Intervista a Elisabet Fasano, CMO di AESSE Soluzioni Informatiche, sul ruolo della cyber-resilienza nei percorsi ESG: dalla governance del rischio alla misurazione della resilienza digitale come nuovo indicatore di sostenibilità.
Se fino a pochi anni fa la sostenibilità aziendale era prevalentemente associata a tematiche ambientali e sociali, oggi il concetto di creazione di valore sostenibile si sta ampliando fino a includere la capacità delle organizzazioni di affrontare e governare le nuove forme di rischio generate dalla trasformazione digitale. In un contesto caratterizzato da supply chain interconnesse, convergenza IT-OT e crescente dipendenza da dati e sistemi digitali, la resilienza cyber emerge come una componente essenziale della continuità operativa, della competitività e della fiducia degli stakeholder.
Parallelamente, l’evoluzione del quadro normativo europeo – dalla CSRD alla NIS2, passando per gli ESRS – sta spingendo le imprese verso modelli sempre più strutturati di governance, misurazione e rendicontazione del rischio. In questo scenario, la cybersecurity non rappresenta più soltanto una funzione tecnica di protezione, ma un elemento che contribuisce direttamente alla capacità dell’organizzazione di preservare valore nel tempo e di dimostrare la propria solidità agli investitori, ai clienti e al mercato.
Ne parliamo con Elisabet Fasano, Chief Marketing Officer di AESSE Soluzioni Informatiche, che recentemente ha approfondito questi temi attraverso il Corso Executive in “Gestione dell’Impresa Sostenibile ed Economia Circolare” della LUISS Business School, per esplorare il legame sempre più stretto tra resilienza digitale, sostenibilità e rendicontazione ESG.
Elisabet Fasano è Chief Marketing Officer di AESSE Soluzioni Informatiche, MSSP di riferimento nella progettazione, gestione e protezione di infrastrutture IT-OT convergenti in contesti industriali complessi. Con un solido background nel marketing strategico per il settore tecnologico, Elisabet ha costruito la sua carriera su una convinzione precisa: la tecnologia deve essere un motore di valore economico e sociale.
La sua visione strategica è oggi arricchita dalla specializzazione ottenuta nel recente Corso Executive in “Gestione dell’impresa sostenibile ed economia circolare”. Grazie a questa visione interdisciplinare, Elisabet accompagna le organizzazioni in una transizione dove la Cyber Governance diventa la leva abilitante per la conformità, il risk management e il reporting ESG. In AESSE Soluzioni Informatiche, questa prospettiva si traduce nel posizionamento dell’azienda come partner d’elezione per le imprese che scelgono di elevare la resilienza digitale a valore strategico e a fondamento di un modello di sostenibilità duraturo.
Il percorso alla LUISS Business School mi ha portato a riflettere su come il concetto di sostenibilità stia attraversando una profonda evoluzione. Oggi non riguarda soltanto la capacità di generare valore in modo responsabile, ma anche quella di preservarlo nel tempo governando le interdipendenze da cui tale valore dipende.
Oggi, le imprese operano all’interno di ecosistemi sempre più complessi e connessi, dove dati, tecnologie, supply chain e infrastrutture digitali rappresentano fattori essenziali per la competitività e la crescita. Questa interconnessione crea nuove opportunità, ma introduce anche vulnerabilità che possono compromettere la continuità operativa, la fiducia degli stakeholder e la capacità dell’organizzazione di raggiungere i propri obiettivi.
In questo contesto, la cybersecurity assume una valenza strategica che va ben oltre la dimensione tecnica. Diventa una leva di governance e uno strumento di resilienza organizzativa. Se la sostenibilità misura la capacità di un’impresa di generare valore duraturo per i propri stakeholder, la cyber-resilienza misura la capacità di proteggere quel valore, garantendo continuità operativa anche in presenza di eventi avversi, attacchi informatici o interruzioni dei sistemi critici.
Non esiste innovazione sostenibile senza sicurezza. La transizione digitale, che abilita anche quella ecologica, richiede infrastrutture affidabili, dati integri e processi resilienti. Per questo la cybersecurity non dovrebbe essere considerata un costo o un mero adempimento normativo, ma un investimento che contribuisce direttamente alla capacità dell’organizzazione di operare, innovare e crescere nel tempo.
Quando un incidente cyber interrompe una produzione, compromette un’infrastruttura critica o rende indisponibili informazioni essenziali, non viene messa a rischio soltanto la tecnologia, ma la capacità stessa dell’impresa di mantenere gli impegni assunti verso clienti, partner, investitori e comunità.
Per questo ritengo che la cyber-resilienza sia destinata a entrare sempre più stabilmente nel concetto di valore sostenibile. Non rappresenta semplicemente una misura di sicurezza, ma un indicatore della qualità della governance e della solidità organizzativa. In un’economia sempre più digitale e interconnessa, la capacità di proteggere processi, relazioni e infrastrutture critiche sarà sempre più un elemento distintivo delle organizzazioni in grado di creare valore duraturo.
La resilienza digitale è diventata un prerequisito strutturale perché oggi la generazione di valore dipende in modo diretto e continuo dalla disponibilità e dall’affidabilità degli ecosistemi digitali su cui le imprese operano.
Non parliamo più di supporto tecnologico, ma di un’integrazione totale: processi produttivi, catene di fornitura, relazioni con i clienti e persino i processi decisionali strategici poggiano interamente sull’infrastruttura IT e OT. In questo scenario, un’interruzione dei sistemi non è un mero incidente tecnico che si risolve in poche ore, ma una vera e propria discontinuità che spezza la capacità stessa dell’azienda di produrre valore. Per questo dico che la resilienza digitale non è una funzione “di contorno”, ma il fondamento stesso della sostenibilità: senza una continuità operativa garantita, nessun modello di business, per quanto virtuoso o innovativo, può dirsi realmente sostenibile nel lungo periodo.
Questa centralità diventa ancora più evidente se guardiamo a come il rischio cyber influenzi trasversalmente tutte le dimensioni ESG. Prendiamo la componente Ambientale: un attacco può paralizzare i sistemi di monitoraggio energetico o gli impianti automatizzati, generando inefficienze, sprechi di risorse e vanificando gli sforzi fatti per una produzione più green. Passando alla sfera Sociale, la resilienza digitale si traduce in tutela: parliamo di protezione dei dati, di salvaguardia della privacy, ma anche di sicurezza fisica degli operatori nell’Industria 4.0, dove l’integrità dei sistemi di controllo è la prima barriera contro gli infortuni.
Infine, arriviamo alla Governance, che è forse il punto di svolta. La capacità di gestire il rischio cyber è oggi il banco di prova più severo per un’azienda. Dimostrare di saper identificare, monitorare e mitigare le minacce in modo strutturato non è più solo un compito IT, ma una precisa responsabilità del board. È qui che la cybersecurity si trasforma in un indicatore di solidità aziendale: gli investitori e gli stakeholder oggi cercano, giustamente, aziende capaci di navigare l’instabilità. In definitiva, integrare la resilienza digitale nella strategia ESG significa proteggere molto più che i semplici asset tecnologici: significa presidiare la propria “licenza a operare”, garantendo che l’azienda sia in grado di agire in modo affidabile, responsabile e duraturo, qualunque sia la sfida che il panorama digitale ci pone davanti.
Quando operiamo questo cambio di prospettiva, avviene una trasformazione radicale: la cybersecurity smette di essere un “costo” o un’attività reattiva gestita nel retrobottega tecnologico dell’azienda per diventare una leva competitiva.
Finché consideriamo la sicurezza informatica una questione puramente tecnica, la deleghiamo al dipartimento IT, limitandoci a contare quanti tentativi di attacco sono stati sventati. Ma quando la portiamo al centro della strategia industriale e della governance, cambiano tre pilastri fondamentali:
In primo luogo, la percezione del rischio diventa strategica. Non parliamo più di proteggere i PC, ma di proteggere il “cuore pulsante” dell’impresa: la continuità produttiva. Per un’azienda 4.0, un fermo macchina causato da un cyber-attacco non è un problema di “formattazione”, è una perdita di fatturato, un danno d’immagine enorme e, potenzialmente, una rottura dei contratti con la supply chain. Spostare la cybersecurity nella governance significa trattarla alla stregua del rischio finanziario o operativo: va pianificato, pesato e monitorato dal board.
In secondo luogo, cambia la cultura aziendale. La cybersecurity diventa una responsabilità condivisa che parte dall’alto. Quando il management comprende che la resilienza digitale è legata alla capacità dell’azienda di mantenere le promesse verso il mercato, ogni investimento in sicurezza viene visto come una forma di tutela del valore, non come un centro di costo. Si innesca un circolo virtuoso in cui la protezione dei dati e dei processi diventa parte integrante dell’identità aziendale: un brand che è “cyber-resiliente” è un brand di cui i clienti e i partner si fidano di più.
Infine, si abilita l’innovazione consapevole. Un’azienda che ha integrato la cybersecurity nella governance è un’azienda che può permettersi di innovare più velocemente. Se so esattamente quali sono i miei rischi e ho implementato un sistema di protezione resiliente, non ho paura di adottare nuove tecnologie, come l’intelligenza artificiale o l’IoT industriale, perché so di avere la “rete di sicurezza” necessaria per governarne le vulnerabilità.
Passare dalla tecnica alla strategia significa smettere di sperare che nulla accada e iniziare a progettare l’azienda affinché sia in grado di resistere, assorbire l’urto e ripartire. In un mercato dove la velocità è tutto, la resilienza non è un freno, ma il presupposto necessario per correre in sicurezza.
Un’interruzione cyber nei contesti IT–OT ha un impatto diretto sulla capacità di attuare modelli di economia circolare perché questi modelli si fondano su continuità digitale, qualità del dato e tracciabilità end-to-end dei materiali lungo l’intero ciclo di vita.
Quando un evento cyber compromette sistemi di produzione, piattaforme gestionali o infrastrutture di supply chain, la prima conseguenza è la perdita (totale o parziale) di visibilità sui flussi di materiali e sulle informazioni di processo. Senza dati affidabili e continui, diventa complesso governare in modo efficiente attività come riuso, ricondizionamento, riciclo e ottimizzazione degli scarti.
Molti processi circolari, inoltre, dipendono da sistemi automatizzati di monitoraggio e orchestrazione (MES, SCADA, ERP integrati), che garantiscono il coordinamento tra produzione, logistica e partner esterni. Un’interruzione cyber può degradare o bloccare queste integrazioni, costringendo le organizzazioni a operare in modalità manuali o emergenziali, con perdita di precisione e aumento delle inefficienze.
Il risultato è una riduzione concreta della capacità di mantenere attivi i circuiti circolari: i flussi diventano meno tracciabili, meno ottimizzati e meno prevedibili, con un ritorno a logiche più lineari, maggiore generazione di scarti e minore valorizzazione delle risorse.
In questo senso, la continuità digitale non è solo un fattore tecnologico, ma un prerequisito operativo per rendere effettivi e scalabili i modelli di economia circolare.
La difficoltà principale risiede nel fatto che la cybersecurity genera una grande quantità di dati tecnici, mentre la rendicontazione ESG richiede informazioni sintetiche, stabili e soprattutto significative per il decision-making strategico.
Molte organizzazioni dispongono già di un elevato livello di dettaglio informativo – vulnerabilità, alert, eventi, asset monitorati – ma questi dati, presi singolarmente, descrivono l’attività dei sistemi di sicurezza, non la reale capacità dell’impresa di garantire continuità operativa e resilienza nel tempo.
La sfida centrale è quindi il passaggio dalla misurazione dell’operatività alla misurazione della capacità organizzativa: non basta sapere cosa è stato rilevato o gestito, ma occorre comprendere quanto l’organizzazione sia in grado di prevenire, assorbire e recuperare da eventi cyber significativi.
In questa direzione, diventa fondamentale integrare Key Performance Indicators (KPI), Key Risk Indicators (KRI) e Key Control Indicators (KCI) per costruire una lettura coerente della resilienza, evitando che la rendicontazione si riduca a una sommatoria di evidenze tecniche prive di contesto gestionale.
Solo attraverso questa integrazione è possibile tradurre il dato tecnico in informazione utile alla governance, distinguendo tra attività di sicurezza e reale capacità di continuità operativa e gestione del rischio.
Questa distinzione è essenziale perché consente di superare una visione frammentata delle metriche e di costruire un quadro coerente del livello di resilienza digitale dell’organizzazione, coerente con le esigenze di CSRD, ESRS e NIS2.
In fondo, una metrica è davvero utile solo quando supporta una decisione. Ed è proprio questo il cambiamento che i nuovi framework normativi stanno accelerando: trasformare la cybersecurity da tema tecnico a elemento misurabile della governance, della resilienza e della sostenibilità aziendale.
In questo scenario, il contributo di un partner specializzato diventa sempre più strategico perché consente alle organizzazioni di evolvere da un modello di gestione della sicurezza frammentato a un approccio strutturato di co-gestione della cyber-resilienza, in cui competenze interne e supporto esterno operano in modo integrato e continuo.
Un MSSP, in particolare, opera come attore integrato in un modello di gestione e co-gestione della cyber-resilienza, in cui la responsabilità è condivisa e strutturata tra organizzazione e partner.
Nel modello di co-managed security, il valore principale non risiede nella sostituzione delle funzioni interne, ma nella loro estensione: l’MSSP affianca il team IT/OT e SOC del cliente garantendo continuità operativa h24, scalabilità delle competenze e presidio specialistico su domini complessi come threat detection, incident response e vulnerability management.
Questa co-gestione consente di superare uno dei principali limiti delle organizzazioni industriali: la frammentazione delle competenze e la discontinuità del monitoraggio. L’MSSP introduce infatti un livello di governance operativa continuo, che si integra con i processi interni e li rafforza, senza sostituirli.
Un secondo elemento chiave riguarda la condivisione del modello decisionale sul rischio. Attraverso playbook, escalation strutturate e modelli di responsabilità definiti (RACI), MSSP e organizzazione costruiscono un sistema in cui la gestione degli eventi non è reattiva e isolata, ma coordinata, misurabile e allineata agli obiettivi di business e continuità operativa.
In questo contesto, la co-gestione abilita anche un salto qualitativo nella produzione delle evidenze. L’MSSP diventa un punto di raccolta e normalizzazione dei dati di sicurezza, contribuendo a rendere disponibili metriche affidabili e continuative come MTTD e MTTR, copertura dei controlli, downtime dei servizi critici, maturità dei framework e valutazione della supply chain cyber. Questi indicatori non restano confinati alla dimensione tecnica, ma alimentano i processi di governance, audit e rendicontazione ESG.
Infine, il modello co-gestito consente di rendere la resilienza un processo continuo e non episodico: l’organizzazione mantiene la titolarità strategica del rischio, mentre l’MSSP garantisce la capacità esecutiva, la profondità analitica e la continuità operativa necessarie per affrontare scenari cyber sempre più complessi.
In sintesi, il valore dell’MSSP nella co-gestione non è solo operativo, ma strutturale: abilita una governance estesa della sicurezza che collega protezione, continuità del business e rendicontazione della resilienza.
Gli indicatori in grado di rappresentare in modo credibile la resilienza digitale all’interno di un bilancio di sostenibilità sono quelli che riescono a superare la dimensione puramente tecnica per esprimere la capacità dell’organizzazione di garantire continuità operativa, controllo del rischio e stabilità del valore nel tempo.
In questa prospettiva, assumono particolare rilevanza le metriche che collegano la sicurezza alla capacità di business continuity e alla qualità della governance. Tra queste:
- MTTD e MTTR (Mean Time to Detect e Mean Time to Respond), che misurano la capacità dell’organizzazione di individuare e gestire tempestivamente gli eventi cyber, riflettendo la prontezza operativa e decisionale.
- Downtime dei servizi critici, che traduce il rischio cyber in impatto diretto sulla continuità del valore e sull’erogazione dei servizi essenziali.
- Percentuale di processi critici coperti da piani di continuità operativa e disaster recovery testati, indicatore della capacità di preparazione e risposta strutturata agli eventi avversi.
- Copertura degli asset IT e OT critici sotto monitoraggio continuo, che esprime il livello di visibilità e controllo sull’infrastruttura digitale.
- Percentuale di fornitori strategici sottoposti a valutazione cyber, fondamentale per rappresentare la resilienza della supply chain digitale.
- Livello di maturità rispetto a framework riconosciuti (es. NIST CSF 2.0, ISO/IEC 27001), utile a contestualizzare la solidità del sistema di governance della sicurezza.
Il punto chiave, in ottica ESG, non è la singola metrica, ma la loro capacità congiunta di rappresentare la resilienza come abilità organizzativa misurabile, ovvero la capacità di prevenire interruzioni, assorbire gli shock e mantenere continuità nella creazione di valore.
In questo senso, gli indicatori diventano credibili solo quando sono leggibili non come output tecnici isolati, ma come espressione della qualità della governance del rischio e della continuità operativa dell’impresa.
Molte imprese faticano ancora a unificare la narrativa tra cybersicurezza e strategia ESG perché esistono ancora due livelli di maturità organizzativa che procedono in modo parallelo ma non integrato: da un lato la cybersecurity, storicamente tecnica e operativa; dall’altro la sostenibilità, più orientata a governance, reporting e comunicazione verso gli stakeholder.
La prima criticità è culturale: la cybersecurity è stata a lungo percepita come un dominio specialistico, confinato a IT e sicurezza, mentre l’ESG è stato sviluppato prevalentemente come funzione di reporting e posizionamento strategico. Questa separazione ha generato linguaggi, metriche e priorità differenti, rendendo difficile una convergenza naturale.
La seconda difficoltà è metodologica. La cybersecurity si basa su indicatori granulari, dinamici e spesso reattivi, mentre i framework ESG richiedono metriche stabili, comparabili e orientate alla rendicontazione del valore nel tempo. Senza un livello intermedio di traduzione — dalla “security posture” alla “resilienza organizzativa” — le due dimensioni restano difficilmente integrabili.
Un terzo elemento riguarda la governance: in molte organizzazioni non esiste ancora un punto di regia unico che colleghi in modo strutturato rischio cyber, continuità operativa e obiettivi ESG. Questo porta a una frammentazione delle responsabilità e a una narrazione disallineata tra funzioni IT, risk management, sostenibilità e direzione finanziaria.
Infine, manca spesso un framework condiviso che consenta di leggere la cybersecurity non solo come rischio tecnologico, ma come componente del valore d’impresa. Finché il rischio cyber non viene tradotto in termini di impatto su continuità, affidabilità e capacità di creare valore sostenibile, resta difficile integrarlo in modo organico nella strategia ESG.
La vera evoluzione passa quindi dalla costruzione di un linguaggio comune basato sulla resilienza: è questo il punto di convergenza che consente di collegare sicurezza, governance e sostenibilità in un’unica narrativa coerente.
Più che una previsione, credo che si tratti di una trasformazione già in corso.
Per anni la cybersecurity è stata valutata principalmente attraverso audit periodici, questionari di conformità e certificazioni. Oggi, però, investitori, assicuratori, clienti e regolatori chiedono qualcosa di diverso: evidenze continue e misurabili della capacità di un’organizzazione di gestire il rischio.
Si tratta di un’evoluzione molto simile a quella osservata nel mondo ESG, dove aspetti inizialmente percepiti come qualitativi sono progressivamente diventati oggetto di metriche, indicatori e sistemi di reporting strutturati.
La resilienza cyber sta seguendo lo stesso percorso.
Nel settore assicurativo osserviamo già una crescente attenzione verso parametri quali la maturità della governance, la capacità di rilevazione e risposta agli incidenti, la gestione della supply chain digitale, la business continuity e l’adozione di controlli verificabili.
È quindi plausibile che premi, franchigie e condizioni di copertura vengano sempre più influenzati da indicatori oggettivi di resilienza.
Lo stesso fenomeno sta emergendo nelle filiere produttive. Sempre più organizzazioni richiedono ai propri fornitori assessment indipendenti, certificazioni, evidenze di conformità e garanzie sulla continuità dei servizi. Con NIS2 e con la crescente attenzione alla resilienza delle supply chain, questa tendenza è destinata ad accelerare.
In questo scenario, il ruolo di soggetti terzi qualificati assume particolare rilevanza. Un MSSP può contribuire a produrre evidenze indipendenti sulla postura di sicurezza e sulla resilienza dell’organizzazione attraverso KPI, KRI, assessment periodici, misurazioni di maturità ed esercitazioni di risposta agli incidenti.
Non credo emergerà un unico indice universale di cyber-resilienza. È però probabile che si affermino modelli sempre più condivisi per valutare la capacità delle organizzazioni di gestire il rischio digitale e garantire continuità operativa.
Quando questo accadrà, la resilienza cyber sarà osservata con la stessa attenzione con cui oggi vengono valutati gli indicatori finanziari, ESG o di continuità aziendale.
Non sarà più considerata un tema tecnico, ma un indicatore della capacità dell’organizzazione di governare il rischio, preservare la fiducia degli stakeholder e continuare a generare valore nel tempo.
Misurare la resilienza digitale, governare il rischio ESG.
Scopri come possiamo supportarti nel trasformare la resilienza digitale in un elemento misurabile della governance del rischio e della rendicontazione di sostenibilità.
