ESET, Pmi tra confidenza e fragilità cyber » inno3

Lo scenario della cybersecurity per le piccole e medie imprese, segnato dalla democratizzazione dell’AI, dall’evoluzione delle minacce e da una crescente pressione regolatoria, sembra cambiare la percezione dei problemi e le sensibilità, ma non sempre nella direzione attesa. In questo contesto, ESET pubblica l’Smb Cyber Readiness Index 2026, una fotografia globale che mette a confronto percezioni, investimenti e capacità reali delle Pmi di tutto il mondo.

Il quadro che emerge dall’Index, basato su un sondaggio condotto dall’agenzia Go4insight su 4.400 piccole e medie imprese in 13 Paesi tra Europa (Italia compresa), Nord America e Giappone, restituisce una fotografia ambivalente del rapporto tra Pmi e cybersecurity. Le organizzazioni coinvolte – tutte con un numero di endpoint compreso tra 25 e mille unità e con un decision maker sui temi della sicurezza tra i rispondenti – si mostrano più mature rispetto al precedente Sentiment Survey del 2022 di ESET, con investimenti in crescita e una migliore percezione strategica della cybersecurity.
Eppure, sotto la superficie, l’indice evidenzia un divario significativo tra la fiducia dichiarata e la resilienza effettiva, con timori spesso orientati verso minacce mediaticamente rilevanti più che reali. 

Il dato di sintesi è netto: il 45% delle Pmi globali ha subito almeno un incidente di sicurezza negli ultimi dodici mesi, ma il 75% si dichiara fiduciosa nella propria capacità di resistere a un attacco (26% molto, 49% abbastanza). Il 61% teme un attacco nel prossimo anno. L’Italia si colloca al di sotto della media globale per incidenza: il 65% degli intervistati italiani dichiara di non aver subito incidenti, mentre il 27% ne segnala uno e l’8% più di uno. E sulla resilienza, il dato italiano allinea il 17% di intervistati “molto confidenti” a un 59% di “abbastanza confidenti”.

Su questo divario, il vendor sottolinea la necessità di considerare il vero significato del concetto di cyber resilience che, in questo caso, deve essere valutato come la capacità di un’azienda di sopravvivere a un attacco, piuttosto che di prevenirlo. A ciò si aggiunge un elemento strutturale particolarmente rilevante per il mercato italiano: la maturità della cyber insurance.  Secondo l’indice poi, il 71% delle Pmi globali ha una polizza cyber, ma con differenze marcate: solo il 31% del campione si dice tranquillo nel fare affidamento esclusivo sull’assicurazione.

AI, percezione e realtà non coincidono

Una delle aree di maggiore contrasto tra percezione e dato operativo riguarda l’intelligenza artificiale. Il 31% delle Pmi globali indica l’AI-powered malware come prima minaccia dei prossimi 12 mesi, davanti a ransomware e malware tradizionali (29%) e phishing (26%).

Ma il report di ESET evidenzia che le cause reali degli incidenti riportati dagli stessi intervistati sono ancora convenzionali: campagne di phishing (26%), vulnerabilità non patchate (23%), assenza di monitoraggio (22%) e password deboli (20%).

Il vendor, infatti sottolinea che “Sono ancora password riutilizzate, igiene informatica inadeguata, vulnerabilità non patchate a determinare le criticità.”. Il vero tema, quindi, è che l’AI sta cambiando soprattutto scala e qualità degli attacchi convenzionali, senza sostituirli, individuando nel data leakage – la condivisione inconsapevole di informazioni sensibili con tool AI pubblici – un rischio sottovalutato. Non a caso, il 73% delle Pmi ha integrato applicazioni AI, ma solo il 60% si è dotato di una policy per limitare lo shadow AI. In Italia il rapporto è ancora più sbilanciato: il 60% utilizza AI ma solo il 49% ha una policy formale, valore inferiore alla media globale.

Le basi prima di tutto

Sulla scala delle priorità, ESET sottolinea che prima di guardare a tecnologie sofisticate come Xdr, Siem o Itdr, le Pmi devono mettere in sicurezza i fondamentali. 

Da questa logica deriva un consiglio operativo: “Se non si sono ancora sistemate le basi, non ha senso investire su altro”. Per molte Pmi poi, l’investimento tecnologico va accompagnato necessariamente dalla componente umana, ed è qui che si concentra il vero collo di bottiglia. “L’investimento in tecnologia deve sempre essere abbinato a un investimento sulle persone, ed è la sfida più grande per le Pmi, soprattutto quando bisogna mantenere un’operatività 24/7″. Un dato confermato anche dalle telemetrie interne di ESET: la maggioranza degli incidenti si verifica fuori orario lavorativo o nei fine settimana.

Budget, outsourcing e il nodo Mdr

L’80% delle Pmi globali considera sufficiente o più che sufficiente il proprio budget cyber e il 40% si attende un incremento nei prossimi 12 mesi. Sul mercato italiano il quadro è in linea: il 73% giudica il budget sufficiente, il 19% più che sufficiente. Tra le voci di investimento prioritarie per il prossimo anno il primo posto va alla formazione e awareness (41%), seguita da cloud security (33%) e backup & recovery (26%).

Sul fronte organizzativo,  l’outsourcing a un Msp qualificato risulta essere la via maestra suggerita da ESET per la gran parte delle Pmi: il consiglio del vendor, infatti, per qualsiasi Pmi che possa permetterselo, è quello di esternalizzare la protezione. E aggiunge una raccomandazione contro-intuitiva: saltare il livello intermedio degli strumenti avanzati per andare direttamente all’Mdr, perché “non ha senso investire in tecnologie sofisticate se poi non si avrà nessuno in grado di farle funzionare”.

Resta però il nodo del costo. La survey rileva che la willingness to pay (la disponibilità a pagare) media delle Pmi è di 62 euro per dispositivo all’anno, una cifra inferiore al costo reale di un servizio Mdr di mercato e sottolinea un problema di comunicazione tra le aziende del settore e le Pmi, indicando come “il 75% delle Pmi non conosce o non comprende davvero cosa sia l’Mdr.”. Un richiamo alla responsabilità dei vendor nel rendere accessibili termini e proposizioni di valore.

Cosa serve adesso

Lo Smb Cyber Readiness Index 2026 evidenzia anche segnali concreti di miglioramento. Il tempo medio di investigazione degli incidenti si è ridotto in modo significativo rispetto al 2022: il 41% delle Pmi chiude le indagini entro due settimane e un ulteriore 34% tra le due e le sei settimane. L’adozione dell’Mdr si sta diffondendo con modelli di delivery diversificati che vedono coinvolti vendor, Msp/Mssp e – in misura crescente – le stesse compagnie assicurative cyber.

ESET, perciò, raccomanda alle Pmi di sistemare i fondamentali, con hardware e software moderni e aggiornamenti automatici. Ai vendor chiede una comunicazione meno gergale e ai policymaker propone regole più semplici – la complessità del recepimento della Nis2 è citata come esempio negativo – e programmi di sostegno mirati. Per ESET stessa, infine, gli investimenti in AI dovranno tradursi in soluzioni più scalabili e accessibili, in continuità con la promessa di cybersecurity for everyone che resta il riferimento di lungo periodo dell’azienda.

Approfondisci come la tua azienda può essere sicura nei tempi dell’AI, scaricando il whitepaper gratutito di ESET: La sicurezza informatica nell’era dell’Intelligenza Artificiale 

Approfondisci come la tua Pmi può esser resliente agli attacchi cyber, scaricando il whitepaper gratuito di ESET: Resilienza informatica by design

Non perdere tutti gli approfondimenti di Voice of ESET

© RIPRODUZIONE RISERVATA

© RIPRODUZIONE RISERVATA