Cybersecurity, Yarix punta su IA ed espansione internazionale. L’intervista al Ceo Mirko Gatto
“Troviamo ancora aziende che non hanno un backup. È come andare a 200 chilometri all’ora in autostrada, di notte, con i fari spenti e senza freni”. Per Mirko Gatto, socio fondatore e CEO di Yarix, centro di competenza per la cybersecurity di Var Group, il problema della cybersecurity in Italia non è soltanto tecnologico. È prima di tutto culturale.
Molte imprese, infatti, hanno iniziato a considerare la sicurezza informatica un asset strategico, altre continuano a viverla come un costo, una tassa da pagare senza comprenderne fino in fondo il valore. Il risultato è un Paese che corre a due velocità, mentre gli attacchi informatici sono diventati un’emergenza internazionale e le cyber gang hanno trasformato il crimine digitale in un business strutturato.
Socio fondatore e CEO di Yarix, nonché Head della Cybersecurity di Var Group, Gatto osserva da anni l’evoluzione del settore. Un settore che, spiega, “è diventato emergenza globale soprattutto con la crescita delle cyber gang e con la trasformazione degli attacchi informatici in un vero e proprio modello di business criminale”.
Come viene percepita oggi la cybersecurity in Italia?
Ci sono aziende strutturate che percepiscono la cybersecurity come un asset strategico, quindi anche a supporto del business: secondo una ricerca di Var Group con Excellera Intelligence, è l’area su cui le aziende italiane stanno lavorando maggiormente (60%). E poi ci sono altre aziende che la vivono ancora come una tassa, come un costo da pagare, percependone poco il valore.
È un po’ come l’acquisto di un computer: per molti imprenditori il sentimento è simile. Naturalmente la differenza, in molti casi, la fanno gli eventi tragici. Quando si verifica un cyber attacco, l’imprenditore viene sbalzato in un mondo che fino a quel momento neanche immaginava e non comprendeva. Da lì in poi cambia completamente la sua visione sulla cybersecurity.
Il problema è che si tratta quasi sempre di un approccio reattivo. E quindi tardivo. Prima succede qualcosa, poi si interviene. Sarebbe invece importante che tutti, compresi giornalisti e media, aiutassero in questa opera di divulgazione. Oggi esistono ancora molte resistenze.
Oggi che cosa cerca un cyber criminale? Quali sono i dati più a rischio per un’impresa?
Il cyber criminale oggi cerca aziende ricattabili, vulnerabili. Il suo obiettivo è massimizzare il profitto. Più il dato è interessante, più il criminale è attirato. Naturalmente il valore del dato cambia a seconda del settore.
Se parliamo di dati sanitari, l’impatto è evidente in quanto particolarmente sensibili. Ma ci sono anche altri tipi di informazioni che possono avere un valore enorme. Pensiamo, per esempio, al brevetto di un’azienda automotive o ai disegni di un’autovettura non ancora uscita sul mercato. Quel dato può valere quanto un dato sanitario per un cittadino, forse anche di più, perché l’impatto economico può essere devastante.
C’è poi un altro tema che viaggia sullo stesso binario: quello reputazionale. Quando un’azienda subisce un attacco, deve gestire una fase di crisi. Ancora oggi molti imprenditori vivono questa situazione come qualcosa da nascondere. Pensano: “Non lo dico, perché mi vergogno, perché ho sbagliato, perché ho paura per la reputazione”. In realtà è proprio strutturando un piano di crisi che si può affrontare correttamente la situazione.
Quando un’azienda viene attaccata, oggi è anche molto difficile tenere nascosta la cosa. Il nostro suggerimento è muoversi proattivamente, comunicando: “È successo questo, ne siamo consapevoli, lo stiamo gestendo”.
Più si comunica con l’esterno in modo corretto, più si può ottenere un effetto benefico anche in termini di immagine aziendale. Al contrario, se si tiene tutto nascosto e poi la notizia emerge, il danno può essere pesantissimo e persino irrecuperabile.
Passiamo al ruolo dell’intelligenza artificiale. Quanto è stato impattante il suo arrivo nel settore?
L’impatto dell’intelligenza artificiale nella cybersecurity è stato enorme. È come parlare dell’arrivo del telefono. È stata una rivoluzione… potremmo dire quasi copernicana. Ma l’intelligenza artificiale esiste già dagli anni Sessanta. La grande differenza, oggi, è la capacità computazionale, cioè la possibilità concreta di applicarla su larga scala. Ad oggi, farei molta fatica a immaginare una cybersecurity senza l’ausilio dell’intelligenza artificiale.
Il motivo principale è il volume di dati da analizzare, talmente ampio che pensare di farlo solo con il lavoro umano sarebbe impossibile. Questo lo posso dire con ragionevole certezza.
C’è però un altro aspetto importante: l’IA, in questo campo, ha riportato l’essere umano al centro. Prima gli analisti passavano moltissimo tempo ad analizzare grandi moli di dati, spesso poco rilevanti. Era un lavoro ripetitivo, anche alienante. Oggi quel tipo di sforzo lo affidiamo alle macchine, lasciando all’analista il compito più importante.
In questo senso possiamo dire che oggi l’intelligenza artificiale guida la cybersecurity, almeno nel nostro caso. Ma sempre con la supervisione dell’analista.
E sul fronte delle competenze? Come è messa l’Italia nella formazione di esperti di cybersecurity, analisti e programmatori?
Negli ultimi anni siamo riusciti a recuperare un gap importante che avevamo. Non è ancora del tutto colmato rispetto ad alcuni Paesi europei, agli Stati Uniti o alla Cina, ma la distanza si sta progressivamente riducendo. La cultura della cybersecurity è nata relativamente di recente e anche gli atenei universitari hanno iniziato solo negli ultimi anni a costruire percorsi specializzati. Siamo quindi partiti in ritardo.
Per colmare questa differenza, come Yarix (Var Group) abbiamo avviato anche percorsi formativi interni: nel 2023 è nata la Digital Security Academy, mentre già l’anno precedente avevamo lanciato un Cybersecurity Bootcamp in collaborazione con Talent Garden, un programma full immersion pensato per formare i cybersecurity analyst di domani. Una scelta quasi obbligata, considerando che reperire sul mercato, in modo tempestivo, numeri significativi di professionisti – anche 50 o 60 risorse alla volta – è estremamente complesso.
A quel punto diventa più efficace coltivare i talenti in casa. Certo, partire da zero ha un costo iniziale più elevato, ma nel medio periodo è un percorso più resiliente.
Stati Uniti e Cina restano quindi i Paesi guida nel settore?
Sì, in questo momento sono ancora loro alla guida. Però l’Italia ha caratteristiche molto interessanti. All’estero gli italiani sono molto apprezzati perché abbiamo una cultura generale di base importante. Oggi più che mai questo fattore è fondamentale, anche perché uno dei rischi dell’intelligenza artificiale è la perdita della capacità di analisi critica: ci si affida troppo all’AI. La nostra formazione di base, umanistica oltre che scientifica, può diventare un valore aggiunto fondamentale. E poi c’è un altro elemento: la capacità di adattamento.
In molti Paesi, come gli Stati Uniti, sono bravissimi a costruire processi e a rispettarli. Ma quando si trovano davanti a un problema che non è previsto dal processo, molte persone si fermano. Dicono: “Questa cosa non l’ho studiata, non so come si fa”. In questo l’italiano è maestro. Siamo cresciuti, anche storicamente, dovendo arrangiarci: questo si traduce in una notevole abilità nel problem solving. E nel mondo del lavoro questa capacità ha un valore enorme.
L’Italia, per esempio, ha saputo creare diversi unicorni nel mondo tech. Quello che manca, però, è un ecosistema strutturato che incentivi e aiuti le start-up quando nascono. Manca il cosiddetto sistema Paese. Oggi è ancora tutto troppo sulle spalle del singolo imprenditore, che deve arrangiarsi nel lanciare queste iniziative.
Arriviamo a un tema concreto: i costi. Quanto deve investire una PMI per proteggersi?
È difficile dare importi o stime precise, perché ci sono moltissime variabili da valutare. Però oggi non parliamo necessariamente di investimenti enormi.
Il punto è che, spesso, quando interveniamo, mancano persino gli elementi minimi per costruire un’infrastruttura sicura. Faccio un esempio molto pratico: ancora oggi troviamo aziende che non hanno un backup, ovvero una copia di sicurezza dei tuoi dati da usare in caso di danni ai dispositivi, cancellazione accidentale o attacchi informatici. O, nelle migliori ipotesi, hanno backup che non sono conformi a un vero piano di disaster recovery. Magari usano un disco, lo collegano alla rete e pensano che basti. Ma non è assolutamente sufficiente.
Quindi prima di parlare del costo della cybersecurity bisogna capire da che base parte l’azienda. Se questi sono i presupposti, è chiaro che l’investimento può salire anche sensibilmente. Però significa anche che quell’azienda sta correndo rischi enormi. È come andare a 200 chilometri all’ora in autostrada, di notte, con i fari spenti e senza freni. Prima o poi l’impatto arriva.
Possiamo dire che uno dei problemi principali è dover partire ancora troppo spesso da zero?
Sì. Il problema principale è una scarsa cultura in ambito cybersecurity, quindi una scarsa consapevolezza del rischio cyber.
Guardando invece a Yarix, su che cosa state puntando per crescere nel settore?
In questo momento siamo concentrati su due fronti. Il primo è l’investimento nell’intelligenza artificiale. Continueremo su questa strada, perché riteniamo sia assolutamente strategica. Il secondo fronte è l’espansione internazionale.
Anche attraverso acquisizioni?
Sì, stiamo valutando anche operazioni su territori esteri. In questo momento siamo concentrati in modo particolare sull’Europa, ma guardiamo anche alla parte sudamericana dove siamo già presenti con un SOC (Security Operation Center).
Tornando alle persone e alle competenze: che cosa cerca Yarix in un professionista della cybersecurity?
Personalmente, guardo molto l’attitudine della persona. Abbiamo casi molto interessanti in azienda di persone che non provengono da un percorso universitario o scolastico in ambito tecnologico: non arrivano necessariamente da ITS o da ingegneria, ma tra loro ci sono anche laureati in discipline come la filosofia.
Questo perché, se una persona ha la forma mentis giusta, il gap tecnico si può recuperare. Le competenze si possono acquisire. È chiaro che un ingegnere informatico parte avvantaggiato, perché ha basi consolidate. Ma per noi questo non preclude altre possibilità: conta molto, appunto, l’attitudine.
La cybersecurity è un ambito che richiede una scelta consapevole: non è un percorso in cui si entra per caso, ma qualcosa che bisogna cercare e voler intraprendere. Ha caratteristiche molto specifiche, anche in termini di pressione operativa: quando si verifica un attacco e un’azienda viene colpita, è necessario intervenire rapidamente, ed è un tipo di lavoro che va davvero desiderato.
È un settore altamente specializzato e verticale. Per questo, più del percorso ideale, conta la motivazione: la volontà autentica di dedicarsi a questo mestiere.