Governance della cybersecurity: nei board ci sono esperti o solo cyber washing?

Published by CYBEROO on 30 aprile 2026

Ascolta il podcast AI-generated

0:00

0:00

Con la Direttiva NIS2 la cybersecurity è dovuta entrata ufficialmente nelle sale dei consigli di amministrazione. O almeno così sembra. Ovunque si parla di comitati cyber, dashboard di rischio, report trimestrali. Ma la vera domanda non è se il tema sia “in agenda”. La domanda è più scomoda: nei board c’è davvero competenza, oppure solo una rappresentazione rassicurante della sicurezza?

Negli ultimi anni, molti consigli di amministrazione hanno iniziato a occuparsi di cyber risk spinti da attacchi sempre più visibili, nuove normative e pressioni degli investitori. Il problema è che, troppo spesso, questa attenzione resta superficiale. Si costruisce una governance che appare solida all’esterno, ma che internamente manca degli anticorpi necessari per capire davvero il rischio. Ed è qui che nasce il confine sottile, e pericoloso, tra governance reale e cyber washing.

3 Takeaways

Cybersecurity di facciata: il rischio del cyber washing
Sempre più aziende creano comitati di cybersecurity per dimostrare attenzione al rischio cyber, ma nella maggior parte dei casi si tratta di una soluzione più comunicativa che sostanziale. I dati mostrano che meno dell’1% dei membri ha una formazione formale in cybersecurity e solo il 6,7% possiede un’esperienza diretta nel settore. Senza competenze reali, la governance resta superficiale.
Quando il board non controlla davvero: la governance circolare
In assenza di competenze interne, i consigli di amministrazione finiscono per dipendere quasi totalmente dal CISO per comprendere rischi e priorità. Questo meccanismo riduce la capacità del board di esercitare una supervisione indipendente, trasformando il controllo del rischio in un atto di fiducia verso il management.
La vera priorità non è la tecnica, ma la leadership cyber
L’obiettivo non è trasformare ogni consigliere in un esperto tecnico, ma garantire che il board sappia selezionare, valutare e supervisionare una leadership cyber efficace. Le simulazioni di crisi e le esercitazioni operative sono spesso molto più indicative delle reali capacità decisionali rispetto a conoscenze tecniche destinate a diventare rapidamente obsolete.

Cosa significa fare governance della cybersecurity?

Fare governance della cybersecurity non significa ricevere un report una volta al trimestre o istituire un comitato con un nome rassicurante. Significa prendere decisioni informate su rischio, priorità, investimenti e accettazione del danno. Per farlo, serve comprendere cosa si sta decidendo, anche senza scendere nel dettaglio tecnico.

La governance cyber funziona quando il board è in grado di fare le domande giuste, nel momento giusto, e di interpretare le risposte. Quando questo non accade, la cybersecurity diventa un esercizio di comunicazione verso l’esterno, più che uno strumento di protezione del valore aziendale.

Cyber Warrior o cyber washing?

Negli ultimi anni si è diffusa una narrazione secondo cui i board starebbero diventando “cyber aware”. I dati raccontano però un’altra storia. In molte aziende, i comitati di cybersecurity sono composti quasi esclusivamente da profili generalisti: manager esperti, amministratori navigati, persone di grande valore dal punto di vista strategico, ma con pochissima esperienza reale in ambito cyber.

In uno studio condotto su oltre duecento membri di comitati di cybersecurity e presentato alla 24ª Annual Security Conferences, è emerso che lo 0,4% aveva una formazione formale in cybersecurity e solo una piccola minoranza aveva ricoperto ruoli operativi come CISO o consulente di sicurezza. La grande maggioranza proveniva da ruoli executive tradizionali. Non è un errore in sé. Diventa un problema quando nel board non c’è nemmeno una voce realmente competente in grado di bilanciare il dibattito.

È qui che nasce il cyber washing: la sicurezza viene rappresentata, ma non governata.

Perché senza competenze il board non riesce a valutare il rischio

Un board privo di competenze specifiche fatica a distinguere tra rischio teorico e rischio concreto. Tutto sembra ugualmente critico oppure, al contrario, tutto sembra sotto controllo. Questo porta a decisioni sbilanciate: investimenti difensivi inefficaci, sottovalutazione di minacce sistemiche o eccessiva fiducia nei fornitori.

La cybersecurity è fatta di compromessi continui tra rischio, costi e operatività. Senza qualcuno che sappia leggere davvero questi compromessi, il board finisce per approvare decisioni che non controlla, basandosi su indicatori che non sempre riflettono la realtà tecnica.

Il problema della governance “circolare”

Uno degli effetti più pericolosi dell’assenza di competenze nei board è la cosiddetta governance circolare. In pratica, il consiglio di amministrazione delega la comprensione del rischio cyber allo stesso management che dovrebbe supervisionare. Il CISO diventa l’unica fonte di interpretazione del rischio.

Questo crea un paradosso: il board chiede al CISO di spiegare perché sta lavorando bene. Anche quando il CISO è competente e in buona fede, manca una controparte capace di valutare in modo indipendente. La governance si trasforma così in un atto di fiducia, non di controllo.

Che ruolo ha oggi l’IA nel rischio cyber

L’intelligenza artificiale è ormai al centro delle strategie aziendali. Quello che spesso sfugge ai board è che l’AI non è solo un acceleratore di efficienza, ma anche un moltiplicatore del rischio cyber.

Gli attacchi diventano più rapidi, più scalabili, più convincenti. Il phishing generato con modelli linguistici è sempre più credibile. I deepfake iniziano a colpire processi decisionali, reputazione e frodi finanziarie. E molti sistemi di AI aziendali vengono integrati senza una reale valutazione delle superfici di attacco che introducono.

La governance cyber oggi deve chiedersi non solo “come usiamo l’AI”, ma quali nuovi rischi stiamo accettando usandola.

Perché la compliance non basta

Un errore ricorrente nei board è confondere conformità normativa e sicurezza reale. Essere compliant non significa essere sicuri. Significa rispettare uno standard minimo, spesso definito quando le minacce erano già un passo indietro rispetto alla realtà.

La compliance è una base necessaria, ma non sufficiente. Le organizzazioni che trattano la cybersecurity come un tema puramente regolatorio finiscono per inseguire checklist, mentre gli attaccanti innovano. La sicurezza informatica, per il board, deve essere letta come resilienza operativa, non come semplice adempimento.

Come può un board migliorare la governance

La prima leva è semplice, ma spesso evitata: integrare competenza reale. Non serve trasformare ogni consigliere in un tecnico, ma serve almeno una figura capace di leggere, contestualizzare e tradurre il rischio cyber, che sia interna o in outsourcing.

In secondo luogo, il board deve concentrarsi sulla qualità della leadership cyber. Un buon CISO non si valuta solo dai report, ma da come gestisce una crisi, da come comunica sotto pressione, da quanto riesce a integrare sicurezza e business.

Infine, la governance deve essere trasparente. Spiegare agli stakeholder come viene gestito il rischio cyber, con quali competenze e con quali processi, è oggi un elemento di credibilità, non un dettaglio reputazionale.

Per chiudere il discorso

I board che si limitano a “parlare di cybersecurity” stanno già perdendo tempo prezioso. La differenza, oggi, non è tra chi si occupa di cyber e chi no. È tra chi governa davvero il rischio e chi si limita a rappresentarlo.

Solo quando la competenza entra in modo strutturale nei processi decisionali, la cybersecurity smette di essere una funzione tecnica e diventa ciò che è davvero: una leva strategica per proteggere valore, continuità e fiducia.

FAQ sulla governance della cybersecurity nei board

Che cos’è il cyber washing?

È la pratica con cui un’azienda comunica attenzione alla cybersecurity attraverso strutture formali, come comitati dedicati, senza però dotarle di competenze reali in grado di governare il rischio.

Quanti membri dei comitati cyber hanno una reale esperienza nel settore?

Qual è la differenza tra alfabetizzazione e competenza cyber?

Perché la compliance non garantisce la sicurezza?

In che modo l’intelligenza artificiale aumenta il rischio cyber per le aziende?

Cos’è la governance circolare in ambito cybersecurity?

Quali sono le responsabilità chiave di un comitato di cybersecurity efficace?

Come può un board valutare la leadership cyber senza attendere un incidente reale?

Dove trovare competenze cyber adatte a un consiglio di amministrazione?

Qual è la principale raccomandazione per i board aziendali?

Bibliografia

Proudfoot, J. G., Cram, W. A., Madnick, S., & Coden, M. (2025). Cyber warrior or cyber washing? Examining the expertise of board members serving on cybersecurity committees. Full paper submission, 24th Annual Security Conferences, Las Vegas, NV, 29–30 maggio 2025.
Proudfoot, J., & Madnick, S. (2026, 2 aprile). Boards are falling short on cybersecurity. Harvard Business Review.
Abraham, C., O’Connell, S. C., Giuffrida, I., & Sims, R. R. (2024). Adding cybersecurity expertise to your board. MIT Sloan Management Review, 65(2), 1–6.
Bill Holdings Inc. (2023). Schedule 14A – Proxy statement. U.S. Securities and Exchange Commission (SEC).
IANS. (2023). CISOs as board directors: CISO board readiness analysis.
Lowry, M., Vance, A., & Vance, M. D. (2021). Inexpert supervision: Field evidence on boards’ oversight of cybersecurity. SSRN.
NightDragon. (2023). State of cyber awareness in the boardroom report.
PwC. (2023). Board effectiveness: A survey of the C-suite.
PwC. (2024). Overseeing cyber risk: The board’s role.
U.S. Securities and Exchange Commission (SEC). (2023). Cybersecurity risk management, strategy, governance, and incident disclosure.

Tags: cyber security

Back to Blog