White Paper congiunto · Edizione 2026
Innovare e proteggere.
La doppia trasformazione che ridisegna l'impresa italiana. ERP, cybersecurity e governance IT: una mappa pratica per chi decide nei prossimi 18 mesi.
Indice
Cosa troverai in questo documento
- 00Executive Summary · 90 secondi
- 01Dove siamo, in cifre oneste
- 02Il decennio dell'infrastruttura invisibile
- 03La tempesta regolatoria
- 04L'ERP come sistema nervoso
- 05AI nell'ERP: maturo vs marketing
- 06L'errore da due milioni
- 0796 ore: anatomia di un attacco
- 08Zero Trust, fattore umano, continuità
- 09Dove ERP e sicurezza si incontrano
- 10Governance: chi decide cosa
- 11Roadmap 18 mesi · KPI · Costo dell'inazione
- 12Epilogo: la domanda da portare in CdA
00 · Executive Summary
Cinque cose che vale la pena ricordare
Il prossimo decennio è quello dell'infrastruttura invisibile.
Chi non ricostruisce le fondamenta tra il 2025 e il 2028 si troverà a competere con un'architettura del 2010. Non è innovazione: è manutenzione della competitività.
L'ERP non è più dove si registrano le fatture.
È il punto in cui convergono dati, decisioni e automazioni. Se è lento, lenta è l'azienda. La sua salute è una responsabilità di business, non di IT.
NIS2 ha già cambiato il perimetro delle responsabilità.
Si applica a molte più aziende italiane di quanto si pensi e introduce responsabilità personali per l'organo amministrativo. Aspettare il primo controllo è la strategia più costosa.
Innovazione e sicurezza non sono in conflitto.
Lo diventano se governate da team che parlano lingue diverse. Cinque coordinate operative: identità, accessi, log, integrazioni, continuità. Una sola governance.
Il costo dell'inazione raramente compare nei business case.
Eppure è quasi sempre il più alto: produttività persa, fermi, opportunità mancate, costo regolatorio. Quantificarlo una sola volta vale più di dieci slide su nuove tecnologie.
01 · Il punto di partenza
Dove siamo, in cifre oneste
Fonti pubbliche convergenti — Clusit, DESI, ACN, ENISA, IBM Cost of a Data Breach, Panorama Consulting, ISTAT — incrociate con i benchmark che osserviamo sul campo. Sono ordini di grandezza, non bandierine.
Circa due terzi della media UE. Il gap si è ridotto negli ultimi cinque anni, ma non si è chiuso.
Le altre operano con isole applicative tenute insieme da export Excel e prassi non documentate.
Per il quarto anno consecutivo (Clusit). Italia stabilmente nella top-5 europea per attacchi gravi.
Forchetta realistica per aziende 50–500 addetti. Sale con stagionalità, produzione continua, retail.
Dato stabile da vent'anni. Non è un problema di software: è un problema di metodo.
Tempo tra compromissione e rilevamento. In calo grazie a EDR e SOC, ma ancora enorme.
02 · Parte I · Il contesto
Il decennio dell'infrastruttura invisibile
Tra il 2025 e il 2030 le imprese italiane non si dividono tra chi “fa innovazione” e chi non la fa. Si dividono in due gruppi più scomodi: chi sta ricostruendo le fondamenta — dati, processi, identità, sicurezza — e chi sta facendo manutenzione a un'architettura disegnata quindici anni fa.
La differenza non si vede dall'esterno. Si vede quando arriva un'acquisizione, un audit, un attacco, o semplicemente un cliente importante che chiede di integrarsi via API. Il tema non è la tecnologia: la tecnologia è abbondante, talvolta troppo. Il tema è la decisione razionale che molte aziende stanno rimandando di trimestre in trimestre.
Tre fatti verificabili: la spesa IT cresce, ma resta concentrata nelle aziende sopra i 250 addetti; il debito tecnico non si vede in bilancio ma compare nelle ore di consulenza “tappabuchi”; le competenze digitali specialistiche restano sotto la media UE.
Confronto UE · indicatori chiave
| IT | DE | FR | ES | |
|---|---|---|---|---|
| PMI intensità digitale base | 60% | 78% | 70% | 76% |
| Cloud avanzato | 22% | 30% | 31% | 36% |
| Specialisti ICT | 4,0% | 5,2% | 5,1% | 4,6% |
| Adozione AI in azienda | 8% | 12% | 10% | 9% |
Fonte: State of the Digital Decade 2024, Eurostat. Valori arrotondati.
03 · La tempesta regolatoria
Quattro norme che impongono scelte
| Norma | A chi si applica | Cosa chiede | Quando | Rischio max |
|---|---|---|---|---|
| NIS2 | Soggetti essenziali e importanti in 18 settori; sub-fornitori critici oltre soglie SME. | Misure tecniche/organizzative, gestione incidenti, notifica 24/72h, responsabilità del board. | In vigore. Controlli ACN in corso. | 10 M€ o 2% fatturato; sanzioni personali al board. |
| AI Act | Sviluppatori e utilizzatori di AI ad alto rischio; obblighi minimi per general purpose AI. | Classificazione rischio, trasparenza, supervisione umana, dataset. | Applicazione graduale. | 35 M€ o 7% fatturato. |
| GDPR aggiornato + guida ACN | Tutte le imprese che trattano dati sanitari, biometrici, dipendenti. | Base giuridica trattamenti, sicurezza by default. | Continuo. | 20 M€ o 4% fatturato; danno reputazionale. |
| DL Transizione 5.0 | Imprese che investono in digitale + sostenibilità. | Incentivi vincolati a tracciabilità energetica e processi. | Finestre annuali. | Mancata fruizione di crediti d'imposta. |
Sintesi non esaustiva. La consulenza legale è imprescindibile sul perimetro applicabile alla singola impresa.
04 · Parte II · L'ERP come sistema nervoso
Da gestionale a piattaforma
Per quindici anni l'ERP è stato descritto come il sistema “che fa fatture, contabilità e magazzino”. È ancora vero, ma è diventato anche un'altra cosa: il punto in cui convergono dati operativi, decisioni e automazioni.
Quando un agente AI legge giacenze, prevede la domanda e propone un riordino, lo fa interrogando l'ERP. Quando una banca chiede l'evidenza di un flusso prima di erogare un fido, scarica i dati dall'ERP. Quando un cliente vuole un'integrazione EDI o API, il primo nodo è l'ERP. Se quel nodo è lento, opaco, mal documentato, è l'intera azienda a esserlo.
“L'errore più comune in CdA è trattare l'ERP come la rete elettrica. Lo è, in effetti — ma se la rete elettrica salta, hai un problema. E quando salta, non hai più tempo di sceglierla bene.”
Autotest · 7 segnali
Il suo ERP le sta costando più di quanto pensi?
Risposta sincera: per quanti dei sette punti la sua azienda è in regola?
- 01La chiusura mensile richiede più di 5 giorni lavorativi.
- 02Esistono almeno 3 file Excel “fonte di verità” diversi dall'ERP.
- 03Aggiornare l'ERP comporta 6 mesi di analisi solo per stimare l'impatto.
- 04Nessuno sa elencare con certezza tutte le integrazioni attive.
- 05Per modificare un report bisogna aprire un ticket al fornitore.
- 06La produzione si ferma quando si ferma il server dell'ERP.
- 07Le persone chiave dell'ERP sono due, e una sta per andare in pensione.
05 · AI nell'ERP
Cosa funziona oggi, cosa è ancora marketing
Riconciliazione bancaria automatica
−40/60% tempo medio per quadratura; errori ridotti a casi residuali.
Previsione domanda (forecast)
−10/25% errore di previsione; meno scorte di sicurezza, meno stock-out.
Generazione documentale
−50/70% tempo per prima bozza; uniformità di stile e clausole.
Assistenti interni di supporto applicativo
Risposta < 30s su FAQ; ticket L1 ridotti del 30–50%.
Agenti autonomi su ordini, fatture, pagamenti
Governance di diritti ed errori non risolta. Pilota sì, produzione critica no.
06 · Storie e principi
L'errore da due milioni: anatomia di un'implementazione fallita
Azienda manifatturiera, 180 addetti, fatturato 45 M€, due stabilimenti. Budget approvato: 1,4 M€ in 14 mesi. Risultato: 21 mesi, 2,1 M€, due go-live falliti, riassetto del management IT.
- M0Decisione presa in due CdA. Nessun assessment del dato. RFP redatta dal solo IT manager.Sponsorship esecutiva debole: lo sponsor non è il proprietario dei processi.
- M3Selezione del vendor: scelto per prezzo. Partner di secondo livello.Decisione su CAPEX, ignorando TCO e curva di apprendimento del partner.
- M71.200 customizzazioni indocumentate sull'ERP precedente. +4 mesi.Il debito tecnico non era mai stato misurato.
- M12Primo go-live annullato a 72h dal lancio per qualità del dato.Mai stata avviata una bonifica anagrafica. “Lo facciamo dopo” è l'ultimo errore.
- M18Secondo go-live. Tre mesi di operatività ridotta. CFO si dimette.Cambio di sponsor in corsa: il progetto perde la voce in CdA.
- M21Stabilizzazione. Lessons learned scritte. Mai diffuse.Le lezioni che non circolano si ripetono. Il vero costo è qui.
I cinque fattori critici di successo
Niente di magico, ma quasi nessuno li rispetta tutti
Sponsorship reale
Lo sponsor è chi paga il prezzo politico di un rallentamento. Se è solo il CIO, manca metà del peso.
Ownership di business
Ogni modulo ha un proprietario che firma i requisiti. L'IT esegue, non decide.
Dato pulito prima del go-live
Il dato sporco digitalizzato resta sporco — ma diventa irrecuperabile.
Fasi brevi e reversibili
Niente big-bang. Tre fasi da 4 mesi battono un progetto da 12.
Change management dal mese zero
La formazione la settimana prima del go-live non funziona mai.
Misurazione continua
Ogni fase chiude con un indicatore concordato in CdA, non con una demo.
07 · Parte III · Anatomia di un incidente
96 ore: come si rompe una PMI italiana
In criptovaluta. Non pagato.
Decisione del CdA in 36 ore.
Ricavi persi, ore-uomo, forensics, ripristino, notifica clienti, 3 contratti rinnovati a sconto.
| Ora | Cosa è accaduto |
|---|---|
| −21 gg | Un dipendente clicca su un finto link di un fornitore noto. Credenziali catturate. Nessun MFA. L'accesso viene venduto su un marketplace criminale. |
| Ora 0 | L'attaccante entra in VPN con credenziali valide alle 03:14. Si muove lateralmente. Disattiva l'antivirus su tre server. SOC esterno classifica gli alert come falsi positivi. |
| Ora 4 | Esfiltrazione di 230 GB: contratti, codice sorgente di un prodotto chiave, dati HR. Uscita su rete cloud usata anche da servizi legittimi. |
| Ora 28 | Cifratura simultanea su 14 server. Backup primari cifrati con stesso credenziale admin. Backup secondari isolati sopravvivono. |
| Ora 30 | Le persone arrivano in ufficio. Nessuno può lavorare. L'ERP cloud è raggiungibile ma le integrazioni locali no. |
| Ora 36 | Compare la richiesta di riscatto. CdA in emergenza: decide di non pagare. |
| Ora 48 | Forensics in sede. Ripristino dai backup isolati. Recupero del 95% dei dati. Persi 8 giorni di lavorazioni. |
| Ora 96 | Ripristino operativo al 70%. Sei mesi di stabilizzazione, audit e notifiche da lì in poi. |
“Avevamo speso anni a parlare di antivirus. La cosa che ci ha salvati è stata un backup offline che avevamo lasciato lì per pigrizia.”
08 · Tre pilastri pratici
Zero Trust, fattore umano, continuità — senza buzzword
Identità verificata sempre
MFA non solo per chi entra da fuori, ma per ogni azione privilegiata. SSO aziendale + MFA su tutte le applicazioni critiche, incluso l'ERP.
Privilegio minimo
Nessuno è amministratore “per comodità”. Utenze tecniche con scadenza. Diritti rivisti due volte l'anno con i responsabili di funzione.
Segmentazione
Produzione, uffici, ospiti, ERP, telecamere: domini separati, regole esplicite, log centralizzati. Un attaccante in una zona non raggiunge le altre senza un passaggio controllato.
09 · Parte IV · Convergenza
I cinque punti di contatto tra ERP e sicurezza
Dati sensibili nell'ERP
Anagrafiche clienti, dati HR, listini, margini, IBAN. Cifratura at rest, classificazione, mascheramento in test.
Owner
DPO + IT Security
Gestione accessi e segregation of duties
Chi crea un fornitore non deve poter approvare il pagamento. SoD è una funzione, non una nota organizzativa.
Owner
CFO + Internal Audit
Integrazioni con terze parti
API, EDI, web service: ognuna è una porta. Inventario, controllo certificati, test di sicurezza pre-produzione.
Owner
IT + Acquisti
Log, audit, tracciabilità
Se non si ricostruisce chi ha fatto cosa, ogni indagine è cieca. Log centralizzati, ritenzione minima 12 mesi.
Owner
IT Security
Continuità operativa dell'ERP
Non c'è un BC plan “dell'ERP” separato da quello aziendale. Vanno scritti e testati insieme.
Owner
COO + IT
10 · Parte IV · Governance
Chi decide cosa, e quando
Non serve un nuovo organigramma. Serve chiarezza sui flussi decisionali. RACI semplificata per aziende sotto i 500 addetti.
| Decisione | CEO/Board | CIO/IT | CFO | CISO |
|---|---|---|---|---|
| Strategia IT a 3 anni | A | R | C | C |
| Scelta dell'ERP | A | R | R | C |
| Cloud vs on-premise | A | R | C | C |
| Budget annuale IT/Cyber | A | R | R | C |
| Policy NIS2 e accettazione rischio | A | C | C | R |
| Risposta a incidente grave | A | R | C | R |
| Nuovo fornitore IT critico | I | R | C | R |
| Disattivazione sistema legacy | I | R | C | C |
Dieci principi guida per i prossimi 18 mesi
Da appendere accanto al CdA
Nessun progetto IT senza un proprietario di business. L'IT esegue, non possiede.
Il dato sporco non va digitalizzato, va ripulito prima.
La sicurezza non è un fornitore: è una funzione interna, anche se piccola.
Ogni nuova integrazione è una nuova porta. Va inventariata il giorno in cui nasce.
Niente big-bang. Tre fasi da 4 mesi battono un progetto da 12.
L'MFA su tutte le utenze privilegiate è il singolo controllo più economico mai inventato.
Backup non testato = backup che non esiste.
Le utenze tecniche hanno una scadenza. Sempre.
Ogni KPI ha un proprietario. Senza proprietario, è una metrica di vanità.
Il costo dell'inazione va sempre nel business case, anche solo come stima.
11 · Parte V · Metodo
Roadmap realistica a 18 mesi
0 – 3 mesi
Assessment
Inventario applicativo e integrazioni. Mappa rischi NIS2. Self-assessment maturità ERP. Pulizia anagrafiche partita. Owner per ogni area.
3 – 9 mesi
Fondamenta
MFA estesa, log centralizzati, governance accessi, backup testati. Avvio bonifica dati. 2–3 quick win ERP a impatto misurabile.
9 – 18 mesi
Consolidamento
Rilascio modulo o upgrade ERP per fasi. Estensione Zero Trust. Esercitazione di disaster recovery completa. Formazione del board.
I KPI che contano davvero
(E quelli che illudono)
Finance
Tempo di chiusura mensile (giorni lav.)
Ecc. ≤ 3 · buono 4–5 · da rivedere ≥ 7
IT operations
MTTR su incidenti P1 (ore)
Ecc. < 4 · buono 4–8 · da rivedere > 24
Security
% utenti MFA su sistemi critici · tempo medio patching
MFA 100% · critiche < 7gg · alte < 30gg
Business
% processi ripetitivi automatizzati in ERP
< 20% margine ampio · > 50% buona maturità
Il costo dell'inazione, in quattro voci
Il numero che raramente compare nei business case
| Voce | 10–30 M€ | 30–100 M€ | 100–250 M€ |
|---|---|---|---|
| Produttività persa (anno) | 50–150 k€ | 150–500 k€ | 500 k€ – 1,5 M€ |
| Costo del fermo (1 evento grave) | 100–400 k€ | 400 k€ – 1,5 M€ | 1,5 – 4 M€ |
| Opportunità mancate (anno) | ≈ 1–2% fatturato | ≈ 1–2% fatturato | ≈ 1–2% fatturato |
| Esposizione regolatoria max | fino a 200 k€ | fino a 2 M€ | fino a 5+ M€ |
Regola pratica: il costo dell'inazione eccede di 3–5 volte l'investimento richiesto per fermarlo.
12 · Epilogo
La domanda da portare in CdA
«Se domani mattina la mia azienda venisse acquisita da un fondo, la mia infrastruttura IT — ERP, dati, identità, sicurezza, processi — sarebbe descritta nella due diligence come un asset che aggiunge valore al multiplo, o come una passività che lo riduce?»
È la domanda che cambia la conversazione. Sposta il piano dal “che software compriamo” a “che valore stiamo costruendo dentro l'azienda che non si vede in bilancio”.
Chi ha scritto questo documento
Tovadù × PPS
Due realtà italiane che lavorano da anni a fianco delle imprese di fascia medio-alta. La prima specializzata nei sistemi ERP e nei processi che li attraversano; la seconda nella protezione delle infrastrutture critiche e nella governance della sicurezza. Stile da practitioner: aneddoti anonimizzati, numeri verificabili, ammissione dei limiti.
Fonti e riferimenti
Clusit · State of the Digital Decade (Commissione Europea, Eurostat) · linee guida ACN sul perimetro NIS2 · ENISA Threat Landscape · IBM Cost of a Data Breach · Panorama Consulting ERP Report · ISTAT rilevazioni ICT.
Riferimenti normativi: Direttiva (UE) 2022/2555 (NIS2), Regolamento (UE) 2024/1689 (AI Act), Regolamento (UE) 2016/679 (GDPR), DL Transizione 5.0.