Il 18 ottobre ero a Bergamo per il NoHat 2025, e mi sono trovato a riflettere su quanto sia facile vivere in una bolla quando si lavora con la tecnologia. Pensiamo di conoscere la sicurezza informatica perché sappiamo come funzionano i firewall, come configurare un sistema di autenticazione, come gestire le vulnerabilità in un’applicazione web. E poi senti parlare chi lavora con infrastrutture critiche o con sistemi di intelligenza artificiale, e capisci che il tuo modello mentale copre forse il 20% della realtà.
Non è che quello che sappiamo sia sbagliato. È che il mondo è più vasto e più complicato di quanto tendiamo ad ammettere quando siamo immersi nel nostro ambito specifico.
Cosa ti porti a casa
I sistemi industriali operano con legacy irrinunciabile, finestre di patching trimestrali o annuali, protocolli anni ‘90: le regole della sicurezza applicativa non si trasferiscono.
Prima di giudicare come ‘dovrebbero fare’ le aziende industriali vale la pena ascoltare chi gestisce davvero quei sistemi — il divario è epistemico, non di buona volontà.
La bolla professionale scambia spesso un sottoinsieme per il tutto: riconoscerlo è la prima forma di competenza trasversale.
Domande e risposte
Cos'è il NoHat 2025 e perché conta?
Una conferenza di cybersecurity svoltasi a Bergamo il 18 ottobre 2025, particolarmente focalizzata su OT (Operational Technology) e infrastrutture critiche. È una delle poche occasioni in cui il mondo della sicurezza IT classica (applicazioni web, cloud, SaaS) dialoga davvero con chi protegge impianti industriali, sistemi SCADA, reti elettriche.
Perché chi fa sicurezza web vede solo il 20% della cybersecurity reale?
Perché gli scenari industriali e critici operano con minacce, vincoli e conseguenze diversi: un ransomware in un SaaS produce giorni di downtime; un attacco a un impianto chimico può produrre vittime fisiche. I sistemi sono spesso legacy irrinunciabili, le finestre di patching sono trimestrali o annuali, i protocolli sono gli stessi degli anni ‘90. Il mental model della sicurezza web copre un sottoinsieme ristretto del problema.
Cosa dovrebbe imparare un tech generalista da questa differenza?
Umiltà epistemica. Quello che sappiamo di sicurezza nel nostro ambito non è sbagliato — è parziale. Prima di dare giudizi su “come dovrebbero fare le aziende industriali”, vale la pena di aver parlato con chi quei sistemi li gestisce davvero. Il divario di contesto è più ampio di quello tecnico.