Scenario

L'87% delle aziende amplia i team cyber, ma mancano competenze

La crisi dei talenti cyber non riguarda solo i numeri: le imprese cercano profili più adatti, mentre AI e recruiting obsoleto ampliano il divario.

09 lug 2026 4 min lettura A cura di Redazione
L'87% delle aziende amplia i team cyber, ma mancano competenze
Condividi

La crisi dei talenti nella cybersecurity sta cambiando natura: non è più soltanto una questione di posti vacanti, ma di distanza tra ciò che le imprese chiedono e ciò che il mercato del lavoro riesce a offrire. Il dato più immediato arriva dal Fortinet Training Institute: nel report 2026 Cybersecurity Skills Gap, l’87% delle organizzazioni prevede di ampliare i propri team di sicurezza entro l’anno. Ma, negli Stati Uniti, lo strumento CyberSeek indica che i professionisti disponibili coprono appena il 74% della domanda dei datori di lavoro.

Il punto, però, non si esaurisce nella scarsità numerica. I responsabili della sicurezza stanno incontrando un disallineamento più profondo tra competenze disponibili e competenze richieste nei reparti enterprise. Nel report 2026 Cybersecurity Workforce Research Report, i ricercatori di SANS Institute e GIAC parlano di un gap che si allarga proprio mentre le organizzazioni riconoscono che contano più le capacità corrette del semplice aumento dell’organico.

La formula sintetizzata da Brian Correia, director of global cyber workforce strategy and engagement di SANS, sposta il baricentro del problema: “non è una carenza di headcount”, ma la difficoltà di ottenere le competenze necessarie. Per i CISO, questo significa ripensare il recruiting, abbandonando la ricerca convenzionale del candidato ideale e costruendo più canali di ingresso, insieme a programmi di sviluppo continuo che mantengano aggiornate le persone già assunte.

La crisi cyber è diventata un divario di competenze, non solo di organico

Le conseguenze operative sono già visibili nella postura di sicurezza delle aziende. Una ricerca di ISC2 rileva che l’88% delle organizzazioni ha sperimentato almeno un evento cyber significativo dovuto alla carenza di competenze. Il quadro si complica con l’uso crescente dell’AI sia nei SOC sia da parte degli attaccanti: cambiano gli strumenti, cambiano le tattiche e cambia anche il profilo del professionista richiesto per rispondere agli incidenti.

Secondo Vikram Desai, senior managing director of cyber strategy, risk and architecture di Accenture, l’intelligenza artificiale richiede set di competenze differenti nella sicurezza, ma le persone non li possiedono in modo naturale. Il problema, nella sua analisi, è che poche organizzazioni hanno programmi di formazione capaci di colmare il divario, mentre molte continuano ad aspettarsi che i candidati arrivino già pronti per ruoli sempre più complessi.

Desai definisce questa impostazione un legacy mindset, una mentalità ereditata dal passato. Altri elementi del recruiting tradizionale finiscono per restringere ulteriormente il bacino: l’obbligo generalizzato di una laurea triennale o magistrale, per esempio, viene giudicato da Shawn Murray, ex presidente di ISSA, un approccio non più ragionevole. Le competenze di sicurezza evolvono così rapidamente che un titolo di studio non garantisce, da solo, l’aderenza al ruolo nel momento dell’assunzione.

L’AI cambia il profilo richiesto ai team di sicurezza aziendali

Un altro nodo riguarda il modo in cui vengono scritti e filtrati i requisiti. Quando la definizione del profilo resta soprattutto in mano a team HR o società di recruiting, il risultato può essere una lista troppo lunga e poco realistica di capacità richieste, non sempre allineata a ciò che il CISO deve davvero ottenere da una nuova assunzione. Anche pretendere esperienza pregressa specifica in cybersecurity o IT può diventare un vincolo eccessivo, escludendo profili con competenze trasferibili.

Le pratiche più efficaci guardano invece a candidati cyber-aware, capaci di unire sensibilità per rischio e sicurezza a una comprensione del business. Desai osserva che i CISO più avanzati stanno assumendo persone che conoscono l’impresa oltre alla sicurezza. Murray aggiunge che i responsabili più efficaci guidano direttamente recruiting e retention, definendo le competenze strategiche necessarie e lavorando poi con HR e recruiter per cercarle in modo mirato.

I CISO più efficaci assumono per capacità tecnica e apprendimento continuo

In questa prospettiva entrano anche partnership con community college e centri di formazione, spesso orientati all’esperienza pratica e alla prontezza operativa. La strategia non finisce con l’assunzione: trattenere persone con competenze adeguate permette di creare una panchina di talenti futuri e ridurre costi e tempi di formazione. Correia suggerisce di non aspettare il candidato perfetto, ma di cercare chi dimostra una solida capacità tecnica, anche se copre circa l’80% dei requisiti, insieme a compatibilità culturale e attitudine all’apprendimento.

Articoli Correlati