C’è una domanda scomoda che ogni azienda dovrebbe porsi oltre alla classica: “siamo protetti?“. Questa domanda è: “se dovessero entrare, cosa facciamo?”
Suona pessimista, lo sappiamo, ma i dati sul nostro Paese ci portano ad essere cauti e a invitare alla precauzione. Secondo il Rapporto Clusit 2026, infatti, gli attacchi gravi diretti contro organizzazioni italiane nell’ultimo anno sono stati 507, il 42% in più rispetto all’anno precedente, e l’Italia da sola ha assorbito il 9,6% degli incidenti gravi censiti nel mondo.
Non è più una questione di se, bensì di quando. E soprattutto, di cosa succede dopo. È qui che entra in gioco l’Incident Response.
Cos’è l’Incident Response
L’Incident Response è l’insieme strutturato di procedure, competenze e strumenti che un’organizzazione mette in campo per gestire un incidente di sicurezza informatica, dal momento in cui viene rilevato fino al pieno ripristino dell’operatività. In sostanza, è il piano d’azione che si attiva quando la prevenzione non è bastata e un attacco è già in corso.
Vale la pena chiarire subito una cosa, perché è il fraintendimento più comune che incontriamo nel rapporto quotidiano con i nostri clienti. L’Incident Response non è il firewall, non è l’antivirus, non è il sistema di backup, i quali servono a prevenire il più possibile i danni. L’Incident Response riguarda il momento in cui qualcuno è entrato e va fermato prima che il problema diventi sistemico.
Un programma di Incident Response maturo copre tutto l’arco dell’evento, dall’identificazione di cosa sta accadendo al contenimento per fermare la propagazione, dalla rimozione della minaccia al ripristino dei sistemi. Infine, a freddo, è fortemente consigliata l’analisi di cosa è successo, per evitare che si ripeta.
Alcuni numeri per fotografare il fenomeno
L’Incident Response è la risposta che PMI e aziende mature dal punto di vista della sicurezza informatica mettono in atto per rispondere ai pericoli di un contesto digitale sempre più complesso e minaccioso. Vediamo alcuni dati.
Le imprese italiane tra consapevolezza e improvvisazione
Il tema più interessante per chi gestisce un’azienda in Italia non riguarda quanti attacchi avvengono, ma quanto siamo pronti a incassarli.
Il Cyber Index PMI 2026, l’indagine promossa da Confindustria e Generali con il contributo scientifico del Politecnico di Milano e la partnership dell’Agenzia per la Cybersicurezza Nazionale, fotografa una maturità media delle PMI italiane del 55 punti su 100, sotto la soglia di sufficienza fissata a 60. Solo il 16% delle imprese presenta una postura di sicurezza adeguata. Tuttavia, il dato davvero rilevante è che circa il 25% delle PMI italiane ha subito una violazione informatica negli ultimi tre anni.
C’è, però, un dettaglio dentro questi numeri che spiega perché serve parlare di Incident Response. A livello di consapevolezza dei rischi legati al digitale raggiungiamo la sufficienza con 62 punti. Il problema emerge quando il focus si sposta dalla teoria alla pratica. L’identificazione concreta delle minacce, infatti, si ferma a 47 e l’attuazione delle misure operative a 57. Tradotto: si sa che il pericolo c’è, ma non si sa cosa fare quando si materializza.
L’Incident Response colma esattamente questo vuoto.
Gli attacchi cambiano, il problema della reazione resta
Sempre il Rapporto Clusit 2026 ci dice come vengono colpite le organizzazioni italiane. Nel 2025 la tecnica prevalente nel nostro Paese è stata il DDoS, salito al 38,5% dei casi (era il 21% l’anno prima), spinto dalle campagne di hacktivism legate al contesto geopolitico, che spesso bersagliano la Pubblica Amministrazione. Seguono il malware al 22,7% e, in crescita del 66%, il phishing e il social engineering, resi più insidiosi dall’intelligenza artificiale che genera messaggi sempre più credibili.
In tutto ciò, in quasi il 20% dei casi non è stato nemmeno possibile determinare la tecnica usata dall’attaccante. È un segnale preoccupante, perché quando non sai come sei stato colpito, ricostruire l’accaduto e rimettere in sicurezza i sistemi diventa molto più difficile. È un’altra ragione per cui un intervento metodico e documentato, fin dal primo minuto, fa la differenza.
La chiave dell’Incident Response: la velocità
Prendiamo a supporto, qui, alcuni dati internazionali, che evidenziano efficacemente quanto i tempi di reazione siano cruciali.
Il report M-Trends 2026 di Mandiant (sussidiaria di Google), costruito su oltre 500.000 ore di indagini su incidenti reali, segnala che il tempo mediano tra l’accesso iniziale a un sistema e il passaggio di consegne al gruppo criminale che porta a termine l’attacco si è ridotto a 22 secondi. Nel 2022 era di oltre 8 ore. In pratica, la finestra per intervenire una volta che qualcuno ha messo piede nell’infrastruttura si è praticamente azzerata.
Lo stesso report misura il dwell time, i giorni in cui un attaccante resta nei sistemi prima di essere scoperto; la mediana globale è di 14 giorni. Ma il dettaglio che conta è un altro: chi rileva l’incidente con le proprie forze lo scopre in circa 9 giorni, contro i 25 di chi lo apprende da terzi. Avere un piano di Incident Response significa avere occhi sui propri sistemi e qualcuno pronto a reagire, accorciando significativamente i tempi di reazione e intervento.
Non è un caso che, secondo il rapporto IBM Cost of a Data Breach 2025, la pianificazione e il collaudo dei piani di Incident Response figurino tra le aree di investimento in sicurezza più richieste a livello globale. Attenzione: il collaudo è fondamentale, perché non basta avere il piano in un cassetto ma bisogna testarlo.
Il metodo Orazero per l’Incident Response
In Planetel, tramite la nostra divisione Orazero, mettiamo a disposizione di professionisti, PMI, grandi aziende ed enti pubblici una soluzione di Incident Response che coniuga le due caratteristiche principali: metodo e velocità.
Quando un cliente ci chiama perché qualcosa è andato storto, seguiamo un percorso preciso, in cui ogni passaggio viene tracciato e documentato.
Fase 1: rilevazione
In questa prima fase andiamo a identificare l’incidente, ne capiamo la natura e ne delimitiamo la portata. È fondamentale aver chiaro il prima possibile cosa è stato colpito e fin dove si è spinto l’attaccante. Questo è un momento delicato, poiché rappresenta la base su cui si costruisce tutto il resto.
Fase 2: contenimento
Una volta che la fase 1 ha avuto successo e abbiamo definito il quadro della situazione, isoliamo i sistemi compromessi per fermare la propagazione. È il passaggio in cui ogni minuto conta davvero. L’obiettivo è impedire che un problema circoscritto si trasformi in un blocco dell’intera infrastruttura, con danni economici, operativi e reputazionali significativi.
Fase 3: bonifica
Questa terza fase è quella durante la quale mettiamo in campo gli strumenti necessari per rimuovere la minaccia e riportare in sicurezza ciò che è stato compromesso. Un’attività essenziale, qui, è assicurarci che l’attaccante non abbia lasciato porte aperte per rientrare in futuro.
Fase 4: Ripristino
L’ultimo step è riportare i sistemi alla piena operatività, verificando che tutto torni a funzionare in condizioni di sicurezza. A questo lavoro si affianca, dove serve, l’analisi forense per ricostruire la dinamica dell’evento e capirne l’origine, oltre al supporto al cliente nella notifica del data breach alle autorità competenti.
L’incidente che diventa un obbligo di legge
Su quest’ultima parte della fase 4 vale la pena spendere qualche riga. Per un numero crescente di organizzazioni, gestire bene un incidente non è solo buon senso operativo, ma un dovere normativo.
La direttiva europea NIS2, infatti, ha ampliato la platea dei soggetti tenuti a dotarsi di misure di gestione del rischio e a notificare gli incidenti significativi entro tempi stretti. In pratica, per molte Organizzazioni, la capacità di rilevare, gestire e documentare un incidente è diventata un requisito, non un’opzione. In questo scenario indubbiamente intricato, avere accanto chi sa muoversi fa una differenza concreta.
Perché sceglierci come partner
Sul mercato non mancano certo fornitori di servizi di Incident Response, ma quello che noi di Planetel proviamo a offrire è qualcosa di diverso da una mera prestazione tecnica.
Siamo un operatore italiano con infrastrutture di proprietà e data center sul territorio. Quando gestiamo un incidente, lo facciamo conoscendo la rete, i sistemi e il contesto in cui il cliente opera. La nostra assistenza è fatta di persone, non di un call center che smista ticket. Sapere chi chiamare, e sapere che dall’altra parte risponde qualcuno che conosce la tua situazione, è esattamente ciò che serve quando l’imprevisto arriva.
Inoltre, nel momento in cui si verifica un problema, avere un partner unico per l’intera supply chain digitale – dalla connettività, al cloud, alla cybersecurity – evita di avere una catena di fornitori da coordinare, nonché uno spiacevole rimpallo di responsabilità.
Contattaci senza impegno
Noi possiamo essere proprio questo interlocutore unico, mettendoti a disposizione le nostre competenze e le nostre risorse per strutturare una strategia di cybersecurity su misura. Se vuoi capire come è messa la tua azienda e cosa servirebbe per affrontare un incidente con metodo, parliamone senza impegno. Puoi contattarci chiamando lo 035 204461 o scrivendo a [email protected].