Copia/incolla disponibile con abbonamento Enterprise

Approfondimenti

​Sicurezza dei dati nelle PMI - Strumenti di compliance tra Gdpr, Nis 2 e Ai Act

Presentato alla Camera il volume “Sicurezza dei dati nelle PMI” di Chiara Ciccia Romito: un confronto su valore e vulnerabilità dei dati, attacchi informatici, compliance e fattore umano. Tra norme e casi concreti, emerge la sfida di proteggere e usare i dati come leva competitiva.

Roma, 22 gennaio 2026 - Presso la Sala Matteotti di Palazzo Theodoli - Bianchelli si è tenuta la presentazione del volume “Sicurezza dei dati nelle PMI” (Giuffrè) dell’avvocata Chiara Ciccia Romito mette sul tavolo una domanda semplice e scomoda: quanto valgono davvero i dati dentro le imprese italiane, soprattutto le piccole e medie? Curriculum, fatture, contratti, credenziali, know-how, flussi su cloud e gestionali: non è più solo amministrazione, è patrimonio. E ogni patrimonio, oggi, attira attenzioni indesiderate. Nel confronto tra istituzioni, esperti, professionisti e imprese, emerge un punto comune: la sicurezza informatica è un modo di lavorare, decidere e proteggere persone, reputazione, competitività. E nelle PMI, dove tutto corre più veloce e le risorse sono più strette, questa sfida è già presente.

Un libro nato da una crisi

L’autrice ha sottolineato: l’ultima parte del volume è stata scritta mentre stava gestendo una crisi vera, un attacco informatico con conseguente data breach. È da lì che prende forma l’idea del libro come strumento pratico: una guida che unisce quadro normativo e scelte operative, pensata per chi deve applicare le regole nel tempo reale di un’azienda.

Nell’introduzione istituzionale, l’onorevole Stefano Vaccari allarga subito il campo: i dati non sono più “numeri” e non sono più confinati nei server. Sono valore economico e leva di innovazione, ma anche punto di vulnerabilità. Il salto è culturale prima ancora che tecnologico: riconoscere che la gestione dei dati riguarda la strategia, non solo l’IT. E riguarda soprattutto l’Italia delle imprese minute, perché la gran parte del tessuto produttivo è fatto di realtà sotto i 50 dipendenti, spesso senza funzioni interne dedicate e con una digitalizzazione diseguale.

Da qui l’esigenza di una cassetta degli attrezzi che traduca la complessità in decisioni fattibili: sapere quali dati si hanno, perché contano, come proteggerli, e come evitare che il primo incidente diventi l’ultimo.

I dati come capitale delle PMI

La narrazione dell’evento insiste su un concetto che suona quasi “nuovo” solo perché per anni è stato sottovalutato: il dato è capitale. Non solo perché abilita analisi e automazione, ma perché determina affidabilità, continuità del lavoro, relazioni con clienti e fornitori. Per una PMI, perdere dati significa spesso perdere tempo, fiducia, commesse. E significa anche affrontare costi indiretti: fermo operativo, ripartenza, comunicazioni, reputazione, tensione interna. La sicurezza, quindi, non è un lusso da grandi gruppi: è un requisito minimo per restare in piedi.

Quando il dato diventa vulnerabilità

Vaccari ricorda episodi che hanno reso visibile la fragilità dei sistemi: non serve essere una multinazionale per essere colpiti, né avere “segreti industriali” per diventare un bersaglio. Basta avere dati, e oggi li hanno tutti.

La vulnerabilità però non è solo “tecnica”. È organizzativa: procedure non codificate, responsabilità confuse, formazione discontinua, abitudini consolidate. Ed è qui che la normativa, spesso percepita come burocrazia, torna a essere utile: costringe a fare ordine. Non per paura della sanzione, ma perché senza regole interne il rischio cresce in modo silenzioso. Il punto, ripetuto più volte dai relatori, è spostare la percezione: la sicurezza non è tempo “buttato”, è prevenzione di danni che un’impresa piccola non riesce a assorbire.

PMI al centro del lavoro e della sicurezza

La presidente Chiara Gribaudo richiama un dato strutturale: l’Italia è un Paese di micro e piccole imprese, e ignorare questo fatto mentre si discute di trasformazione digitale e mercato del lavoro sarebbe “demenziale”. La digitalizzazione, spiegata così, non può essere solo efficientamento produttivo: si lega anche a salute e sicurezza sul lavoro, alla formazione, alla governance delle filiere e al modo in cui la tecnologia può prevenire incidenti o, se mal gestita, amplificare rischi e disuguaglianze.

Nel suo intervento emerge un’attenzione particolare al “fattore umano” e al tema del controllo: la tecnologia può aiutare, ma non sostituisce la responsabilità. E quando il dibattito scivola sulla scorciatoia dell’“errore umano”, la richiesta è di non banalizzare: l’errore spesso è figlio di mancanza di formazione, procedure sbagliate, pressioni, appalti e subappalti, strumenti introdotti senza accompagnamento. In questo senso, il libro di Chiara Ciccia Romito si inserisce come ponte tra diritto del lavoro, protezione dei dati e scelte organizzative quotidiane.

Compliance che cambia pelle

Uno dei passaggi più interessanti è la trasformazione del concetto di compliance: non più un adempimento a valle, ma una costruzione continua dentro l’azienda. Chiara Ciccia Romito insiste sul fatto che le PMI non possono essere lasciate sole davanti a un mosaico di norme: protezione dei dati, sicurezza delle informazioni, intelligenza artificiale, obblighi europei in evoluzione. L’obiettivo diventa “compatibilità”: rendere la compliance applicabile nelle condizioni reali di una piccola impresa.

Qui si innesta anche un tema politico e di sistema: la parità tecnologica. Oggi una microimpresa può usare gli stessi strumenti cloud di un grande gruppo, quindi può accedere a opportunità simili, ma anche a rischi simili. Questo spiega perché le regole stanno “scendendo” lungo la filiera e perché la supply chain diventa decisiva: non conta solo ciò che fa l’azienda capofila, conta cosa regge il fornitore piccolo. Se non regge, diventa anello debole e perde opportunità. In altre parole: la sicurezza dei dati è già un criterio competitivo, anche quando non lo si dichiara.

Il fattore umano, tra click e cultura

Il momento più vivido arriva quando la teoria incontra esempi che tutti riconoscono. Il professor Giovanni Ziccardi osserva che per anni la cybersicurezza è stata “roba da tecnici”, mentre oggi è un tema da posizioni apicali. E per farlo capire racconta episodi tipici: mail di phishing con bonus inventati, link a premi impossibili, pacchi in attesa, messaggi “della banca” anche quando non si è clienti di quella banca. Il dettaglio che fa riflettere non è la storia in sé, ma la percentuale: anche in aziende strutturate, una quota di persone clicca e inserisce credenziali. Non per cattiveria, ma per distrazione, fiducia, fretta, aspettativa.

Il paradosso è che la tecnologia è sempre più “robusta” e spesso anche più accessibile, mentre il punto debole si sposta sulle abitudini e sulla consapevolezza. La sicurezza non è più un settaggio, è un comportamento condiviso. E qui la formazione cambia natura: non basta “una volta l’anno”. Serve ripasso continuo, come una lingua che si perde se non la usi. Lo sintetizza benissimo Paola Zaccheroni (Promotech) con una frase che in sala strappa sorrisi e consenso: “Io sono il fattore umano”. Nel suo racconto, una PMI con tredici dipendenti riesce a trasformare l’obbligo in crescita culturale: assessment, procedure, formazione, correzione di falle che non erano “colpe”, ma abitudini rimaste indietro rispetto alla velocità del digitale.

L’avvocato come guida, non come pronto soccorso

L’avvocata Federica Santinon propone un’immagine chiara: l’avvocato non può più arrivare “a valle”, quando c’è già la patologia. Deve diventare accompagnatore, un ponte tra impresa e legislatore, una figura che aiuta a prevenire crisi e a interpretare la complessità in modo pratico. Per farlo, però, serve formazione seria e diffusa: anche chi non è specialista deve avere un minimo di alfabetizzazione, perché privacy, sicurezza e AI entrano in ogni settore. E quando la norma corre, l’aggiornamento professionale non è un optional, è parte della responsabilità.

Una best practice che parte dal buonsenso

Il caso Promotech diventa un piccolo laboratorio: pochi dipendenti, un’attività internazionale, una cultura aziendale forte ma non sufficiente quando arriva la velocità dell’informatica e poi l’ondata dell’intelligenza artificiale. Zaccheroni descrive il passaggio con ironia: i dipendenti “ruotano gli occhi” davanti agli adempimenti, mentre l’amministratore delegato vede subito la responsabilità personale e decide di mettere ordine. Il risultato, racconta, è un salto culturale: procedure codificate, consapevolezza interna, regole ripetute nel tempo.

C’è anche un punto realistico: per una PMI molto piccola, una figura interna dedicata è difficile da sostenere. Per una piccola “organizzata”, invece, un riferimento interno affiancato da consulenza esterna può essere l’equilibrio giusto: la persona interna conosce i processi, la voce esterna porta aggiornamento e sguardo “terzo”, evitando che l’abitudine faccia abbassare la guardia. È un modo concreto per uscire dalla dicotomia “o fai tutto da solo o non fai niente”.

Competitività e dati: la partita industriale

Nel suo intervento, Luca Del Vecchio (Confindustria) sposta l’attenzione dalla difesa all’offensiva: i dati non sono soltanto da proteggere, sono da valorizzare. L’intelligenza artificiale, dice, non è “informatica al cubo”, è cambio di paradigma: organizzare l’impresa in modo data-driven, mettere ordine nella generazione dei dati, usarli per decisioni e produzione. E qui c’è un avvertimento forte: se non lo facciamo, rischiamo di essere “clonati” in pochi anni, perché il vantaggio competitivo si sposta dove stanno piattaforme, competenze e capacità di analisi.

Del Vecchio porta anche un esempio industriale che rende concreta la teoria: in alcuni settori manifatturieri, strumenti AI “generalisti” non bastano perché non sono addestrati sui dati specifici di produzione. La soluzione non è aspettare che qualcuno la porti dall’esterno, ma costruire ecosistemi: condivisione legale e organizzata dei dati (anche tramite associazioni), sperimentazione di AI di settore, investimenti in competenze, connettività e infrastrutture. Il suo punto finale è quasi politico: servono politiche pubbliche, perché senza reti, senza formazione e senza tecnologie accessibili, la regolazione da sola non tiene il passo. La compliance, da sola, non crea competitività: la rende possibile, se c’è un progetto.

Tre mosse realistiche per iniziare

Per evitare che tutto resti “alto” e teorico, dalla discussione emergono tre azioni di base, alla portata anche di una PMI, se affrontate con metodo:

  • Mappare i dati: quali sono, dove stanno, chi li usa, chi li vede, cosa succede se non sono disponibili domani mattina.
  • Mettere in sicurezza le abitudini: password, accessi, backup, aggiornamenti, regole semplici su link e allegati (prima ancora di investimenti complessi).
  • Allenare le persone: micro-formazioni ripetute e pratiche (simulazioni, esempi reali, checklist), perché il rischio più frequente passa dal comportamento quotidiano.

Un patto di fiducia

Le conclusioni dell’autrice tengono insieme i fili: trasformazione tecnologica e governo della tecnologia. La prima è indispensabile per non perdere terreno, la seconda è necessaria per non pagare quel terreno con crisi, blocchi, data breach e sfiducia. E nelle PMI, dove spesso c’è accesso agli stessi strumenti delle grandi aziende, cresce una “parità di rischio” che rende insufficiente la vecchia idea di semplificazione intesa solo come meno burocrazia. La semplificazione utile, qui, è quella che aiuta ad agire: linee guida chiare, hub di supporto, associazioni che accompagnano, strumenti condivisi, percorsi di competenze sostenibili.

Dentro questa cornice, il libro viene presentato per ciò che vuole essere: una cassetta degli attrezzi che non promette miracoli, ma evita errori evitabili. Perché la sicurezza dei dati non è un tema distante: è il modo in cui un’impresa protegge il proprio lavoro, il proprio nome e le persone che lo rendono possibile, un giorno dopo l’altro.

 

 

Link al video

 

Innovazione e Digital

Take the Date è un prodotto di Nomos

Take the Date è il portale che promuove gli eventi istituzionali e pubblici di rilievo che si tengono ogni giorno in Italia. Nato da un progetto di Nomos Centro Studi Parlamentari azienda leader nel settore delle relazioni istituzionali.

Nomos

Iscriviti a Take The Date

Free

Per Sempre

Gratis

  • Consultazione di tutti gli eventi
  • Iscrizione alla newsletter generica, che verrà inviata con cadenza settimanale 
  • Inserimento gratuito dei tuoi eventi
  • Promozione dei tuoi eventi (si applicano costi e condizioni)

Professional

€ 200/anno+IVA

€150/anno+IVA fino al 31/3/26

  • Consultazione di tutti gli eventi
  • Iscrizione alla newsletter generica, che verrà inviata con cadenza settimanale 
  • Iscrizione a 2 newsletter tematiche 
  • Inserimento gratuito dei tuoi eventi
  • Promozione dei tuoi eventi con uno sconto del 10%
  • Accesso all’archivio storico degli eventi
  • Accesso all’agenda istituzionale 

Enterprise

€ 300/anno+IVA

€250/anno+IVA fino al 31/3/26

  • Consultazione di tutti gli eventi
  • Iscrizione alla newsletter generica, che verrà inviata con cadenza settimanale  
  • Iscrizione a tutte le newsletter tematiche
  • Inserimento gratuito dei tuoi eventi
  • Promozione dei tuoi eventi con uno sconto del 20%
  • Accesso all’archivio storico degli eventi
  • Accesso all’agenda istituzionale
  • Area riservata con calendario interno, archivio e alert personalizzati
  • Copia/Incolla abilitato
  •  

Eventi correlati

Nato da un’iniziativa di Nomos Centro Studi Parlamentari - società di consulenza specializzata in public affairs, advocacy, lobbying e monitoraggio istituzionale e comunicazione - Take The Date è il primo portale che promuove tutti gli eventi di rilievo istituzionale e pubblico, che si tengono ogni giorno in Italia.

SOCIAL