Chain of Trust: la sicurezza come valore condiviso

Quando si parla di soluzioni di Tesoreria aziendale, la conversazione ruota spesso attorno a funzionalità, integrazioni e performance. Ma c’è un tema che sta diventando sempre più centrale, e che Piteco ha scelto di mettere al centro della propria strategia: la sicurezza informatica come valore condiviso.

Non un vincolo. Non un costo aggiuntivo. Sicurezza come servizio.

**Il punto di partenza: quanto costa non investire in sicurezza?**

La domanda sbagliata che molte aziende si pongono è “quanto spendiamo in sicurezza?”. La domanda giusta, invece, è “qual è il costo atteso del non investire?”

Secondo l’IBM Cost of a Data Breach Report 2024, il costo medio globale di una violazione dei dati ha raggiunto $4,88 milioni, il valore più alto mai registrato, con un incremento del 10% rispetto all’anno precedente. Allo stesso tempo, il 41% dei CISO dichiara di avere a disposizione budget insufficienti per la sicurezza informatica.

Eppure le organizzazioni che adottano AI e automazione nella sicurezza risparmiano in media $2,22 milioni per singolo breach rispetto a quelle che non lo fanno. La sicurezza proattiva, quindi, non erode valore: lo genera.

La sicurezza come bene di ecosistema

Un concetto spesso sottovalutato è che la cybersecurity non è solo un affare privato tra un’azienda e i propri sistemi. Ha le caratteristiche di un bene pubblico impuro: quando un’organizzazione investe in sicurezza, genera esternalità positive per l’intero ecosistema a cui appartiene. E vale anche il contrario: una violazione non resta confinata all’azienda colpita, ma si propaga lungo tutta la supply chain.

Blocco operativo dei partner, esposizione di dati condivisi, perdita di fiducia, effetto domino sugli impatti finanziari: questi sono i costi reali di un incidente di sicurezza, che vanno ben oltre i perimetri dell’organizzazione direttamente coinvolta.

Ecco perché il modello che Piteco ha scelto è quello della Chain of Trust – una catena di responsabilità condivisa tra fornitore e cliente, progettata fin dall’inizio per proteggere l’intero network, non solo il singolo nodo.

Da resiliente ad antifragile

C’è una distinzione importante tra resilienza e antifragilità – un concetto reso celebre dal pensatore Nassim Nicholas Taleb.

La resilienza è la capacità di resistere agli shock e tornare allo stato precedente. L’antifragilità va oltre: è la capacità di migliorare e rafforzarsi proprio grazie agli stress subiti. I sistemi antifragili non si limitano a sopravvivere agli attacchi: ne traggono vantaggio, trasformando ogni minaccia in un’opportunità di rafforzamento.

In ambito cybersecurity, è la direzione verso cui andare. Questo si traduce in un approccio fatto di apprendimento continuo dagli incidenti, chaos engineering, simulazioni di stress e analisi post-evento. Ogni episodio critico diventa un mattone su cui costruire difese più robuste.

La risposta di Piteco: sicurezza by design nel SaaS

Piteco gestisce ogni anno disposizioni di pagamento per un controvalore superiore a €300 miliardi. Oltre il 30% delle aziende quotate in Italia si affida alle sue soluzioni per la Tesoreria, gli incassi, i pagamenti e la pianificazione finanziaria. Questa scala di responsabilità rende la sicurezza non un’opzione, ma una condizione costruttiva del valore offerto.

Concretamente, la piattaforma SaaS Piteco è progettata attorno a un insieme di misure strutturali:

Infrastruttura e accesso

Segregazione completa dei tenant
Accesso amministrativo riservato con autenticazione multi-fattore (MFA) e Privileged Access Management (PAM)
Firewall-as-a-Service (FWaaS), EDR e logging degli amministratori come standard mandatori
Monitoraggio continuo tramite SOC attivo 24×7

Protezione del dato e continuità operativa

Backup gestito end-to-end su sedi geograficamente separate
Snapshot immutabili anti-ransomware
Disaster Recovery geografico con RPO e RTO contrattualizzati
Test di DR e piani di recupero formalizzati e verificati

Governance del servizio

Ruoli chiari e distinti tra chi decide, chi opera e chi controlla
Service Desk strutturato con processi ITIL
SLA misurabili su disponibilità e tempi di risposta
Report periodici e trasparenza continua verso il cliente

Il framework tecnologico: Zero Trust e oltre

Dal punto di vista architetturale, Piteco adotta un approccio Zero Trust: nessun accesso è considerato sicuro per default, ogni connessione viene verificata continuamente, la rete è micro-segmentata e la crittografia end-to-end è la norma tra i servizi.

A questo si affianca l’adozione di Infrastructure as Code (IaC) – configurazioni con versioning tracciato, verificabilii e riproducibili – e di una Secure Software Supply Chain basata su SBOM (Software Bill of Materials), scanning automatico delle vulnerabilità nelle dipendenze e firma digitale degli artefatti.

Compliance non come vincolo, ma come vantaggio

Le normative europee , come DORA, NIS2, e gli standard di settore come lo SWIFT Customer Security Controls Framework (CSCF), non sono solo obblighi da soddisfare ma rappresentano una risposta razionale al sottoinvestimento sistemico in sicurezza: fissano standard minimi che obbligano le organizzazioni a internalizzare i costi che una propria violazione imporrebbe a terzi.

Piteco non si limita a rispettare questi standard: li utilizza come leva per costruire un vantaggio competitivo sostenibile. La differenziazione non sta nel perimetro normativo – quello è uguale per tutti – ma nella profondità della governance condivisa con i clienti e nella velocità di adattamento al threat landscape, che evolve ogni 90 giorni.

Da fornitore a partner di responsabilità

Il cambiamento più profondo che Piteco propone non è tecnologico, è culturale.

L’infrastruttura IT non è più un elemento di supporto al business – è parte della sua supply chain. Se la supply chain digitale si ferma, si ferma il business. Questo significa che scegliere un provider di soluzioni di Tesoreria non è acquistare tecnologia: è affidare una funzione critica a un partner che risponde del risultato.

Responsabilità operative formalizzate, SLA chiari e misurabili, riduzione del rischio di dipendenza da risorse interne: questi sono gli elementi di una relazione matura, basata sulla governance e non sull’emergenza.

Un vantaggio che non si replica

In un mercato in cui sempre più provider soddisfano i requisiti di compliance base, la vera differenziazione si costruisce su tre livelli sovrapposti:

License to operate – certificazioni, controlli tecnici di base, compliance normativa: tutto necessario, ma non sufficiente.
Security as Differentiation – co-design dei controlli con i clienti, continuous attestation, reputazione costruita nel tempo.
Security as Strategic Moat – capacità organizzative difficili da replicare, ruolo di nodo indispensabile nell’ecosistema, governance degli standard di settore.

La maggior parte delle aziende investe solo nel primo strato. Piteco ha scelto di spingersi nella soluzione di frontiera al livello 3 strategico.

Conclusione

La sicurezza informatica, nel modello Piteco, non è un costo che si aggiunge al servizio. È il servizio stesso.

Non è solo una scelta tecnologica. È una scelta organizzativa, strategica, e – in ultima analisi – etica: proteggere i dati e i processi finanziari dei propri clienti significa proteggere l’intero ecosistema di cui si è parte.

In un mondo in cui le minacce evolvono ogni giorno, la domanda da porsi non è solo quanta sicurezza adottare. È con chi costruirla. Scegliere il partner giusto significa scegliere qualcuno che condivide la stessa visione della responsabilità.

Hai domande sulla sicurezza e la compliance nelle soluzioni Piteco? Contatta il nostro team all’indirizzo compliance@piteco.it

Ti sei perso l’ultimo webinar “Chain of Trust: la sicurezza come valore condiviso tenuto da Giuseppa Carlino, Head of Security & Compliance di Piteco?

Lo trovi nella nostra area riservata! Qui potrai rivedere il webinar completo!

Iscriviti!

Cookie	Duration	Description
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Duration	Description
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.