Il rischio cybersecurity è sempre più diffuso e a farne le spese non sono solamente le grandi strutture o le PA, ma anche le pmi. Una recente indagine sul fenomeno, il "Cisco Cybersecurity Readiness Index 2025" evidenzia che il 33% delle pmi italiane ha subito almeno un attacco informatico nell'ultimo anno, mentre l'80% segnala una significativa carenza di specialisti in sicurezza informatica. Tuttavia, il 97% delle aziende intervistate ha dichiarato l'intenzione di aggiornare o ristrutturare le proprie soluzioni di cybersecurity entro i prossimi due anni.
Porte d'ingresso degli attacchi sono hardware e software obsoleti, la non disattivazione di funzionalità e plugin non necessari, l'impiego di antivirus, firewall e policy di dominio rivisti e aggiornati e l'utilizzo di strumenti di intelligenza artificiale.
A questi vanno aggiunte competenze interne più specifiche e la collaborazione con partner specializzati in cybersecurity. In questo scenario, il ruolo degli studi legali si è ampliato significativamente, evolvendo dalla mera gestione degli incidenti alla prevenzione e alla governance integrata del rischio cyber.
"In questo contesto, abbiamo compreso che l'attenzione del legale si concentra sempre più sui profili di governance e di responsabilità, soprattutto alla luce dell'entrata in vigore di normative quali la NIS II e il regolamento DORA, che rafforzano gli obblighi organizzativi, di controllo e di resilienza digitale per numerosi operatori, con ricadute indirette anche sulle pmi inserite nelle relative filiere", dice Matteo Cerretti, Partner di DWF. "La consulenza richiesta non si limita alla gestione dell'evento patologico, ma riguarda in misura crescente la fase preventiva: analisi dei rischi, definizione di assetti organizzativi adeguati, revisione dei contratti con fornitori ICT, predisposizione di procedure interne per la gestione degli incidenti e per le notifiche alle autorità competenti, nonché coordinamento con i presidi in materia di protezione dei dati personali. I clienti insomma comprendono che in una materia così delicata la prevenzione sia fondamentale e molto più efficace di un intervento a incidente avvenuto. Un ulteriore ambito di intervento concerne la formazione del personale e del management, considerata oggi un elemento essenziale della strategia di mitigazione del rischio. Le pmi richiedono sempre più spesso momenti di aggiornamento normativo e di sensibilizzazione, al fine di integrare la cultura della sicurezza nei processi aziendali. L'avvocato non sostituisce le competenze specialistiche in ambito ICT, ma opera in sinergia con consulenti tecnici qualificati, chiamati a valutare le vulnerabilità dei sistemi, a implementare le misure di sicurezza e a gestire operativamente gli incidenti. Solo l'integrazione tra competenze legali e tecniche consente di costruire modelli organizzativi adeguati e di affrontare eventuali crisi in modo tempestivo e conforme al quadro normativo".
