This is a subtitle for your new post

In un contesto in cui i reati informatici crescono a ritmi esponenziali, difendersi è diventato un imperativo per le PMI. Ne parliamo con Luca Ruzza, di Blu System Srl, azienda giovane e dinamica associata a Confartigianato Imprese Pavia. Per inciso Luca è stato selezionato per far parte del gruppo nazionale Confartigianato ICT – Cybersecurity.

Tra consapevolezza, soluzioni concrete e nuovi scenari, il suo è un punto di vista prezioso per chi fa impresa e vuole affrontare con metodo e lungimiranza il tema della sicurezza digitale.

“Luca, partiamo dalle origini: ci racconti chi sei e come è nata Blu System, l’azienda che ti ha portato a specializzarti nella gestione dei servizi IT e nella cybersecurity per le imprese?”

La storia di Blu System affonda le radici nel 2008, quando aprii la mia prima partita IVA: con la società Gap snc facevamo vendita hardware in un negozio e anche assistenza ai clienti. All’epoca lavoravo anche come barista per sostenere le spese iniziali di avviament tuttavia mi resi conto dopo soli due anni di attività che quel contesto era troppo limitante rispetto alle mie aspirazioni: avevo bisogno di confrontarmi, partecipare a eventi, imparare sul campo.

Nel 2010 ho fondato Blu System come impresa individuale, iniziando l’attività come system integrator, occupandomi di integrare computer, reti e sistemi di videoconferenza. Vivendo a Pavia, città universitaria per eccellenza, ho trovato terreno fertile per sviluppare competenze sempre più specifiche nel settore delle reti. In particolare, ci siamo specializzati nell’installazione e gestione delle reti Wi-Fi nei collegi universitari, collegati alla connettività dell'Università di Pavia.

Ad oggi abbiamo ancora l'appalto con EDISU e diversi collegi privati: in tutto 15 strutture che ci hanno permesso di maturare un importante know-how, anche grazie alla singolare “collaborazione inconsapevole” degli studenti di informatica, che spesso tentavano di testare la robustezza dei sistemi.

Proprio da qui, nel 2018, abbiamo fatto un salto di qualità nella cybersecurity. Quando qualcuno tentava di bucare la rete dell'università o di un collegio e veniva individuato un indirizzo IP un’attività sospetta, la responsabilità veniva ricondotta al soggetto che forniva la connettività. Questo ha spinto l’Università di Pavia a richiedere ai collegi un sistema in grado di identificare chiunque si connettesse alla rete. Così abbiamo presentato un’offerta tecnica per il bando pubblico, introducendo un sistema basato sulla registrazione tramite numero di telefono: se il numero non era presente nel sistema, l’accesso veniva bloccato; se il comportamento dell'utente proseguiva in modo sospetto, si coinvolgeva la Polizia Giudiziaria, che aveva la facoltà di risalire all’identità dell’utente tramite la numerazione “SIM” telefonica .

Questo è stato l’inizio del nostro approfondimento sulla prevenzione informatica, l’adozione di firewall, sistemi anti-intrusione, e simulazioni di attacco.

Questo percorso ci ha permesso di trasferire il know-how dalla gestione delle reti nei collegi a quella delle reti aziendali. Naturalmente, i contesti sono diversi: in un collegio “basta” un Wi-Fi centralizzato e sempre funzionante; in un’azienda, invece, bisogna intervenire sul singolo dispositivo e garantire tempi di risoluzione rapidissimi.

Nel tempo vi siete strutturati come impresa: quanto ha inciso la scelta di fare squadra, puntare sulla qualità e mantenere una dimensione artigiana?

Siamo passati da professionisti con partite IVA distinte a un'unica realtà sotto un marchio condiviso. È nata così nel 2010 la Blu System di Luca Ruzza impresa individuale che nel 2024 ha lasciato il posto alla Blu System srl.

 Volevamo partecipare ai bandi pubblici, dare un’immagine più solida alla nostra impresa, anche attraverso certificazioni, tra cui ISO 9001. Attualmente ci definiamo ancora "imprentigiani": imprenditori con la mentalità dell’artigiano che aspira a migliorarsi e a crescere. Nelle grandi aziende i tecnici cambiano spesso, perdendo il legame con l’infrastruttura. Noi, invece, crediamo (e speriamo) di essere riconosciuti come una impresa affidabile.

Un esempio concreto: nel 2018 un’azienda sanitaria ci ha scelto proprio perché non voleva un fornitore di grandi dimensioni. Volevano crescere con noi. Oggi quegli studi sono diventati undici in tutto il nord Italia. Abbiamo installato firewall, sistemi EDR (evoluzione dell'antivirus), reti Wi-Fi separate per pazienti, medici e dispositivi. Non ci limitiamo più a proteggere: oggi siamo anche in grado di simulare attacchi informatici per testare la resilienza dei sistemi.

"Accennavi alla vostra capacità di simulare e gestire attacchi informatici per testare la resilienza dei sistemi. In che modo vi siete strutturati per offrire questo tipo di servizio alle imprese?"

In quest’ambito abbiamo fatto un passo importante grazie a Andrea Bolsieri, un giovane informatico del nostro team entrato in azienda circa un anno fa. È uno dei professionisti più giovani al mondo ad aver conseguito la certificazione statunitense OSCP (Offensive Security Certified Professional), una delle più complesse a livello internazionale nel campo dell’ethical hacking.

L’esame è particolarmente impegnativo, come racconta lo stesso Andrea: viene svolto sotto costante sorveglianza tramite webcam, senza possibilità di usare dispositivi esterni. Entro 24 ore il candidato deve riuscire a violare sei ambienti virtuali differenti, ciascuno con caratteristiche e vulnerabilità specifiche. Per superare l’esame è necessario raggiungere almeno l’70% di successo.

Al termine delle prove tecniche, è richiesto un report dettagliato da redigere nelle 24 ore successive: proprio come accade in una simulazione reale presso un’azienda, non basta dimostrare di essere entrati nei sistemi, ma è fondamentale documentare come ci si è riusciti, quali falle sono emerse e quali contromisure si possono adottare.

Questo approccio ci consente oggi di proporre simulazioni di attacco realistiche, con l’obiettivo di valutare la resilienza dell’infrastruttura informatica delle imprese e fornire loro indicazioni concrete per correggere le vulnerabilità.

“Negli ultimi mesi si parla sempre più di certificazioni e requisiti di sicurezza. Qual è il ruolo delle norme come la NIS 2 nella vostra attività e in che modo queste direttive stanno cambiando le richieste dei vostri clienti?”

Negli ultimi anni ci siamo trovati a rispondere a esigenze sempre più specifiche da parte dei clienti, soprattutto di quelli medio-grandi. La spinta è arrivata in parte da un’esigenza interna di sicurezza delle informazioni, ma anche da nuove richieste legate alla normativa. In particolare, la Direttiva NIS 2 ha introdotto una distinzione tra imprese essenziali e importanti, assegnando a entrambe una serie di adempimenti stringenti in termini di sicurezza informatica.

Questo ha comportato una ricaduta diretta anche sulle imprese che forniscono servizi ICT a questi soggetti. Per questo motivo, già tre anni fa abbiamo conseguito la certificazione ISO/IEC 27001, che copre diversi  aspetti della sicurezza delle informazioni: sono quasi 100 i controlli da presidiare, e l’azienda deve dimostrare come gestisce e mitiga i rischi, dal singolo computer alle procedure di sviluppo software, oltre al controllo fisico degli accessi.

All’inizio l’abbiamo vista come un onere necessario per ottenere una commessa importante. Ma oggi, a distanza di tempo, si sta rivelando un vero vantaggio competitivo: da circa sei mesi le richieste di certificazione da parte dei clienti si sono moltiplicate, proprio perché la NIS 2 prevede per molte imprese l’obbligo di dimostrare la solidità della propria filiera.

A questo si aggiunge la nostra certificazione ISO 9001, che abbiamo da oltre undici anni, relativa ai sistemi di gestione per la qualità. Inizialmente abbiamo lavorato con un consulente esterno, poi da alcuni anni seguito da una risorsa interna, Giulia Birolini, che oggi gestisce con competenza tutto il sistema. Questo ci consente di rispondere con prontezza a chi, fin dal primo contatto tecnico, ci chiede se siamo in possesso delle certificazioni di qualità e sicurezza.»

“Negli ultimi quattro anni i reati informatici contro le imprese sono cresciuti del 45,5%. Qual è oggi, dal tuo osservatorio, la minaccia numero uno per le PMI?”

La minaccia principale, dal mio punto di vista, non è di natura tecnica ma comportamentale. Gli attacchi fanno leva su elementi psicologici come fretta, ansia e paura, e colpiscono proprio la soglia di attenzione delle persone.

Un esempio recente? Un falso SMS, apparentemente inviato dalla banca (tecnica dello “spoofing” del numero), ti avvisa di un tentato furto. Poco dopo arriva una chiamata dalla finta banca che ti rassicura: non devi fare nulla, loro penseranno a segnalare tutto ai carabinieri. Dopo due giorni, ecco la chiamata della finta polizia, che dice di dover fare accertamenti sul conto e guida la vittima a collegarsi a un sito fasullo per installare un tool che consenta il controllo remoto. Risultato: prelievi anche di 10-15.000 euro dal conto corrente.

Ecco perché dico che nessuna tecnologia, per quanto avanzata, può proteggerti se sei tu stesso a concedere accesso al tuo dispositivo o a fidarti ciecamente di chi ti guida passo dopo passo in una truffa.

Certo, c’è anche una componente tecnica negli attacchi, ma rappresenta non più del 20%: l’80% delle truffe sfrutta la psicologia umana. Ed è lì che dobbiamo lavorare di più, anche con la formazione continua.

Le PMI del territorio sono davvero consapevoli del rischio cyber o c’è ancora chi pensa “tanto non capiterà a me”?

Purtroppo è ancora un atteggiamento molto diffuso: molti imprenditori si rendono conto del rischio solo dopo che l’incidente è avvenuto. La buona notizia è che, grazie all’effetto “a cascata” delle normative pensate per le grandi imprese – come la NIS 2 – anche le PMI stanno cominciando ad alzare il livello di attenzione.

Quando parlo con i clienti, uso spesso un paragone con la sicurezza sul lavoro: è semplice da visualizzare. Se sali su una scala sopra una certa altezza, capisci subito perché serve l’imbracatura. Basta simulare una caduta e il rischio è evidente. Ma con la sicurezza informatica non è così facile: è tutto invisibile, tecnico, difficile da rappresentare. E allora, di fronte alla complessità, molti concludono: “ma a me cosa vuoi che facciano?”.

Questa sottovalutazione è ancora un ostacolo enorme alla prevenzione.

Solo un’azienda su tre adotta misure avanzate di sicurezza. Quali sono gli errori più comuni che gli imprenditori commettono nella protezione dei dati aziendali?

Uno degli errori più frequenti è non limitare gli accessi alle informazioni aziendali. In molte PMI, ogni dipendente ha accesso a tutte le cartelle, documenti e dati, senza alcuna compartimentazione. È fondamentale invece che il management definisca chi può vedere cosa, introducendo una logica a livelli e privilegi. Questo vale sia per motivi di sicurezza, sia per ridurre i rischi in caso di attacco.

Un altro errore è l’utilizzo di sistemi operativi obsoleti o non aggiornati. Alcuni computer troppo datati, ad esempio, non sono più compatibili con gli aggiornamenti di sicurezza previsti da Microsoft, rendendoli punti deboli evidenti nella rete aziendale. Anche il software più evoluto perde efficacia se gira su una macchina non più supportata. La sicurezza non si fa solo con antivirus e firewall: si costruisce con scelte strutturali, organizzative e tecnologiche consapevoli.

Quali misure semplici ed economiche consiglieresti di adottare subito per alzare il livello di difesa?

Come prima cosa, consiglio di installare un antivirus professionale a pagamento: offre un livello di protezione decisamente superiore rispetto alle soluzioni gratuite. In secondo luogo, è fondamentale effettuare regolarmente dei backup, cioè salvare i dati su un hard disk esterno che venga poi fisicamente scollegato dal computer. È una soluzione economica ma efficace, a patto che venga eseguita con costanza.

Per chi vuole automatizzare il processo, esistono i dischi di rete (NAS) collegati a software che programmano il backup a un’ora prestabilita ogni giorno. In questo modo si riduce l’impegno operativo e si migliora l’affidabilità del sistema di protezione dei dati.

Ci racconti un esempio concreto in cui un attacco informatico ha messo in difficoltà un’azienda?

Un caso emblematico riguarda una frode molto sofisticata ai danni di due imprese: un cliente e il suo fornitore. I criminali informatici sono riusciti ad accedere alla casella di posta elettronica del fornitore, studiandone le comunicazioni e attendendo il momento giusto per colpire.

Quando è arrivato il momento di effettuare un bonifico, gli hacker hanno intercettato una mail contenente il documento con l’IBAN, lo hanno modificato sostituendo il numero di conto con quello del truffatore, e poi lo hanno rimandato al cliente con un messaggio credibile. Il fornitore, naturalmente, non ha mai ricevuto il pagamento, e solo dopo giorni ci si è accorti dell’inganno.

Questo tipo di attacco – noto come Business Email Compromise (BEC) – è sempre più diffuso e dimostra quanto sia importante proteggere le caselle email aziendali, utilizzare sistemi di firma digitale per i documenti sensibili, e soprattutto verificare sempre i dati bancari prima di effettuare un pagamento importante.

L’intelligenza artificiale è ormai pane quotidiano per le imprese. Quanto può essere un alleato nella difesa dai cyber attacchi e quanto, invece, rischia di trasformarsi in un’arma per gli hacker? E quali soluzioni innovative sta proponendo oggi Blu System alle aziende del territorio?

In questa fase storica, l’intelligenza artificiale è spesso più un’arma in mano agli hacker che uno strumento difensivo per le imprese. La velocità con cui vengono sviluppati nuovi metodi d’attacco, alimentati dalla curiosità e dall’accessibilità di questi strumenti, è superiore alla capacità dei sistemi di sicurezza di reagire con contromisure efficaci.

Anche per questo, in Blu System ci stiamo muovendo su entrambi i fronti: comprendere le nuove vulnerabilità e sfruttare l’intelligenza artificiale per proteggere le aziende.

Abbiamo sviluppato soluzioni software proprietarie per uso interno, anche grazie al lavoro del nostro esperto Andrea Bolsieri. In particolare, monitoriamo costantemente le CVE (Common Vulnerabilities and Exposures), ovvero le segnalazioni ufficiali delle vulnerabilità informatiche rilevate su dispositivi e software.

Noi abbiamo sviluppato un portale interno che – grazie all’uso dell’intelligenza artificiale – consente di interrogare in tempo reale le CVE pubblicate, filtrandole per fornitore (es. Microsoft) e mettendo in evidenza quelle più recenti e critiche. In questo modo possiamo agire tempestivamente su tutti i sistemi dei nostri clienti che ci affidano in outsourcing la sicurezza informatica della loro infrastruttura.

Quindi sì, Blu System utilizza l’intelligenza artificiale in chiave difensiva secondo due modalità:

1.   Accelerare lo sviluppo di strumenti software interni, personalizzati e adattabili alle esigenze dei clienti;

2.   Affidarsi a sistemi antivirus evoluti (EDR/XDR), capaci di analizzare in tempo reale i comportamenti anomali nei computer aziendali e di generare allarmi sulla base di modelli predittivi intelligenti.

Non basta installare un buon sistema: occorre un approccio dinamico, aggiornato e proattivo. È questo il nostro obiettivo quotidiano.

In Italia mancano oltre 4.000 esperti di cybersecurity. Quali leve concrete servono per colmare questo vuoto di competenze che espone le imprese a rischi crescenti? E se un giovane ti chiedesse come iniziare una carriera nella sicurezza informatica, quale consiglio pratico gli daresti?

La vera sfida, oggi, è legata alla formazione continua. La scuola fornisce una base indispensabile, ma non è sufficiente per affrontare la complessità e l’evoluzione costante del settore. In ambito cybersecurity, le tecnologie e le minacce si aggiornano a un ritmo rapidissimo: servono figure che si formino costantemente, dentro e fuori l'azienda.

La cybersecurity richiede passione, curiosità, voglia di approfondire anche fuori dall’orario d’ufficio. Non è un lavoro da impiegato d’ufficio, ma un mestiere da vivere con coinvolgimento.

Dal punto di vista delle imprese, poi, è necessario un cambio di mentalità. I costi legati ai nuovi adempimenti normativi in materia di sicurezza informatica non devono essere visti come semplici oneri, ma come investimenti. Una parte delle risorse generate grazie a questi adeguamenti può e deve essere reinvestita in formazione, valorizzazione e fidelizzazione del personale. Solo così si costruisce un team competente, motivato e stabile.

A un giovane interessato a questo mondo, direi innanzitutto: se ti appassiona davvero, comincia anche da solo. Inizia a smanettare, iscriviti a forum, leggi documentazione tecnica, partecipa a community online. E cerca di capire da subito che non sarà un percorso lineare. Servono tempo, dedizione e voglia di imparare ogni giorno qualcosa di nuovo.

Ma se hai lo spirito giusto, le opportunità non mancano: la cybersecurity è un settore che offre sbocchi concreti, rapidi e in continua espansione.

Oltre a guidare Blu System, sei anche parte del gruppo nazionale Confartigianato ICT – Cybersecurity. Cosa significa per te rappresentare le imprese pavesi a livello nazionale e quale contributo pensi di poter portare al dibattito sulla sicurezza digitale delle PMI?

Poter far parte del gruppo nazionale ICT – Cybersecurity di Confartigianato è per me motivo di orgoglio e una grande opportunità. Ritengo che il contributo che posso offrire sia positivo, soprattutto perché nutro molte aspettative rispetto al ruolo dei territori. A livello nazionale, Confartigianato ha già instaurato un dialogo diretto con interlocutori strategici come l’ACN (Agenzia per la Cybersicurezza Nazionale), l’AGID, la Polizia Postale e la Guardia di Finanza: un canale di confronto prezioso, che senza il supporto dell’Associazione difficilmente un’impresa come la nostra potrebbe attivare.

Ora la sfida è trasferire questo patrimonio di relazioni e contenuti anche a livello locale, per permettere alle imprese di comprendere meglio le nuove minacce digitali e agire con maggiore consapevolezza. Credo sia fondamentale fare in modo che ciò che emerge da questi tavoli nazionali non resti confinato a una ristretta cerchia di addetti ai lavori, ma venga condiviso e declinato sui bisogni concreti delle PMI del territorio.

Il mio obiettivo è proprio questo: dare voce alle esigenze delle piccole imprese e aiutare a tradurre il linguaggio della cybersecurity in strumenti concreti e accessibili.

Se guardi ai prossimi cinque anni, come immagini sarà cambiato il modo in cui le imprese dovranno difendersi dai cyber attacchi?

Andrea Bolsieri (Blu System): Se l’intelligenza artificiale continuerà a evolversi al ritmo attuale, diventerà sempre più uno strumento utilizzato per lanciare attacchi informatici, perché consente di automatizzare e velocizzare processi che, fino a pochi anni fa, richiedevano ore o giorni di lavoro manuale. Tuttavia, oggi gli attacchi informatici non sono del tutto standardizzabili: cambiano in base al bersaglio e al contesto, quindi l’IA ha ancora delle difficoltà a gestire dinamiche complesse dove serve ragionamento, adattamento e creatività.

L’evoluzione più temibile sarà quella in cui l’IA acquisirà una maggiore capacità logica e adattiva, al punto da riuscire a identificare da sola le vulnerabilità non documentate. In quel caso, potremmo davvero parlare di attacchi autonomi e mirati.

Con strumenti come ChatGPT, è già possibile costruire plug-in personalizzati in grado di apprendere continuamente un tema specifico. È come addestrare un assistente per mesi su una sola finalità. Se questa finalità fosse offensiva – cioè costruire e simulare attacchi – potremmo trovarci di fronte a strumenti plug-and-play estremamente pericolosi.

Oggi questi tool sono già molto potenti nelle fasi preparatorie di un attacco (raccolta informazioni, ricostruzione architettura, riconoscimento pattern), mentre mostrano ancora limiti nella fase esecutiva vera e propria. Ma è solo una questione di tempo.

Per questo le imprese, nei prossimi anni, dovranno adottare un approccio ancora più proattivo, flessibile e aggiornato, affiancando tecnologie avanzate a formazione continua e strategie di resilienza digitale su misura.