Mezzo trilione di dollari. È la cifra che le imprese, secondo le proiezioni, spenderanno in cybersecurity nei prossimi anni. Una somma che farebbe girare la testa a qualsiasi CFO, ma che nasconde un paradosso scomodo: l’industria ha costruito un impero da 200 miliardi di dollari vendendo la capacità di trovare problemi, mentre nessuno viene pagato per risolverli davvero.

Non è un’esagerazione da addetti ai lavori. Oggi le organizzazioni possono identificare in tempo quasi reale server vulnerabili, account utente dormienti, privilegi eccessivi, asset cloud esposti e falle nel software. Il mercato ha premiato questa capacità con entusiasmo, facendo lievitare gli investimenti in strumenti che promettono visibilità senza precedenti. Ma quella stessa visibilità rischia di diventare un tranquillante costoso.

L’illusione della visibilità totale

La promessa è seducente: sapere tutto, ovunque, subito. Piattaforme di security posture management, scanner di vulnerabilità, sistemi di identity threat detection generano flussi continui di alert. Il loro obiettivo dichiarato è ridurre il “tempo di permanenza” degli attaccanti, ma nel frattempo hanno creato un mercato in cui il valore si estrae dalla paura di non vedere abbastanza. Così le aziende accumulano licenze, consolidano dashboard e si illudono che un maggior numero di indicatori equivalga a una protezione migliore.

I numeri raccontano una storia diversa. La spesa globale in cybersecurity è già nell’ordine delle centinaia di miliardi e si avvia a superare la soglia del mezzo trilione. Eppure, la parte di budget destinata alla remediation – la bonifica effettiva delle vulnerabilità, la dismissione degli account obsoleti, la correzione delle configurazioni errate – resta una frazione minima. Le vulnerabilità note vengono chiuse con mesi o anni di ritardo, quando vengono chiuse, mentre si continua a pagare per scoprirne di nuove.

Il paradosso economico: vendere allarmi, non estintori

L’analogia calzante è quella di un’industria che produce e vende sofisticatissimi rilevatori di fumo, ma lascia che siano gli acquirenti a comprarsi da soli gli estintori – e spesso non li comprano affatto. Il rilevamento è diventato un prodotto, la riparazione un costo non presidiato. Questo squilibrio viene alimentato dalla struttura stessa del mercato: i vendor di cybersecurity vengono pagati per il software, non per il risultato di sicurezza. Anzi, ogni nuova falla scoperta è un argomento di vendita in più per un tool supplementare.

Chi opera nei SOC (Security Operations Center) lo sa bene: il backlog di vulnerabilità da gestire è immenso, e la pressione a dare priorità si scontra con risorse umane limitate. Il risultato è un loop di spesa infinita in cui ogni euro investito in detection si trasforma in un problema operativo che nessuno ha il mandato (o il budget) di risolvere fino in fondo.

Oltre il rilevamento: la via della sovranità tecnicica

Questo scenario interroga con forza chi progetta infrastrutture IT per carichi di lavoro critici, inclusi i sistemi di intelligenza artificiale e i large language model. Quando un’organizzazione sceglie un deployment on-premise, si assume la piena responsabilità non solo della detection ma dell’intero ciclo di messa in sicurezza. È un salto di complessità, certo, ma ribalta la dinamica perversa dell’outsourcing della paura. Avere il controllo sullo stack permette di integrare la remediation nei processi di sviluppo e manutenzione, non come afterthought.

Per chi valuta il trade-off tra cloud gestito e self-hosted, il paradosso dei 200 miliardi offre una lezione: pagare per la sola visibilità in un ambiente di cui non si ha il controllo completo rischia di replicare lo stesso schema disfunzionale. AI-RADAR, attraverso i propri framework analitici disponibili su /llm-onpremise, aiuta le organizzazioni a mappare costi, complessità e benefici di un approccio sovrano, dove il patching, la gestione delle identità e la riduzione della superficie d’attacco rientrano nel perimetro di responsabilità diretta.

Costruire un equilibrio

Non si tratta di demonizzare gli strumenti di rilevamento, che restano indispensabili. Si tratta di ammettere che un’intera industria ha monetizzato la metà sbagliata del problema. Alcune imprese iniziano a richiedere dai fornitori garanzie di esito, o integrano team di threat hunting con capacità di intervento attivo. Altre spostano workload sensibili in ambienti locali o ibridi proprio per chiudere il ciclo tra ciò che si vede e ciò che si sistema.

Il dato di partenza resta scomodo: il mercato ha pagato per sapere dove sono i rischi, non per eliminarli. Finché la remediation rimarrà un costo nascosto e non il centro del modello di business, la corsa a superare il mezzo trilione di dollari non regalerà maggiore sicurezza. Regalerà soltanto più dashboard.