’azienda, il consiglio di amministrazione, gli investitori, come negoziare le clausole.

Una cultura della crescita e della gestione veloci.

Esattamente. C’è una conoscenza specifica che non è quella del capitale di rischio da prestito bancario. Ripeto: tante aziende che nascono qui nel Nord-Est sono dignitosissime, ma con potenziali di crescita più limitati, per cui chi le aiuta fa un lavoro diverso dal nostro del Venture Capital. Alcune idee, invece, hanno una potenzialità di scalare e moltiplicare i ricavi per tre o per quattro ogni anno per più anni. Queste aziende necessitano di capitali che non danno le banche, ma i fondi di venture.

Anche l’imprenditore adesso pensa all’exit. È una cultura che da noi non è diffusa. Per questo cerchiamo di supportare italiani che hanno già lavorato e fatto esperienze in questo tipo di mercato. Si rivolgono al mercato internazionale perché l’exit la si fa con operatori internazionali, dato che in Europa, rispetto agli USA, ci sono pochi soldi.

Sembra un tentativo di emancipare la nostra cultura aziendale.

Certamente.

Tra tutti i tuoi primati c’è quello di aver portato internet in Italia – hai il merito di essere stato il primo Internet Service Provider italiano, e dalla tua sede è nato il MIX di Milano...

Beh, eravamo diversi soci… poi l’affermazione di aver portato internet in Italia è forse eccessiva. Bisognerebbe mettersi d’accordo sulla definizione di Internet. Oggi si confonde Internet con il Web. Quando siamo partiti con la mia azienda, l’unico browser era NCSA Mosaic, un browser su workstation SUN. Poi c’era un browser su NeXT. Non c’era praticamente altro. C’erano circa 2.000 server web al mondo, una quantità ridicola. Internet era sostanzialmente gestito via terminale, con posta elettronica, Gopher, Archie, WAIS – cose che oggi la gente non conosce.

Quando partimmo, nel 1994, siamo stati i primi a dare un indirizzo IP, ossia a fornire il servizio Internet nel senso che il cliente diventava un nodo della rete. Questo è stato possibile perché nel 1992 la direttiva europea Open Network Provision aveva aperto i servizi di telecomunicazione a fornitori privati, non monopolisti statali. La direttiva fu recepita in Italia nel ‘94.

Un aneddoto interessante: appena decidemmo di partire, il mio professore, Gianni Degli Antoni, fondatore dell’informatica a Milano, mi presentò a Milly Bossi Moratti. Massimo Moratti aveva deciso di comprare l’Inter, ed era l’autunno del ‘94. Degli Antoni ci disse: “Dovete fare il sito web dell’Inter.”

Io e il mio socio andammo a casa di Massimo Moratti e, con Milly che cucinava e i figli Mao e Gigio che venivano a vedere incuriositi, scrivemmo i testi del primo sito web dell’Inter nel salotto. Fu probabilmente il primo sito di una squadra sportiva al mondo. All’epoca c’erano solo i testi sul Web; le immagini e gli sfondi colorati sarebbero arrivati poco dopo. Tutto questo con il supporto di Apple, il cui direttore marketing a Milano all’epoca era un signore di nome Diego Piacentini.

Diego che poi ho conosciuto quando è stato Commissario Straordinario...

Esatto. Quando ero in Parlamento, con alcuni colleghi stavamo lavorando alla revisione del Codice dell’Amministrazione Digitale (CAD). Ci dicemmo: possiamo fare una bellissima norma, ma resterà inapplicata come in passato, perché le amministrazioni non la applicano e non ci sono sanzioni. Per dare impulso, abbiamo pensato di istituire la figura del Commissario con poteri sostitutivi. L’idea era che ci fosse qualcuno in grado di dire all’amministrazione: “Se non lo fai, ti tolgo il budget e lo faccio io.” Di fronte a questa prospettiva, le amministrazioni hanno cominciato a muoversi.

Dalle origini di Internet che hai descritto, sei arrivato a teorizzare l’infoplutocrazia, il dominio di pochi che detengono il patrimonio informativo. Qual è il grado di percezione che abbiamo oggi di questo fenomeno?

Oggi è alto. C’è stato l’intervento del DOGE (Department of Government Efficiency), il sostegno di Thiel, Andreessen, Musk, Trump. Si vedono chiaramente.

Scrissi il libro quando arrivai in Parlamento nel 2013, un arrivo casuale su chiamata di Monti. Dopo un grave incidente, sono tornato in Parlamento alla fine del 2013. Visto che il mio gruppo politico aveva subito scissioni, decisi di fondare l’Intergruppo parlamentare per l’innovazione, con oltre 100 parlamentari iscritti.

Mi resi conto che c’era grande fame di capire che fenomeni come Amazon, Booking e Uber, o i problemi di elusione fiscale, avevano la stessa matrice.

Così, scrissi il libro – distribuendone una copia a ogni parlamentare – dove spiegavo la matrice comune, come funzionava la tecnologia e gli effetti su media, lavoro e pagamenti. Lì ho introdotto l’idea degli infoplutocrati, i plutocrati dell’informazione che diventano intermediari monopolisti e governano i mercati.

E oggi, con l’elenco di nomi che hai fatto, le storture sono sotto gli occhi di tutti.

Sì, oggi è evidente a tutti. Dodici anni fa non lo era così tanto. Il libro si è evoluto rispetto alla stesura iniziale; nell’ultima versione del 2019 si intitola molto opportunamente Capitalismo Immateriale. Sta andando bene, ha avuto otto edizioni.

Di sicuro ha superato la prova del tempo.

Assolutamente. Mi ha scritto di recente un alto dirigente di una delle grandi società di consulenza, dicendo che rileggendo il libro di recente, è incredibile quanto mantenga la sua attualità. Il libro va a fondo, spiegando le basi del fenomeno, e le basi non cambiano.

Non posso non farti una domanda su SPID. Sei il teorico dell’identità digitale unica, poi concretizzata con il tuo intervento. Tra l’utilizzo solo della CIE e l’identità europea in arrivo, stiamo andando avanti o indietro?

Facciamo un po’ di storia. Nel 2011-2012 un amico dell’MIT mi coinvolse in un think tank chiamato Identity Talks in the Tower, promosso da Giesecke+Devrient, un’azienda che produce la carta di documenti e banconote, e che vendeva “fiducia”. Il nuovo AD, che proveniva dalla Philips, voleva riflettere su come sarebbe cambiato il business della fiducia, con il Passaggio dalla carta al digitale.

Lì iniziai a riflettere sul tema dell’identità. L’identità non è definita; è definito il documento. Io dico sempre che, tornando indietro, avrei chiamato SPID ”Sistema di Autenticazione”, non di Identità, per via delle incomprensioni tra informatici e giuristi.

In Italia, i tentativi precedenti (CIE, CNS, CRS) non avevano funzionato, salvo che in Trentino, dove avevano distribuito un lettore standard a ogni famiglia. Bisogna sapere che la baseline di autenticazione nell’amministrazione è una fotocopia di un documento inviata per fax o allegata a una mail. Quando ci chiedono “mi mandi una copia del documento” è per fare una autenticazione. Quel livello di sicurezza è la base di partenza.

La mia idea iniziale era quella che fu poi adottata in Scandinavia: c’erano circa 4 milioni di token di strong authentication già distribuiti dalle banche. Visto che il livello di affidabilità delle credenziali bancarie è molto maggiore di una fotocopia, proposi di usare quelle come punto di partenza. In questo modo si fa un salto in alto nella possibilità di erogare servizi digitali.

Il progetto di identità digitale partì con il Governo Letta. Io, purtroppo, ero in ospedale dopo l’incidente. Francesco Caio, Commissario per l’agenda digitale, venne a trovarmi. Mi disse che aveva trovato due progetti che non andavano avanti: l’hub dei pagamenti (PagoPA) e la centralizzazione dell’anagrafe (ANPR). Io gli dissi: “Queste due cose vanno bene, ma per arrivare alla radice, devi fare un sistema di autenticazione condiviso.”

La gestione del ciclo di vita delle credenziali è un onere che per una piccola amministrazione non ha senso sostenere. Ad esempio, un comune per il servizio cimiteriale, non si mette ad erogare e gestire credenziali (con revoca, sospensione, smarrimento, call center, eccetera). Se si isola la gestione delle credenziali e la si mette a fattore comune con delle API, si crea un sistema riutilizzabile da tutti. Francesco capì l’idea, la propose ad Enrico Letta e il progetto che io stavo sviluppando come proposta di legge prese la corsia di sorpasso e fu inserito in un decreto del governo.

C’è poi da considerare, rispetto alla CIE, che l’identità può essere rilasciata da diversi operatori, cosa che è fondamentale per una questione di indipendenza degli enti certificatori, che ha un valore democratico.

Questo è fondamentale. Il governo cinese viene criticato perché sta creando un sistema di identità digitale dove l’intermediazione monopolistica è totale. I servizi digitali diventano l’interfaccia con il mondo fisico (biglietti, pagamenti, concorsi, servizi), e a quel punto si ha qualcuno che sa tutto su di te.

È un tema che va oltre il tracciamento, l’accumulo di informazioni, perché è un abilitatore: se vuoi partecipare a un concorso e ti vengono sospese le credenziali, tu non partecipi. Chi gestisce il sistema ha un potere immenso.

Per questo ho pensato a SPID con un insieme di intermediari, per mitigare il rischio del singolo punto di controllo, cosa che verrà estremizzata con l’aggiornamento tecnologico previsto dalle nuove norme europee in materia, con il passaggio a un portafoglio digitale (il cosiddetto “wallet”), cosa che caldeggiai nel 2018.

Stefano, mi sa che il tempo a mia disposizione è finito, ma le mie domande sarebbero ancora tante, cosa dici se continuiamo questa conversazione più avanti?

Dai, fissa.

È tutto. Ringrazio Stefano per il tempo che mi ha dedicato e per aver condiviso con me le sue opinioni.

Se questa edizione di Payload ti è piaciuta e non sei ancora iscritto alla newsletter, trovi qui sotto il pulsante per farlo.

Ale

P.S. chissà, forse con Stefano ci rivedremo presto…

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Il tuo IT sta perdendo la partita dell'innovazione

Alessandro Lavarra — Wed, 15 Oct 2025 10:31:05 GMT

Ciao, sono Ale.

In questa newsletter voglio parlare del nuovo Pulse Survey di PwC (Maggio 2025), e in particolare di un dato: secondo i tech leader il “rate of innovation” è il bottleneck numero uno.

Non la cybersecurity, non i budget, non i vendor, ma l’incapacità di stare al passo con l’innovazione.

Ecco i numeri:

📊 Il 21% dei tech leader identifica il “pace of innovation” come l’ostacolo numero 1.
Il 40% lo mette comunque nella top 3.
Tutti i problemi correlati riguardano il concetto di “people keeping up with technology”.

Chi partecipa ai nostri LAB sa che apro sempre con una slide sulla Legge dei Ritorni Acceleranti. Il motivo è semplice: né come individui, né tanto meno come organizzazioni, siamo programmati per tenere il passo con un progresso che non è lineare, ma esponenziale.

Ancora una volta, i dati confermano le ipotesi su cui abbiamo costruito il nostro intero modello di business.

È ora di dirci una cosa su cui sembriamo tutti sordi: questa situazione non è destinata a migliorare, anzi.

Se continuiamo a cercare le stesse soluzioni, il gap si allargherà anno dopo anno.

Sai perché? Perché siamo vittime di un bias.

L’equazione è semplice: la velocità dell’innovazione tecnologica accelera esponenzialmente. La tua capacità di assorbirla cresce linearmente, quella della tua organizzazione è ancora più lenta, spesso addirittura stagnante.

Fai il test. Pensa all’ultima “innovazione “ che hai portato in azienda. Quanto tempo ci ha messo la tua organizzazione dal momento in cui l’hai identificata ad averla in produzione? 12 mesi? 18? due anni?

Nel frattempo quella tecnologia è già evoluta e state celebrando il go-live come se fosse una vittoria.

Non lo è. È un ritardo istituzionalizzato, è un punto in più del debito tecnico.

Il problema non è il ritmo. È l’approccio.

La maggior parte dei CIO continua a ragionare con una mentalità da “inseguimento”. Non ha tempo per informarsi direttamente, identificare trend, partecipare a laboratori, fare test e POC, allocare budget su interventi trasformativi. Il budget è un esercizio di equilibrio a meno che qualche investimento non sia imposto da raggiunti limiti di età. È così che si costruisce un’IT che accumula ritardo anno dopo anno.

I dati PwC rivelano una verità scomoda nascosta dietro le medie:

Leader Tecnologici “Confident”

64% dà priorità a sistemi AI-nativi.
61% si concentra sul “future-proofing” rendere l’infrastruttura a prova di futuro.
67% investe in upskilling del personale.

🧑‍💻 Leader Tecnologici “Less Confident”

Solo il 17% dà priorità a sistemi AI-nativi.
Solo il 25% si concentra sul “future-proofing”.
Ben il 75% punta sull’upskilling del personale.

Noti il pattern? Chi rimane indietro punta sul personale. Chi invece indica la strada punta su tecnologie trasformative.

Non è cinismo: è matematica. Se la tua strategia si basa sul “formare più persone per gestire più tecnologie”, stai costruendo sulla sabbia.

L’Illusione dell’Upskilling come Soluzione

Il dato sul maggiore investimento in upskilling da parte dei leader “meno sicuri” è controintuitivo solo in apparenza. In realtà, è il sintomo di un problema più profondo.

Leader “Meno Sicuri” (Inseguitori): La loro strategia è spesso guidata dalla necessità di “tappare i buchi”. Hanno sistemi legacy, processi frammentati e debito tecnico accumulato. L’upskilling diventa una misura tattica e difensiva: La frase “Abbiamo bisogno di più persone e di più competenze” potrebbe essere completata con “per gestire la complessità che non siamo riusciti a eliminare”.
Leader “Più Sicuri” (Innovatori): Loro non stanno “formando più persone per gestire più tecnologie”. Stanno costruendo piattaforme e sistemi nativi (AI-native, cloud-native, ecc.) che sono intrinsecamente più semplici, automatizzati e scalabili. Il loro upskilling è strategico e offensivo: “Abbiamo una piattaforma potente, ora formiamo le persone per sfruttarla al massimo e creare nuovo valore”.

La differenza è enorme: i primi usano le persone come “forza” per tenere insieme sistemi fragili; i secondi usano le piattaforme per moltiplicare l’impatto delle persone.

Ecco esattamente il Modello di Business di IPway: smettere di inseguire, iniziare a scegliere.

Andando più nel dettaglio:

1. Eliminare, non aggiungere

Ogni nuova tecnologia dovrebbe sostituire tre vecchie. Non integrarsi. Sostituire. Se stai costruendo la tua 17esima interfaccia di monitoring, hai già perso.

2. Progettare per l’obsolescenza

Le architetture “future-proof” non esistono. Esistono architetture che rendono l’obsolescenza gestibile. Modularitàe API-first non perché sia elegante, ma perché quando quella soluzione diventerà legacy (e lo farà), vuoi poterla sostituire o ridimensionare in trimestri, non anni.

3. Saper dire di NO

Il 90% delle innovazioni che attraversano le nostre scrivanie sono rumore. Il nostro lavoro non è valutarle tutte. È identificare il 10% che muove davvero l’ago e puntare tutto lì, ignorando deliberatamente il resto.

Questo richiede coraggio? Sì. Ma costa meno di disperdere senza arrivare a niente. Mentre i competitor parlano di mille innovazioni e poi propongono la stessa zuppa su cui si sentono sicuri, noi andiamo dritti sulle tecnologie realmente trasformative.

La vera domanda

Questo è il cuore del problema. Non stai perdendo perché l’innovazione va troppo veloce. Stai perdendo perché ti poni la domanda sbagliata.

💡 Il paradigm shift
Domanda sbagliata: “Come faccio a stare al passo con tutto?” Domanda giusta: “Quale 10% di tutto questo mi rende imbattibile?”

Fai pace con il fatto che non migliorerai.

Torniamo al punto di partenza. Il 40% dei tech leader dice che non riesce a stare dietro all’innovazione. La risposta non è “lavorare più duramente”. È smetti di provarci.

Inizia invece a essere affilato.

Affilato nel tagliare tecnologie che non generano valore differenziante e non ti rendono più veloce, affilato per separare i progetti che “sarebbe bello fare” da quelli che è “strategico fare”.

La questione non è SE riuscirai a stare al passo. È QUANDO smetterai di provarci e inizierai a indirizzare le tue forze solo per quello che conta davvero.

È qui che entriamo in gioco noi. Il nostro lavoro è esattamente questo: lo scouting ossessivo di quel 10% che può essere trasformativo, la sua messa in produzione alla massima velocità e la sua gestione con la massima efficienza.

Il system integrator medio ti ha abituato a scelte prudenti (più per lui che per te). Ma il valore non si genera nella prudenza. Si genera nella capacità di dominare il proprio gioco.

I dati citati provengono dal PwC Pulse Survey (Maggio 2025) su 85 CIO, CTO e technology leaders.

Ale

P.S. Se ti stai chiedendo cosa sia la legge dei ritorni acceleranti, è questa qui.

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Il mercato ICT si contrae, la spesa in cybersecurity accelera

Alessandro Lavarra — Tue, 23 Sep 2025 10:31:29 GMT

Ciao, sono Ale,

Nella newsletter di oggi voglio fare il punto sulla situazione nel mercato ICT, partendo dai dati della ricerca Context World sul primo semestre 2025, presentata durante Distriboutique Milano.

Mentre l'Europa ICT cresce del 5%, l'Italia arranca al +0,2%. Ma c'è una storia nascosta dietro questi numeri che ogni CIO dovrebbe conoscere prima di pianificare il budget 2026.

Un insight da tenere d’occhio

La crescita non arriva più dai volumi, ma dal valore strategico. Mentre il mercato "Volume" è in rosso da sei trimestri consecutivi (-5% Q1, -4% Q2), il segmento "Value" accelera al +15% nel primo trimestre, arrivando a rappresentare il 40% delle vendite totali.

Tradotto: chi continua a spendere in commodity o a rinnovare pigramente perde competitività. Chi investe in soluzioni strategiche guadagna terreno.

Il grande nemico di ogni CIO: l’inerzia

La maggior parte dei budget IT enterprise è ancora allocata su tecnologie legacy e commodity. Rinnovare contratti per timore di cambiare o perché non si è disposti a investire risorse nella ricerca di soluzioni più strategiche, è una scelta che non può più funzionare.

Le aziende più agili stanno già riallocando budget verso le tre aree che trainano la crescita:

📊 I numeri che contano
Networking: infrastrutture +9% (preparazione AI-ready) Software e Servizi: +9% (oltre un quarto del mercato) Cybersecurity: +42% network security, +50% infrastructure protection

Cosa si rischia rimanendo immobili?

Ogni trimestre di ritardo nella riallocazione significa:

Vulnerabilità crescenti: mentre la tua azienda mantiene il budget su tecnologie superate, le minacce cyber evolvono esponenzialmente
Inefficienze operative: infrastrutture non ottimizzate consumano risorse senza generare valore strategico
Perdita di competitività: i competitor che investono in SASE, cloud security e AI-ready infrastructure acquisiscono un vantaggio determinante

Il tempo per decidere si sta esaurendo. I budget IT non cresceranno nel 2026, e questo significa che ogni euro mal investito è un'opportunità persa.

Come riallocare le risorse in modo strategico

La formula vincente emersa dai dati è chiara: concentrare investimenti su progetti che ottimizzano e semplificano.

Le tre priorità per il 2026:

🎯 Priority 1: consolidare
Passare da tool puntuali e dispersivi a piattaforme integrate e approcci trasversali (SASE, Zero Trust)
ROI: riduzione complessità + miglioramento postura security
🎯 Priority 2: Networking AI-ready
Infrastrutture che supportano workload data-intensive, ma anche AI per supportare le operation di rete e sicurezza. (proprio questo sarà l’oggetto del nostro prossimo LAB sulla Platform One di Extreme Networks trovi tutte le informazioni in fondo a questa newsletter).
ROI: abilitazione innovazione + efficienza operativa
🎯 Priority 3: Cloud optimization
Da lift-and-shift a cloud-native, l'identità diventa l'unico vero perimetro da controllare
ROI: scalabilità + controllo costi

La trasformazione in atto

I dati dimostrano che questa trasformazione è già iniziata. Le aziende più mature stanno:

Eliminando sprechi: -6% telefonia, -3% PC tradizionali
Investendo in valore: +474% flash array, +51% data center switch
Accelerando security: +27% identity & access management

💡 Il modello che emerge
Non si tratta di spendere di più, ma di spendere meglio. Ogni investimento deve rispondere a: "Questo ci rende più sicuri, più efficienti, o più competitivi?"
Se la risposta è no a tutte e tre le domande, l’investimento non s’ha da fare.

Il momento di agire

Con l'Europa che accelera e l'Italia che "tiene", il rischio è restare indietro in un mercato sempre più polarizzato tra chi investe strategicamente e chi rimane ancorato ai vecchi modi di agire.

I CIO che riusciranno a riallocare in modo strategico il budget nei prossimi 12 mesi saranno quelli che guideranno la crescita nel 2026 e oltre.

La domanda non è se fare questa transizione, ma quanto velocemente riuscire a completarla.

Alcune cose che, se ti va, possiamo fare insieme:

Partecipa all’Extreme LAB — riserva il tuo posto per scoprire con noi Platform ONE, la piattaforma di network AI-ready di Extreme Networks.

Iscriviti »

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Siamo tutti stanchi di rincorrere alert

Alessandro Lavarra — Tue, 02 Sep 2025 10:31:40 GMT

Ciao, sono Ale.

Prima di partire con la newsletter vera e propria ho un annuncio da fare: giovedì 2 ottobre tornerà una nuova edizione dei Lab di Ipway! Questa volta si tratta dell’Extreme Lab, organizzato in collaborazione con Extreme Networks. Sarà un’occasione per scoprire la piattaforma Extreme Platform One e, come sempre, un incontro all’insegna della pratica. Trovi tutte le info e il link per iscriverti qui: https://eventi.ipwaynetworks.com/extreme-lab

Detto questo, oggi voglio parlare dell’approccio platform based in cybersecurity, ma prima voglio farti una domanda:

Il tuo SOC è ancora un centro di costo che insegue alert?

Se la risposta è sì, forse è ora di cambiare prospettiva.

Il vecchio modello, basato su un SIEM che raccoglie passivamente log in un ambiente eterogeneo e disordinato, è superato.

Così si produce troppo rumore che sovraccarica gli analisti e questo esaspera la già critica carenza di competenze e risorse tecniche.

È ora di smettere di comprare soluzioni puntuali e cercare di renderle omogenee aggiungendo layer tecnologici e intervento umano.

L'evoluzione è la sicurezza by “Platform”

L'approccio moderno non è un colpo di spugna, ma ristabilisce un po’ gli equilibri.

Consolidando su poche piattaforme integrate, si costituisce una base solida per un'architettura interoperabile, in linea con il principio di Cybersecurity Mesh Architecture (CSMA) indicato da Gartner.

Invece di far proliferare soluzioni best of breed scollegate tra loro e lasciare il compito di rendere omogeneo l’ambiente al SIEM, ci si affida a piattaforme che coprono uno scope il più ampio possibile, così da ridurre i prodotti da configurare, orchestrare e in generale gestire.

Le piattaforme offrono diversi livelli di servizio attivabili come features e non come prodotti a sé, e permettono la gestione e la visibilità di ampie porzioni dell’ecosistema di rete e sicurezza da pannelli unificati per dominio.

Un altro beneficio dell’approccio platform based è che possiamo sfruttare al massimo le automazioni e le innovazioni che i vendor stanno rilasciando in particolare per capacità abilitate da ML e AI in termini di correlazione di eventi e di reazione autonoma.

Con poche soluzioni tecnologicamente avanzate possiamo concentrarci nel fine tuning e nell’interoperabilità dei sistemi così il ruolo del system integrator può evolvere da fornitore di forza lavoro a specialista e abilitatore di una catena virtuosa di capacità autonome.

Nel nostro mondo di reti e sicurezza, le piattaforme che possono fare la differenza nel nostro modo di gestire l'architettura sono queste:

SASE/SSE (CATO) Per unificare la connettività globale e la sicurezza del perimetro (FWaaS, ZTNA, SWG, CASB, DLP…).
EDR/XDR + gestione Identità (SentinelOne) Per avere visibilità e potere di risposta totali sull'endpoint, e sulle identità, dove avviene la maggioranza degli attacchi.
UEBA e AI-Driven Detection and Response (Darktrace) Per analizzare i comportamenti sulla rete, nel cloud e sulle email, per gestire anche le anomalie che sfuggono alle firme.
Gestione della rete e NAC: Inventory, performance e garanzia di sicurezza della rete basata sugli accessi, per applicare i principi dello Zero Trust anche alla LAN.

E il SIEM? Non è morto, si è evoluto.

In questo nuovo mondo, il SIEM smette di essere un sistema fragile e “rumoroso” su cui poggia tutta la responsabilità della correlazione di eventi e diventa un Security Data Lake strategico più sbilanciato ad assolvere compiti di retention e compliance.

Il risultato? Un SOC più qualificato, proattivo, con più risorse da dedicare a threat intelligence e strategia e, dettaglio non trascurabile, un’esperienza d’uso per gli utenti interni molto più soddisfacente.

In questo panorama pieno di cambiamenti è importante continuare a chiedersi: l’approccio alla sicurezza che sto adottando è ancora fermo al modello del passato o è già proiettato verso l'ecosistema del futuro?

Come sempre, il mio intento è di creare uno scambio di opinioni, perciò se hai un pensiero da condividere con me non esitare!

Alla prossima,

Ale

P.S. Se non sei ancora iscritto trovi il pulsante per farlo qui sotto.

P.P.S. Mi raccomando, non perderti il LAB. Sarà un’ottima occasione per fare rete e incontrarci di persona!

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

L’era del Detect è finita

Alessandro Lavarra — Fri, 25 Jul 2025 10:30:53 GMT

L'era in cui visibilità e detection erano la priorità è finita.

Ho discusso di architetture e approcci alla sicurezza con almeno una decina di clienti e continuo ad analizzare le nuove tendenze tech.

Una cosa è chiara: non basta più uno strumento che ti segnala cosa c'è che non va e un team che provveda a sistemare.

Gli eventi da analizzare sono troppi, e i team troppo piccoli.

Nelle trattative con i clienti la mia vendita, oggi, non può più basarsi su offerte di "più log" o "più visibilità".

Il focus è cambiato radicalmente.

Le aziende non vogliono vedere meglio il problema, vogliono che il problema venga risolto.

E, aggiungo io, meglio che non si presenti proprio.

Il mantra nei servizi di cybersecurity è passato da "vedo tutto e ti aiuto a rispondere" a "rispondo in tempo zero".

Come system integrator non possiamo più limitarci a offrire una dashboard con mille spie accese.

Ci vuole una soluzione che riduca il carico di lavoro del team di sicurezza (e anche dei nostri team perché i cybersecurity engineer non si trovano certo a spasso nei parchi) e acceleri la risposta agli incidenti.

Questa è la promessa delle nuove piattaforme estese e AI driven.

Invece il nostro valore come consulenti e operatori sta, oltre che nel corretto tuning di queste piattaforme, nella capacità di fare prevenzione e, idealmente, evitare che l'incidente si verifichi.

Chi vince in questo scenario

Le aziende che vincono in questo mercato sono quelle che hanno capito questo shift. Chi vende un risultato, non l’ennesima funzionalità.

La nostra proposta di valore, quindi, non si misura dal volume di alert che generiamo, ma dalla riduzione del MTTR (Mean Time to Respond, uno dei nostri pochissimi KPI) e, soprattutto, dalla capacità di dimostrare come la combinazione “tecnologia + nostro servizio di co-management” riduce concretamente il carico di lavoro e l’esposizione al rischio, da subito.

Il budget si deve spostare dalla tradizionale architettura “ambiente eterogeneo + SIEM + operation” a piattaforme uniche e AI driven in grado di centralizzare più funzioni e controllare tutti gli edge.

Perché il problema non è solo la mancanza di visibilità, ma la mancanza di velocità.

Ecco nella pratica il nostro scenario ideale:

- Architetture SASE (come CATO Networks): Permette di avere visibilità e protezione estesa su tutta la rete, su tutti gli edge, e di applicare vere logiche ZTNA. La copertura omogenea e la centralizzazione in un “single pane of glass” aiutano i processi di miglioramento continuo, manutenzione di regole, gestione della rete WAN e LAN per ridurre drasticamente la superficie di attacco. Questa uniformità rende anche superflui gli investimenti in un SIEM separato.

- NDR e UEBA con Autonomous Response (come Darktrace): Per il traffico est-ovest e per qualsiasi evento di rete potenzialmente dannoso, anche se lecito, questi strumenti garantiscono modelli in grado di rilevare anche le minacce più subdole e hanno l’impagabile capacità di intervenire in modo autonomo prima che un analista possa anche solo accorgersene.

- Endpoint & Identity Protection (come SentinelOne): Per coprire gli eventi di sistema operativo o le minacce legate alle identità, da coprire con strumenti evoluti per la protezione degli endpoint e dell'Active Directory, che, come nel caso di Sentinel, hanno anche capacità di autonomous response e automazioni per l’igiene delle identità.

Il nostro ruolo in questo cambiamento

Smettere di vendere visibilità e iniziare a vendere prevenzione e "risoluzione autonoma" non è un'opzione, è una necessità.

Il nostro ruolo come system integrator è proprio questo: accompagnare le aziende in questa transizione e permettere ai team interni di occuparsi di governance, pianificazione e risk management come da buone pratiche e da indicazioni normative (vedi NIS2).

Non ci limitiamo a scegliere le soluzioni migliori, ma con i nostri servizi co-gestiti, integriamo queste tecnologie AI-driven nel tuo piano di risk management, mitigando la carenza di personale e garantendo che tu possa davvero dormire sonni tranquilli e, ovviamente, anche noi.

Tibet, Il mio gatto... un professionista del relax, nonostante gli alert!

Certo non è una promessa facile da mantenere ma è la direzione in cui vanno tutti i nostri sforzi.

Anche perché credo non esista un professionista di cybersecurity che sente il bisogno di strumenti capaci di generare più alert.

Quello di cui abbiamo tutti bisogno sono prodotti che agiscano in autonomia e con precisione.

Ale

P.S. Se non sei ancora iscritto trovi il pulsante per farlo qui sotto.

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

NIS2: prima di acquistare nuove tecnologie, leggi questo

Alessandro Lavarra — Fri, 11 Jul 2025 10:30:32 GMT

Troppo spesso, nell'approccio alla conformità NIS2, gli assessment si concentrano su prodotti e servizi, evidenziando cosa manca e spingendo all'acquisto di nuove soluzioni senza prima formulare una visione.

Forse questo accade perché troppo spesso questi assessment sono condotti da System Integrator con competenze soprattutto tecniche e interessi di vendita diretti, invece che da consulenti terzi agnostici

In ogni caso passare all’azione acquistando o attivando subito servizi non è il migliore modus operandi.

Bisogna partire dalla governance e dalla consapevolezza organizzativa.

Questi sono gli step che suggerisco:

Concentrarsi su consapevolezza e formazione

La Direttiva NIS2, recepita in Italia dal D.Lgs. 138/2024, impone agli organi di amministrazione e direttivi di seguire una formazione specifica in materia di cybersicurezza. Questa formazione deve garantire l’acquisizione di conoscenze sufficienti al fine di valutare i rischi e le pratiche di gestione per la sicurezza informatica - Art 23 comma 2 lettere a) e b).

Definire ruoli e responsabilità

È fondamentale partire da un “Organigramma della sicurezza delle informazioni” che chiarisca ruoli, responsabilità e autorità per la cybersecurity.

Il primo passo è nominare un CISO (Chief Information Security Officer) o appuntare la stelletta di sceriffo a qualcuno che ne faccia le veci, ovviamente assicurandosi che abbia le competenze e le deleghe necessarie per gestire la strategia di cybersicurezza e la sua implementazione per allinearsi ai requisiti della Direttiva (Guida ENISA Technical Implementation Guidance).

Mappare il grado di maturità

Bisogna partire da un assessment basato sui controlli CIS o su un framework standard (tipo NIST) il più orientato possibile a capire cosa ho già e cosa è effettivamente una criticità.

Un "Piano di remediation" strutturato deve guidare l'attuazione delle azioni necessarie per colmare i GAP identificati e raggiungere la piena conformità NIS2.

NB. I controlli CIS non devono essere necessariamente validati tutti in T1 ma possono essere rimandati o non eseguiti consapevolmente, documentando e motivando la scelta.

Stilare un documento programmatico

È fondamentale ricordarsi sempre che la sicurezza è un percorso continuo e non si devono comprare soluzioni e servizi per le operation un tanto al chilo.

È giusto, invece, redigere piani di valutazione del rischio e azioni di remediation ponderate.

In questo passaggio bisogna valutare la severity dei gap in un'ottica di proporzionalità rispetto al rischio e alle caratteristiche specifiche della propria organizzazione.

Il deliverable deve essere una "Policy di Sicurezza delle Informazioni" che "evidenzi l'impegno dell'organizzazione, fissi gli obiettivi e indichi i mezzi per raggiungerli" che sarà il documento guida del progetto

Elaborare una matrice di priorità e stabilire le azioni immediate.

Messa a posto la questione organizzativa e procedurale è il tempo di valutare, in una matrice a quattro dimensioni (tipo matrice Eisenhower), le iniziative di remediation in base ad impatto ed effetto richiesto:

1 - iniziative ad alto impatto e basso effort = fare immediatamente

2 - iniziative ad alto impatto e alto effort = pianificare e mettere a budget

3 - iniziative a basso impatto e alto effort = verificare se sono acquistabili a servizio. Altrimenti non realizzare, documentando e motivando la scelta e l’accettazione consapevole del rischio

4 - iniziative a basso impatto e basso effort = tenere in backlog

Ricordiamo che la normativa non impone scelte e garantisce un certo margine di discrezionalità sugli interventi da eseguire a seconda delle caratteristiche della nostra organizzazione.

È in questo margine che le scelte devono essere consapevoli, informate e tecnicamente oculate e qui il CISO deve dimostrare di aver inteso, valutato e deciso in modo consapevole e informato.

L’approccio che ho descritto ci fornisce gli strumenti e il tempo di definire e implementare i processi formali e fa crescere la cultura della sicurezza nell’organizzazione.

Seguiranno i piani di gestione dei rischi, i progetti e più in generale, prenderà forma il nostro Sistema di Gestione della Sicurezza delle Informazioni (SGSI).

Vorrei chiudere con un commento su un fenomeno che osserviamo spesso.

Come spesso accade sia con le normative sia con gli incentivi, nascono servizi e consulenze ad hoc a ridosso delle scadenze.

Questi servizi sono spesso pensati come strumento di vendita per consulenti e system integrator, piuttosto che come supporto decisionale per i CIO e CISO.

Nella nostra esperienza diretta abbiamo osservato come molti report di questa natura, consegnati ai nostri clienti, trascurino la rilevanza degli strumenti e piattaforme in uso e i temi squisitamente legati alla governance e all’awareness interna.

Molti nostri clienti hanno già strumenti avanzati, ad esempio, i servizi di Network Detection and Response (NDR) basati su Darktrace o MDR o i nostri servizi di gestione della sicurezza su architetture SASE con CATO Networks che rispondono ai requisiti più importanti e sono seguiti dal nostro team di cyber security che vanta profili con formazione specifica, certificazioni internazionali riconosciute come CISSP (Certified Infromation System Security Professional) che attesta le competenze per progettare, implementare e gestire programmi di sicurezza e gestione del rischio.

Per i nostri clienti, che ci hanno seguito nell’approccio platform based security, è molto importante capire quanta strada hanno già fatto e magari chiederci un contributo per formalizzare le scelte e non rincorrere modelli derivati da good practice non più attuali, o peggio, orientate solo a drenare budget.

Ale

P.S. Se non sei ancora iscritto trovi il pulsante per farlo qui sotto.

---

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Il mio primo post virale…

Alessandro Lavarra — Fri, 27 Jun 2025 10:30:39 GMT

Il 28 maggio ho pubblicato questo post su LinkedIn che ha generato 54.739 impression e 52 commenti.

Mica male per un settore come il nostro dove molti sono presenti su LinkedIn ma in modo silenzioso!

Dopo la gratificazione iniziale (non lo nascondo, ero molto contento di questo boom improvviso!) ho iniziato a farmi delle domande.

Ormai condivido contenuti su LinkedIn da più di un trimestre e l’elaborazione di questo non è stata troppo differente da tutti gli altri. Eppure solo questo ha raggiunto i numeri che hai avuto modo di vedere.

Certo, le scelte dal punto di vista di copy & media possono essere state più azzeccate, ma io credo che la ragione di questo successo sia un’altra, e qui entri in gioco TU.

Sì, perché questo post è andato virale perché ha espresso un pensiero comune tra chi lavora in cybersecurity, che rappresenta una delle principali cause di frustrazione nel nostro lavoro:

I finanziamenti nella cybersecurity sono limitati, difficili da ottenere e complicati da indirizzare nel modo giusto.

Chiunque lo capirebbe, anche solo leggendo i commenti sotto il post:

Purtroppo la sicurezza IT viene ancora vista come un costo e non come un fattore abilitante.

Questo è un enorme problema e, forse, l’ostacolo più grande allo sviluppo in questo senso delle nostre imprese.

Eppure è chiaro a qualsiasi addetto ai lavori che in gioco non c’è solo qualche credenziale o un paio di informazioni sensibili, ma l’intero futuro dell’azienda.

Mi capita spesso di ripeterlo, perché è vero, ma di aziende costrette a chiudere dopo un attacco hacker se ne sente parlare sempre più spesso e non si può più pensare che siano casi isolati.

Allora perché l’imprenditore non si ravvede e non inizia a investire come si deve?

Questa è la domanda, perché l’imprenditore medio non è miope, è sommerso.

Sommerso da problemi urgenti, sommerso da richieste di investimento, sommerso da voci di spesa che promettono ROI più immediati.

Per questo il nostro ruolo, come professionisti dell’IT, non può limitarsi alla competenza tecnica.

Se ogni discussione parte da tecnicismi avulsi dalla prospettiva dell’imprenditore, non ci si può aspettare di essere compresi.

Dobbiamo, tutti, imparare a parlare di più nel linguaggio del business e di meno in quello della tecnologia.

È difficile, perché la deformazione professionale ci porta a perderci nei discorsi tecnologici, ma è uno sforzo necessario.

Dobbiamo insistere e avere più attenzione per l'outcome e gli esiti che vogliamo generare, che sono ciò che interessa ad imprenditori e investitori, e non solo per l'implementazione di questa o quella tecnologia.

Quindi serve perseveranza, ma anche una visione strategica della tecnologia all’interno del business e il giusto linguaggio con cui proporla.

Ho iniziato a pubblicare Payload proprio per dare questi strumenti ai professionisti della cybersecurity e spero di riuscirci.

Come sempre, il mio intento è di creare uno scambio di opinioni, perciò se hai un pensiero da condividere con me non esitare!

Alla prossima,

Ale

P.S. Se non sei ancora iscritto trovi il pulsante per farlo qui sotto.

---

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Lo stato del digitale in Parlamento

Alessandro Lavarra — Fri, 13 Jun 2025 10:30:20 GMT

Ciao, sono Ale.

Questa edizione di Payload sarà un'intervista. L’ospite è l'On. Giulia Pastorella.

In passato Giulia ha lavorato per giganti tech come HP e Zoom, per poi arrivare al suo attuale ruolo di parlamentare e membro della Commissione trasporti, poste e telecomunicazioni.

Ho scelto di intervistarla proprio per il suo background, che le consente di parlare al meglio riguardo alla situazione politica e normativa che riguarda il digitale e la cybersecurity in Italia.

Iscriviti per altre interviste e spunti su questi temi.

Giulia, tu ora sei membro della Commissione Trasporti, Poste e Telecomunicazioni che in teoria si occupa anche di digitale. Se ne occupa davvero?

Esatto, sono membro di questa commissione, e devo dire che trovo paradossale che nel suo nome appaia solo l'aspetto telecomunicazioni, perché ovviamente il digitale è un tema molto più ampio.

Io ho scelto questa commissione proprio perché in teoria si dovrebbe occupare di digitale.

In pratica poi mi sono resa conto che il digitale è sparpagliato in tante commissioni diverse.

Per esempio, quando è legato al mondo delle imprese e delle startup, se ne occupa la commissione delle attività produttive, quando è legato al mondo sanitario, rientra nei compiti nella commissione che si occupa di sanità.

A noi rimangono comunque temi importanti, per esempio ora ci stiamo occupando del disegno di legge sull'intelligenza artificiale, quindi una delle tematiche più calde al momento.

E poi ci occupiamo di telecomunicazioni e di connettività in generale, quindi tutto quello che concerne fibra, copertura e satelliti passa anche dalla nostra commissione.

Perciò non mi sono pentita di averla scelta, ma il nome della commissione mi fa sorridere, perché mi sembra rappresentativo riguardo a come approcciamo il digitale in Parlamento.

Quanta consapevolezza c’è in Parlamento riguardo alle sfide della cybersecurity?

Diciamo che la consapevolezza sulla cybersecurity sta aumentando, ma i colleghi che provengono direttamente dal mondo del digitale o del tech sono pochi, e ancora meno dal mondo della cybersecurity.

Ci sono parlamentari interessati a questi temi, che partecipano all'intergruppo Innovazione, ma gli esperti veri e propri sono ancora rari.

C'è una consapevolezza superficiale del fatto che la cybersecurity è un tema importante, ma raramente ho visto proposte concrete.

Spesso se ne parla come di un argomento di tendenza, come l'intelligenza artificiale, ma poi si fatica a capire cosa fare nella pratica.

Il problema principale è che si guarda molto di più agli aspetti politici, come la governance o il ruolo delle varie autorità, piuttosto che a come aiutare le aziende a essere più consapevoli o a trovare le competenze necessarie.

Quando si entra nello specifico, a parlare di come aiutare le aziende sulla cybersecurity, si fa più fatica.

Mi è capitato anche di vedere aziende rimandare investimenti in cybersecurity proprio per timore delle nuove normative, quindi gestire nel migliore dei modi queste questioni di governance è davvero cruciale.

Assolutamente, ne ho avuto una prova provata quando è passato il cosiddetto DL Cyber, che è stata una cosa assurda per chi l'ha seguita.

Era una mezza anticipazione, molto parziale, della NIS 2 che poi è puntualmente arrivata perché era già passata, si trattava solo di implementarla.

Quindi il governo ha voluto mettere il cappello su questo tema con una norma parziale che riguardava solo la pubblica amministrazione e solo le notifiche di incidenti, senza aiutare sul lato della prevenzione, cosa che invece la NIS 2 fa fornendo tutta una serie di principi e criteri da seguire

Quindi il DL Cyber è stata una normativa anticipata e parziale, che ha creato molta confusione perché poi, ripeto, è arrivata la NIS 2 e ha fatto tabula rasa di tutto quello che c'era prima.

Lo stesso sta accadendo con l'intelligenza artificiale: il governo ha fretta di mettere il proprio marchio di fabbrica, con anche aspetti legati all'inasprimento delle pene, cosa che piace molto a questo governo, anche in questo ambito.

Quindi anche a livello governativo, non solo a livello parlamentare, spesso si corre ad anticipare le normative europee in un modo secondo me inutile.

Uno dei grandi problemi sull’intelligenza artificiale è che gli incentivi per portare le aziende a utilizzarla meglio non sono potenziati, mentre è molto potenziata la parte che mette briglie e manette, e dice che cosa si può o non si può fare.

Questo approccio per me è sbagliato. Ostacola l'innovazione e non aiuta a far capire le potenzialità di queste tecnologie.

Infatti anche nel dibattito politico si parla molto più dei rischi e della necessità di regolamentazioni, molto meno delle opportunità.

Quanta consapevolezza c’è in Parlamento riguardo al rapporto tra digitale e geopolitica?

Secondo me, c'è ancora poca consapevolezza dell'intreccio tra il digitale e la geopolitica, e poca consapevolezza riguardo alla cosiddetta guerra fredda tech.

Si fatica a comprendere come le catene del valore globale per quanto riguarda il digitale siano dipendenti dagli equilibri geopolitici, di quanto i blocchi commerciali si stiano polarizzando anche sul tema digitale, creando i propri stack separati.

Di quanto si stia arrivando a una balcanizzazione non solo del mondo online, ma anche offline, quindi delle infrastrutture fisiche critiche.

Ecco, tutto questo si sente molto poco e quindi non c'è neanche la percezione di come lo strumento di regolamentazione possa essere usato in questo contesto per proteggere non solo i cittadini, ma anche le imprese, e per giocare una partita che è sempre più tesa e cattiva a livello internazionale.

Ultima domanda: dato che in passato hai lavorato in aziende tech anche all’estero, come è vista l’Italia nell’ambiente tech internazionale?

L'Italia è vista come un paese che vive di rendita sulle sue forze del passato, portate dai suoi distretti industriali e dal suo patrimonio culturale e turistico, ma che fatica a modernizzarsi.

Non credo sia corretto immaginare, e non lo pensano nemmeno i nostri partner europei, che dobbiamo diventare un paese solo di servizi o di unicorni tech. Sarebbe assurdo e controproducente.

Tuttavia, anche da parte degli imprenditori più illuminati, si sente la necessità di capire come possiamo costruire sulla forza del passato, su ciò che ci ha reso una potenza economica, portandoci nel XXI secolo e non restando indietro.

C'è poi il tema della modernizzazione non solo delle imprese, ma anche delle competenze dei cittadini. È ridicolo spingere tanto sulla digitalizzazione della pubblica amministrazione se poi ci sono cittadini che non sanno interagire con essa.

Gli indici DESI e altri indici che ci vedono sempre in ritardo toccano tutti questi aspetti, ma non danno soluzioni, fanno solo una fotografia.

E devo aggiungere che dalle stanze del potere non vedo ancora un approccio coerente. Non vedo, per esempio, una strategia nazionale sui dati.

Ci sono le normative europee, Data Governance Act, Data Act, che incentivano l'utilizzo e la condivisione dei dati, ma in Italia i dati prodotti dalle aziende non sono messi a sistema, rimangono nei server, ed è un peccato perché potrebbero essere usati per quel salto di modernizzazione di cui parlavo prima.

Il nostro obiettivo deve essere di non ingessare l'Italia nelle glorie passate, ma di costruire su quelle glorie per un futuro migliore.

È tutto. Ringrazio Giulia Pastorella per il tempo e soprattutto per gli spunti, a mio parere lucidi, che ci ha condiviso.

E ringrazio te per essere arrivato fino a qui nella lettura.

Alla prossima,

Ale

P.S. Sto cercando di costruire un dialogo tra pari, non una newsletter broadcast autoreferenziale. Che ne pensi dell'intervista? Rispondi a questa email che sono davvero interessato al tuo pensiero ;)

---

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Cosa è cambiato davvero nella cybersecurity?

Alessandro Lavarra — Fri, 30 May 2025 10:30:21 GMT

Ciao,

viaggiamo tutti all’ipervelocità delle AI generative che monopolizzano la scena, eppure le aziende, instancabilmente, reiterano gli stessi vecchi schemi ed errori.

Ogni articolo sulla tecnologia inizia con "in questi tempi di trasformazione veloce..." ma le persone e le organizzazioni si trasformano davvero così velocemente?

La risposta è NO.

E questo "no" ha una duplice spiegazione.

È fisiologico: la curva di adattamento alle tecnologie ci insegna che persone, organizzazioni e pubblica amministrazione arrivano in ritardo, e in quest’ordine, ad essere sul pezzo.
Investimenti, cultura dell'innovazione e capacità di sperimentare nuove tecnologie non fanno parte del DNA delle nostre aziende.

"Scusa, ma non abbiamo tempo per il vostro interessantissimo LAB, abbiamo troppi progetti aperti, magari l'anno prossimo!"

Ti riconosci? No, non mi riferisco a te, ma immagino ti sia riconosciuto 😉.

Nella cybersecurity, per esempio, succedono diverse cose nuove, ma il modello SIEM + SOC fondato su team numerosi resta la scelta principale, anche se oggi mostra punti deboli e possibili alternative.

I motivi sono tanti: carenza di personale, cambio di paradigma strategico, allargamento dei perimetri aziendali, necessità di modelli orientati alla prevenzione.

Poi sorprende che alcune buone pratiche, che definirei "scolastiche" vengano bellamente trascurate, preferendo l'acquisto dell'ultima tecnologia in alto a destra nel quadrante di Gartner.

Insomma, un bel mix di conservatorismo e scatti in avanti, ma quale sarebbe la giusta via?

Qui entrano in gioco i modelli platform-based e il nuovo ruolo della componente human nella cybersecurity.

Ho scritto un articolo per i tipi di Digital360 proprio su questo.

Sì, lo so, è un po' lungo e il tempo a disposizione di ognuno è poco, ma ti assicuro che ci sono spunti davvero interessanti e ci tengo particolarmente perché ci troverai molto del modello IPway e delle strategie che abbiamo sperimentato sul campo con successo.

Trovi l’articolo qui.

Buona lettura!

Ale

P.S. Sto cercando di costruire un dialogo tra pari, non una newsletter broadcast autoreferenziale. Ti trovi con la mia opinione? Non ti trovi? Rispondi a questa email che sono davvero interessato al tuo pensiero ;)

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

IT come funzione strategica?

Alessandro Lavarra — Mon, 26 May 2025 13:52:18 GMT

Il mondo corre, l’IT resta indietro.

Emergono nuove tecnologie, nuovi standard, nuove minacce.

La cybersecurity si evolve, i modelli di rete cambiano, le cose là fuori sono sempre più imprevedibili.

E mentre tutto questo accade, i team IT interni sono impegnati a garantire l’operatività quotidiana: gestire le infrastrutture, risolvere problemi, mantenere la continuità dei servizi.

Il risultato? Non c’è il tempo per aggiornarsi.

Seguire ogni sviluppo tecnologico e svolgere il lavoro necessario a mantenere l’azienda in piedi è impossibile.

La pressione per garantire la sicurezza e la stabilità dei sistemi è tale che la formazione e l'innovazione finiscono in secondo piano.

Così il divario tra quello che le aziende fanno e quello che dovrebbero fare si allarga.

È in questo divario che si nascondono i veri problemi.

Nel lungo termine questa inefficienza si traduce in opportunità perse, in costi nascosti che si accumulano e in una crescente vulnerabilità agli attacchi informatici.

Le aziende che non colmano lo skill gap non solo rischiano di perdere terreno rispetto ai concorrenti, ma anche di compromettere la propria capacità di innovare e rispondere con agilità alle nuove sfide.

Non basta più avere un team IT competente: serve una strategia che integri la tecnologia con il business, che permetta di sfruttare appieno il potenziale delle soluzioni digitali e che riduca al minimo i rischi associati a una scarsa preparazione tecnica.

Il segreto non è rincorrere talenti per colmare internamente ogni lacuna tecnica, ma ripensare il ruolo dell’IT.

L’IT deve diventare una funzione strategica, capace di selezionare i partner giusti, delegare con consapevolezza e mantenere il controllo sugli obiettivi di business.

Con un modello di co-gestione di questo tipo le aziende mantengono il controllo senza dover gestire ogni dettaglio tecnico, focalizzandosi invece sulle decisioni strategiche che fanno davvero la differenza.

Un'azienda che investe in questo modo non solo riduce lo skill gap, ma si dota di una visione chiara su come affrontare le sfide future.

La sicurezza, la scalabilità e la continuità operativa non possono più essere considerate elementi secondari, ma come pilastri fondamentali per qualsiasi impresa che voglia prosperare nell’era digitale.

Ale

P.S. Sto cercando di costruire un dialogo tra pari, non una newsletter broadcast autoreferenziale. Ti trovi? Non ti trovi? Rispondi a questa email che sono molto davvero interessato alla tua opinione. ;)

Confrontati con me — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

L’Italia siamo noi

Alessandro Lavarra — Wed, 21 May 2025 14:26:55 GMT

Là fuori le cose sono sempre più veloci, sia le opportunità sia le minacce.

Basti pensare che oggi anche i conflitti e le tensioni globali riguardano da vicino le aziende.

Intesa San Paolo, per esempio, si è trovata al centro di un vero e proprio attacco tra nazioni ed è diventata bersaglio di un'operazione organizzata da un gruppo hacker.

Sto parlando degli attacchi del gruppo Noname057, continuati per molti giorni dopo un discorso di Mattarella critico verso la Russia.

Questo è un problema che va oltre gli interessi della singola azienda ed è per questo che l'Unione Europea ha iniziato un iter legislativo con le direttive DORA e NIS2.

Direttive sulla cybersecurity che mirano a rafforzare la sicurezza delle reti e dei sistemi informativi in tutta l'Unione Europea.

Purtroppo in Italia rimaniamo indietro: l'Italia subisce il 10,1% degli attacchi informatici mondiali, nonostante il nostro PIL copra poco più dell'1% di quello globale.

Abbiamo un mix di fattori perfetti per fare di noi un bersaglio.

Siamo una nazione in vista: terza economia dell'UE, membro del G7, quinto paese al mondo per turismo, ma siamo fragili su tutti gli indicatori di maturità digitale e la sicurezza non fa eccezione.

Questi dati, in Italia, li commentiamo sempre come se le responsabilità, così come le conseguenze, fossero problemi di qualcun altro.

"Eh ma gli imprenditori, lo Stato, il sistema, gli investimenti troppo bassi…"

Come se bastasse investire più soldi per risolvere tutto.

Sia chiaro, gli investimenti sono imprescindibili.

Però non basta allocare fondi per acquistare un tanto al chilo. Ci vuole strategia, ci vuole competenza, ci vuole, soprattutto, un sincero senso di responsabilità.

Nel nostro lavoro quotidiano in Ipway siamo motivati da questo concetto di responsabilità su cui ci siamo confrontati spesso.

Certo, le aziende devono essere pronte a investire, ma noi operatori ci siamo chiesti se abbiamo costruito un clima di fiducia, se abbiamo alzato l'asticella delle competenze, se abbiamo dimostrato affidabilità e lungimiranza?

Oppure vogliamo solo spartirci i margini di una corsa agli investimenti?

Se è così saremo sempre punto e a capo, solo con le aziende che spendono di più e sprecano fondi.

Noi ci siamo dati una risposta: quando si parla di nazione, di società, di classifiche teniamo sempre a mente che in questo sistema non siamo osservatori, ma siamo gli attori protagonisti.

Ale

P.S. Sto cercando di costruire un dialogo tra pari, non una newsletter broadcast autoreferenziale. Ti trovi? Non ti trovi? Rispondi a questa email che sono davvero interessato alla tua opinione ;)

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.