La cybersicurezza della catena dei fornitori non è più un dettaglio operativo ma un fattore strategico. L’entrata in vigore della direttiva NIS2 segna un punto di svolta fondamentale: per la prima volta si affronta la cybersecurity in modo sistemico e coordinato, riconoscendo che la resilienza di un’organizzazione dipende anche dalla solidità dei suoi fornitori e partner digitali.
NIS2 impone una visione d’insieme della sicurezza informatica, creando le basi normative per una protezione collettiva della catena di fornitura e, in definitiva, della fiducia nell’intero ecosistema digitale.
Indice degli argomenti
Minacce alla supply chain: un rischio in crescita esponenziale
La fotografia attuale delle minacce informatiche conferma l’urgenza di agire sulla sicurezza di filiera. Secondo il Rapporto Clusit 2025, gli attacchi cyber continuano a crescere sia in numero sia in complessità, con conseguenze sempre più gravi per aziende ed enti pubblici . Nel 2024 gli attacchi gravi in Italia sono aumentati del 15% (a fronte di un +27% globale), e il dato davvero allarmante è che il nostro Paese – pur rappresentando appena l’1% del PIL mondiale – ha subìto ben il 10% degli attacchi globali . Ciò rivela una sproporzione significativa e indica come l’Italia sia un bersaglio privilegiato. A livello europeo, il trend è simile: ENISA (Agenzia UE per la cybersicurezza) segnala un aumento complessivo degli incidenti cyber nel 2024 rispetto all’anno precedente, alimentato soprattutto dalle tensioni geopolitiche .
In questo contesto, la supply chain digitale è emersa come uno dei fronti più critici. Gli attacchi alla catena di fornitura – in cui i criminali compromettono un fornitore di software, servizi ICT o hardware per colpire a cascata i clienti – sono “più vivi che mai” secondo gli esperti . Un report recente di SecurityScorecard evidenzia che almeno il 29% delle violazioni informatiche del 2023 ha avuto origine da una compromissione di terze parti (supply chain) . La percentuale reale potrebbe essere persino maggiore, dato che molti breach report non specificano il vettore iniziale, e in ogni caso il 98% delle organizzazioni risulta avere almeno un fornitore che è stato violato . In altre parole, quasi nessuna azienda è immune dal rischio indiretto proveniente dal proprio ecosistema digitale. Tra queste violazioni “indirette”, la grande maggioranza (circa il 75%) ha preso di mira la supply chain di software e tecnologia, spesso sfruttando gruppi ransomware specializzati . Basti pensare al caso SolarWinds e ad altri episodi analoghi, in cui l’inserimento di codice malevolo in aggiornamenti software ha infettato migliaia di reti downstream.
Le tendenze degli attacchi confermano questo focus criminale sulla filiera. ENISA nel suo Threat Landscape 2024 evidenzia un aumento delle compromissioni della supply chain, spesso tramite tecniche di social engineering mirate ai fornitori . Un esempio emblematico: nel marzo 2024 è stata individuata una backdoor nascosta all’interno di XZ Utils, popolare libreria open source per la compressione dati, compromessa per diffondere codice malevolo verso tutti i suoi utilizzatori.
Anche i dati Clusit mostrano che settori come Trasporti e Supply Chain sono tra i più bersagliati: addirittura il 25% degli attacchi mondiali in tali settori ha colpito infrastrutture italiane , segno di una minaccia molto concreta sul territorio nazionale.
Sul versante dei vettori di attacco, continua a dominare il malware (in particolare i ransomware) e il phishing. Dopo un 2023 in cui gli attacchi DDoS erano prevalenti, il 2024 ha visto il ritorno del malware come prima minaccia in Italia . Il phishing rimane stabilmente tra le tecniche più utilizzate, arrivando a causare il 35% degli incidenti noti . Preoccupa soprattutto la crescita del phishing evoluto e del social engineering, anche grazie allo sfruttamento di strumenti di intelligenza artificiale, che secondo Clusit sono aumentati del 35% in un solo anno – segnale che il fattore umano nella filiera resta l’anello debole. Parallelamente, gli attacchi basati su vulnerabilità note o zero-day sono schizzati di +90% , alimentando incidenti di supply chain come quelli che sfruttano falle in librerie, API, o componenti software diffuse (si pensi alle vulnerabilità di Moveit, CitrixBleed, Proftpd citate nei rapporti di settore). Infine, il ransomware continua a imperversare: non solo è la variante di malware più diffusa, ma alcuni collettivi ransomware hanno preso di mira fornitori IT per massimizzare l’impatto (il gruppo criminale noto come C10p è risultato responsabile del 64% dei breach “di terza parte” osservati nel 2023 ). In sintesi, gli aggressori sfruttano ogni anello debole della catena digitale, combinando tecniche diverse – dalla frode via email all’exploit di vulnerabilità – per raggiungere il proprio obiettivo finale attraverso i fornitori.
NIS2 e D.lgs. 138/2024: nuovi obblighi per la sicurezza di filiera
È in risposta a questo scenario di minaccia crescente che si colloca la nuova Direttiva NIS2 dell’Unione Europea, recepita in Italia con il D.lgs. 138/2024 (entrato in vigore il 16 ottobre 2024 ). Questa normativa aggiornata mira a garantire un livello elevato e omogeneo di cybersicurezza in tutti i Paesi UE, imponendo obblighi più stringenti e ampliando la platea dei soggetti tenuti a rispettarli . In pratica, il decreto italiano abroga la precedente normativa NIS (D.lgs. 65/2018) e estende il campo di applicazione a ben 18 settori (dagli 8 originari) – di cui 11 altamente critici e 7 ulteriori considerati critici – coprendo oltre 80 tipi di entità tra aziende private e pubbliche amministrazioni . Rientrano ora nel perimetro NIS2, ad esempio, comparti come la gestione dei rifiuti, la fabbricazione di dispositivi medicali, lo spazio, la alimentare e molte categorie di servizi digitali e infrastrutture non incluse in precedenza. Si distinguono due grandi gruppi di soggetti: quelli “essenziali” (che operano in settori vitali o altamente critici) e quelli “importanti” (attivi in ambiti comunque rilevanti per mercato e società) . Anche numerose PA rientrano nell’alveo della direttiva, specie quelle centrali o di maggior dimensione.
Il ruolo dell’Agenzia per la Cybersicurezza Nazionale
L’Agenzia per la Cybersicurezza Nazionale (ACN) è stata designata come Autorità NIS italiana e Punto di Contatto unico per l’UE . ACN ha il compito di vigilare sull’attuazione della normativa, fornire supporto e linee guida operative, e irrogare sanzioni in caso di inadempienza. Un primo adempimento introdotto è stata la registrazione obbligatoria: tra dicembre 2024 e febbraio 2025 tutte le organizzazioni (medie e grandi, e in certi casi anche PMI) rientranti nel campo NIS2 hanno dovuto registrarsi sul portale ACN , creando la base del nuovo elenco nazionale NIS2. Da aprile 2025 è previsto un percorso guidato di adeguamento, con tempistiche graduali e supporto attivo da parte delle autorità, dove la prima scadenza è il 31 maggio 2025.
Ma quali sono gli obblighi di sicurezza chiave introdotti dal D.lgs. 138/2024?
In linea generale, le organizzazioni in perimetro NIS2 devono adottare misure tecniche e organizzative adeguate per gestire i rischi cyber, secondo un approccio basato su una analisi approfondita delle minacce e delle vulnerabilità dei propri sistemi.
Si richiede di sviluppare un piano di gestione degli incidenti informatici, con procedure chiare di rilevazione, risposta e ripristino in caso di attacco. Inoltre, vanno condotti audit periodici sulla sicurezza per verificare l’efficacia delle misure adottate e la conformità normativa, e bisogna garantire una formazione continua in materia di cybersecurity a tutto il personale e ai collaboratori, con sanzioni interdittive dirette in caso di inadempienza. In sostanza, la direttiva impone un ciclo virtuoso di risk management continuo, dove prevenzione, monitoraggio e miglioramento siano integrati nel business. Un aspetto cruciale – nuovo rispetto alla vecchia direttiva NIS – è l’attenzione alla responsabilità del management: i vertici aziendali (organi amministrativi e direttivi) sono chiamati a farsi carico della sicurezza informatica, approvando le misure di protezione e supervisionandone l’implementazione, pena l’interdizione dalle cariche di governo e amministrazione. Questo per assicurare che la cybersecurity diventi una priorità strategica e non solo tecnica.
Significativamente, la normativa pone enfasi su due ambiti prima trascurati: la continuità operativa e la sicurezza della catena di approvvigionamento (supply chain). Non si guarda più solo alla disponibilità dei sistemi interni essenziali, ma si considera l’intera infrastruttura ICT del soggetto e la sua resilienza a 360 gradi, includendo fornitori critici e partner. I nuovi obblighi, infatti, coprono esplicitamente la gestione del rischio di terze parti: ciò implica valutare i propri fornitori di servizi digitali, cloud, software, etc., adottare misure contrattuali e tecniche per assicurarsi che anch’essi rispettino standard di sicurezza, e predisporre piani nel caso un fornitore subisca un incidente (ad esempio avere alternative o procedure di emergenza). In ambito pubblico, la norma prevede criteri di sicurezza cyber negli appalti ICT: i fornitori della Pubblica Amministrazione devono soddisfare requisiti minimi di sicurezza e possono essere esclusi se non conformi. È un cambio di paradigma che mira a “proteggere la catena” nel suo insieme.
La notifica degli incidenti significativi ad ACN
Un altro obbligo fondamentale è la notifica degli incidenti significativi ad ACN. Il decreto dettaglia tempistiche serrate: entro 24 ore dalla scoperta dell’incidente va inviata un’iniziale notifica di emergenza, seguita da una notifica dettagliata entro 72 ore, e infine un report conclusivo entro 1 mese con gli esiti delle analisi post-incidente. Le categorie di incidenti da notificare sono state definite da ACN in allegati tecnici: includono violazioni della riservatezza o dell’integrità con impatto esterno, interruzioni dei servizi essenziali, e (per gli enti essenziali) anche accessi non autorizzati o abusi di privilegi su dati digitali . Questo meccanismo di reporting multi-step è pensato per assicurare una risposta coordinata e per allertare tempestivamente l’ecosistema in caso di attacco grave, attivando magari anche supporto a livello UE se l’incidente travalica i confini nazionali.
Dal punto di vista sanzionatorio, il D.lgs. 138/2024 non fa sconti: in caso di mancato adeguamento agli obblighi, l’ACN può comminare sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo dell’organizzazione inadempiente (si applica il maggiore dei due) . Oltre alle multe, sono previste misure correttive e, nei casi più gravi, la sospensione temporanea delle attività fino alla regolarizzazione. Insomma, la compliance NIS2 diventa un dovere imprescindibile per evitare pesanti impatti economici e reputazionali.
Vale la pena sottolineare che i requisiti NIS2 si affiancano ad altre normative esistenti. Ad esempio, per quanto concerne la protezione dei dati personali, le misure di cybersicurezza richieste da NIS2 integrano quelle già previste dal GDPR. In altre parole, un’azienda che tratta dati deve considerare sia gli obblighi privacy (es. valutazione fornitori ex art.28 GDPR, data breach notification al Garante) sia gli obblighi NIS2 se rientra nei settori coperti.
L’adesione a standard internazionali come ISO/IEC 27001 o ai controlli NIST può facilitare il soddisfacimento simultaneo di questi requisiti sovrapposti, creando sinergie di compliance. Ad esempio, ISO 27001 e 27002 dedicano controlli specifici alla sicurezza dei fornitori e agli accordi contrattuali sulla protezione delle informazioni condivise ; analogamente, le linee guida NIST (si pensi al NIST SP 800-161 per la supply chain risk management o al framework NIST CSF) forniscono checklist pratiche per valutare i rischi lungo la filiera . A livello europeo, la direttiva NIS2 stessa promuove approcci armonizzati e incoraggia la cooperazione e condivisione di informazioni sulle minacce tra Stato, imprese e CERT, riconoscendo che solo attraverso lo scambio continuo si possono prevenire attacchi a catena .
Il Framework Nazionale CIS Sapienza 2.1
Per guidare le organizzazioni italiane nell’adeguamento a NIS2, l’ACN ha già messo in campo strumenti importanti. Una tappa fondamentale è stata la pubblicazione, ad aprile 2025, della Determinazione ACN n. 164179 contenente le specifiche tecniche di base per l’attuazione degli obblighi NIS2 in Italia. In tale atto, l’Agenzia ha dettagliato 37 misure di sicurezza (con 87 requisiti) per i soggetti “importanti” e 43 misure (116 requisiti) per i soggetti “essenziali”, organizzate in aree tematiche come contesto organizzativo, gestione del rischio, politiche di sicurezza, sicurezza della supply chain, gestione degli asset, controllo degli accessi, sicurezza dei dati, protezione delle piattaforme, resilienza delle infrastrutture, monitoraggio continuo, gestione incidenti e altre . Queste misure rappresentano in pratica la baseline di sicurezza a cui gli enti devono conformarsi entro 18 mesi dalla notifica di inclusione nell’elenco NIS (ossia indicativamente entro metà 2026 per la prima ondata di soggetti).
Parallelamente, la Determinazione elenca le tipologie di incidenti significativi da notificare (Allegati 3 e 4 di cui sopra) e fissa a 9 mesi il termine entro cui le organizzazioni devono essere pronte ad adempiere all’obbligo di notifica incidente .
Un aspetto rilevante – e positivo – è che ACN ha allineato questi obblighi al Framework Nazionale per la Cybersecurity e la Data Protection 2025, sviluppato dal CIS Sapienza insieme a CINI e con il supporto di ACN stessa . In sostanza, le misure di sicurezza richieste riprendono la struttura del Framework Nazionale v2.1 (edizione 2025), il quale a sua volta è stato aggiornato per rispecchiare le best practice internazionali e i requisiti normativi correnti (NIS2 inclusa). Il framework nazionale nasceva nel 2015 ispirandosi al NIST Cybersecurity Framework statunitense, e in questa ultima versione è completamente allineato al core del NIST CSF 2.0, pur adattato al contesto italiano. Esso si articola in sei funzioni fondamentali – Governance, Identify, Protect, Detect, Respond, Recover – ciascuna suddivisa in categorie e sottocategorie di controllo, permettendo così alle organizzazioni di coprire tutti gli ambiti della cybersecurity in modo organico . Per ogni sottocategoria sono previsti livelli di maturità crescenti, che aiutano a valutare il proprio stato attuale e a pianificare i miglioramenti nel tempo .
L’adozione volontaria di questo Framework Nazionale (CIS Sapienza v2.1) è fortemente raccomandata da ACN come linea guida per raggiungere la compliance NIS2 . Pur non essendo di per sé uno strumento di certificazione, il framework funge da mappa di riferimento: seguendone le indicazioni, un’organizzazione copre tutti i punti che la normativa richiede, e si allinea alle best practice senza disperdere risorse. Come spiegato dai curatori, l’utilizzo del framework aiuta a definire un percorso di crescita della cybersecurity coerente con i regolamenti vigenti, riducendo i costi e aumentando l’efficacia delle misure implementate . In pratica, invece di partire da zero o affidarsi a linee guida disparate, le aziende possono utilizzare questo modello unificato per strutturare il proprio programma di sicurezza: dall’analisi del rischio iniziale (funzione Identify) fino alla gestione degli incidenti e al ripristino post-attacco (Respond e Recover). L’allineamento tra gli obblighi legali e il framework semplifica anche le attività di audit e rendicontazione: parlando il linguaggio comune delle funzioni/categorie, aziende e autorità potranno confrontarsi più facilmente sullo stato di avanzamento della compliance.
Da segnalare che la versione 2025 del framework presenta un’altra novità: non include più le mappature esplicite verso standard internazionali specifici (come ISO 27001, COBIT o NIST SP 800-53) . Questa scelta è volta a garantire maggiore neutralità e adattabilità, evitando di privilegiare uno standard rispetto a un altro. Ciò non toglie che il framework sia compatibile con tali riferimenti: un’organizzazione già certificata ISO 27001 o conforme a NIST ritroverà nel framework nazionale gli stessi controlli chiave, solo organizzati in modo diverso. ACN ha dunque fornito un metodo più che un elenco rigido: spetta a ogni entità effettuare un assessment rispetto al framework, individuare gap e priorità, e quindi pianificare gli interventi correttivi necessari per soddisfare i requisiti NIS2 entro le scadenze previste.
Best practice per proteggere la supply chain digitale
Oltre al rispetto degli obblighi normativi, le organizzazioni devono abbracciare un vero cambio di cultura nella gestione dei rischi cyber della supply chain. In questo senso emergono varie best practice operative che i professionisti dovrebbero adottare sin da subito per rafforzare la resilienza di filiera:
- Software Bill of Materials (SBOM): l’utilizzo degli SBOM – elenchi dettagliati dei componenti software e delle relative versioni presenti in un applicativo – sta diventando uno standard de facto per la sicurezza della supply chain software. Un SBOM consente infatti di avere trasparenza sulle dipendenze e di reagire prontamente quando emerge una nuova vulnerabilità (si pensi a Log4Shell: le aziende dotate di SBOM hanno potuto identificare rapidamente dove usavano la libreria vulnerabile). Organizzazioni come l’americana CISA e standard internazionali raccomandano fortemente di generare e condividere SBOM per ogni software critico. Ciò permette una migliore gestione delle patch e un monitoraggio continuo della sicurezza di ciascun componente, riducendo il rischio di introdurre “a scatola chiusa” codice insicuro nelle proprie infrastrutture. In Europa, l’attenzione sul tema è in crescita: il Cyber Resilience Act di recente approvazione potrebbe rendere obbligatorio fornire l’SBOM per molti prodotti digitali immessi sul mercato UE. Nel frattempo, adottarlo come best practice volontaria è segno di maturità: significa sapere cosa c’è dentro il proprio software e quello dei propri fornitori, e quindi poter agire in caso di allerta su una libreria compromessa.
- Due diligence e controllo fornitori: un altro pilastro è l’implementazione di rigorosi programmi di Third-Party Risk Management (TPRM). Ciò include la fase di qualifica iniziale dei fornitori (valutando i loro standard di sicurezza, certificazioni, storico di incidenti), l’inclusione di clausole contrattuali di sicurezza (es. obbligo di notifica al cliente in caso di data breach, aderire a policy minime, diritto di audit), e il monitoraggio continuo dei partner critici. Strumenti come i security rating (pagelle di cybersicurezza fornite da società specializzate) possono dare una visibilità esterna sul profilo di rischio di un fornitore durante la relazione. Il già citato report di SecurityScorecard suggerisce che le aziende devono migliorare la resilienza attuando una gestione continuativa del rischio informatico dei terzi, basata su metriche oggettive e allineata al business . In pratica, non basta un questionario iniziale: occorre tenere sotto osservazione gli indicatori di compromissione (es. credenziali del fornitore finite sul dark web, porte esposte, certificati scaduti), aggiornare periodicamente la valutazione del rischio e intervenire se la “pagella” peggiora. Importante è anche classificare i fornitori in base alla criticità: ad esempio, un provider cloud che gestisce servizi core merita controlli più stringenti e frequenti di un fornitore secondario. Un altro elemento chiave è la gestione dei sub-fornitori: spesso il nostro fornitore si avvale a sua volta di terze parti (subcontractor, servizi cloud di quarto livello, etc.) e questo allunga la catena di rischio. È prudente pretendere visibilità anche su questa supply chain allargata, imponendo contrattualmente che il fornitore comunichi quali sub-fornitori utilizza e che questi ultimi rispettino gli stessi requisiti di sicurezza.
- Piani di risposta e resilienza di filiera: poiché nessuna difesa è infallibile, le organizzazioni devono prepararsi ex ante a gestire incidenti che coinvolgono la supply chain. Ciò significa integrare nei propri piani di incident response scenari specifici come: “il fornitore X subisce un ransomware e interrompe il servizio”, oppure “una libreria usata nelle nostre applicazioni viene compromessa con malware”. Per ciascuno di questi scenari, vanno stabilite azioni di contenimento e comunicazione: ad esempio, avere un backup alternativo o un fornitore di emergenza per i servizi critici; predisporre comunicazioni da inviare ai clienti nel caso l’incidente di un fornitore impatti anche su di loro; concordare procedure con i fornitori stessi per l’escalation (chi contattare, entro quanto) quando c’è un problema serio. Il decreto NIS2 esplicitamente richiede un piano di gestione degli incidenti che copra rilevazione, risposta e recupero , e applicare questo principio alla filiera significa creare playbook di crisi in ottica ecosistemica. Alcune aziende leader organizzano anche simulazioni di attacco supply chain (war game) coinvolgendo partner e fornitori strategici, così da testare sul campo tempi di reazione e coordinamento. Inoltre, la condivisione di informazioni è fondamentale: aderire a circuiti di threat intelligence o a ISAC settoriali consente di ricevere early warning su attacchi in corso presso altri (magari il nostro fornitore cloud sta subendo intrusioni di cui ancora non siamo a conoscenza). La cooperazione attiva con CERT nazionali e CSIRT di fiducia può fare la differenza nel contenere un incidente di filiera.
- Standard e certificazioni di sicurezza: infine, adottare standard riconosciuti e promuovere le certificazioni di sicurezza lungo tutta la supply chain può elevare il livello di garanzia. Ad esempio, pretendere che i propri fornitori critici abbiano una certificazione ISO/IEC 27001 o aderiscano ai CIS Controls può fornire un minimo di assurance sulle loro capacità di protezione. In alcuni settori regolamentati, si stanno sviluppando schemi di certificazione specifici: la stessa NIS2 incoraggia gli European Cybersecurity Certification Schemes. Valutare la conformità dei fornitori a questi schemi (quando disponibili) sarà una buona pratica. Nel mondo software, programmi come il SAFECode o le certificazioni BSI per Secure SDLC possono attestare che un produttore segue processi sicuri di sviluppo. Sebbene la certificazione non annulli il rischio, impone però una disciplina e controlli oggettivi periodici, che tendono a ridurre le falle più grossolane. L’ACN e le autorità europee potranno in futuro richiedere l’adozione di tali schemi nei settori più critici; quindi, muoversi in anticipo in questa direzione rappresenta una scelta lungimirante.
Verso una cybersecurity di filiera proattiva e collaborativa
La sicurezza della supply chain non può più essere trattata come un semplice adempimento o, peggio, un gioco di scaricabarile tra cliente e fornitore. Al contrario, deve diventare parte integrante della strategia di business e della cultura di collaborazione tra organizzazioni. La Direttiva NIS2, con il suo approccio sistemico, ci indica proprio questa strada: alzare l’asticella minima di protezione per tutti gli attori critici e creare un ecosistema in cui la fiducia digitale sia un valore condiviso. Come ha affermato un esperto, “nell’era digitale, la fiducia è sinonimo di sicurezza informatica” . Garantire la continuità operativa (business continuity) lungo l’intera filiera significa non solo proteggere i propri interessi, ma anche quelli dei propri clienti, partner e in definitiva dell’economia nel suo complesso.
Per i professionisti della cybersecurity questo si traduce in un invito ad adottare un approccio proattivo, integrato e collaborativo. Proattivo nel prevedere le minacce e nell’investire in prevenzione prima che gli incidenti avvengano, riconoscendo i segnali deboli e mettendo in sicurezza gli anelli deboli della catena. Integrato perché le soluzioni non possono più essere a silos: occorre far dialogare gestione del rischio, IT, legale, procurement e tutti i reparti coinvolti, affinché la sicurezza sia parte di ogni processo (dall’onboarding di un nuovo fornitore alla stipula di contratti, fino alla pianificazione della continuità operativa). E collaborativo perché nessuna organizzazione può farcela da sola di fronte a minacce globali e complesse: condividere informazioni sulle minacce, segnalare vulnerabilità in modo coordinato (come promosso anche dalla direttiva NIS2 tramite il coordinated vulnerability disclosure ), partecipare a esercizi congiunti di cybersecurity, sono tutte pratiche che rafforzano il tessuto connettivo della fiducia reciproca.
In definitiva, investire nella sicurezza della supply chain equivale a investire nella resilienza e nella reputazione della propria impresa. Ogni incidente evitato o mitigato grazie a un fornitore meglio preparato, ogni vulnerabilità risolta prima di diventare breach, rappresenta un guadagno in termini di continuità del servizio e di credibilità sul mercato. Al tempo stesso, la compliance normativa (NIS2 in primis) va vista non solo come un obbligo ma come un’opportunità per fare un salto di qualità nella propria postura di sicurezza. Le aziende che sapranno cogliere questo impulso normativo per rafforzare le proprie difese di filiera avranno un vantaggio competitivo: saranno partner più affidabili, ridurranno i downtime e i costi di incidenti, e potranno offrire ai propri clienti garanzie concrete di business continuity anche nei momenti di crisi. In un mondo sempre più interconnesso, la fiducia di mercato si costruisce così: dimostrando con i fatti di saper proteggere non solo sé stessi ma anche l’ecosistema di cui si fa parte, in un circolo virtuoso dove sicurezza e innovazione viaggiano di pari passo.
