Private Equity a rischio: come gli hacker minacciano gli investimenti!

Le frontiere della sicurezza informatica delle organizzazioni si estendono ben oltre i loro limiti fisici. L’ecosistema composto da fornitori, aziende di outsourcing, partner tecnologici e gestori di servizi definisce l’effettiva sicurezza di un’entità. I dati dalla scena italiana sono eloquenti: stando alle statistiche fornite dall’Agenzia per la Cybersicurezza Nazionale, nel primo semestre del 2025, gli attacchi a entità italiane hanno registrato un incremento del 53% rispetto al 2024, e gli episodi con conseguenze accertate sono aumentati del 98%. Oggi, un attacco su tre deriva dalla catena di approvvigionamento, spesso per via di fornitori con scarse capacità di protezione. Gli obiettivi primari includono il settore pubblico (sia centrale che locale), la sanità, i trasporti e le telecomunicazioni.

Il contesto del private equity in Italia

Nel dialogo quotidiano con le imprese, emerge che il panorama italiano del private equity si trova in una fase iniziale. Al momento, la questione è concentrata sulla conformità e non su strategie di fondo. In dettaglio, ciò comporta l’aggiornamento delle clausole contrattuali e un’attenzione rivolta soprattutto ai grandi clienti. Il modello di business del private equity offre un’interessante prospettiva di analisi in questo contesto.

Le peculiarità delle fasi e l’approccio imprenditoriale richiedono una forte attenzione da parte dei gestori sugli investimenti, assicurando direzione e guida a società spesso di piccole e medie dimensioni con notevoli potenzialità di crescita anche a livello manageriale, che tuttavia possono mancare di risorse, procedure e tecnologie adeguate (il cosiddetto Debito IT).

Rischi associati alle terze parti

Anche a livello internazionale, l’importanza della questione è confermata. Nella 13esima Indagine Globale del 2025 sulla percezione dei rischi principali da parte di 1.215 membri di consigli di amministrazione e dirigenti, realizzata da Protiviti in collaborazione con l’Iniziativa Erm della Nc University, le relazioni con terze parti figurano tra le prime 10 nei prossimi 2-3 anni (un terzo degli intervistati attribuisce a questo rischio un impatto “alto”, un terzo “medio” e un terzo “basso”, indicando variazioni significative tra i settori e le catene di approvvigionamento).

Guardando al futuro, l’orizzonte a 10 anni evidenzia che, tra i rischi operativi di lungo periodo, le terze parti occupano il terzo posto (scelte dal 26% dei dirigenti, con il cyber risk al 31%), dimostrando una crescente interdipendenza col tempo.

Le reazioni dei consigli di amministrazione alla vulnerabilità della catena di valore

Il report sottolinea che non è sufficiente essere resilienti “internamente” se la catena di valore rimane “porosa”. Per contrastare ciò, i consigli di amministrazione più avanzati stanno investendo in horizon scanning supportato da dati, analisi di scenario, modernizzazione tecnologica e pianificazione di risposta rapida, un insieme di strategie che combina prevenzione e prontezza operativa. Sul fronte normativo, la Direttiva Nis2 e il Regolamento Dora hanno elevato il livello da “buona pratica” a due diligence: entrambi impongono alle aziende requisiti di sicurezza per i fornitori, la loro selezione basata sulla maturità cyber, il monitoraggio nel tempo e la sostituzione se non adeguati. Tuttavia, non è sufficiente.

• Leggi anche: Private equity, ottobre da record: 69 operazioni concluse in Italia

Le imprese richiedono soluzioni gestite flessibili che superino il semplice outsourcing, integrandosi con altre funzioni di controllo critiche, come le normative UE contro la Russia, l’anticorruzione, le parti correlate e l’anti-riciclaggio (AML), superando la conformità alle singole leggi vigenti attraverso team dedicati e adattabili.

*Direttore generale Protiviti Italia