La sicurezza informatica riguarda ormai direttamente anche imprese agricole, cooperative, OP e aziende agroalimentari. Attacchi ransomware e furti di dati possono bloccare produzione e sistemi gestionali, con effetti immediati su consegne e rapporti contrattuali.
Con la Direttiva NIS2, il decreto di recepimento italiano e le determinazioni dell'Agenzia per la Cybersicurezza Nazionale, gli obblighi di notifica degli incidenti sono già operativi, mentre da ottobre 2026 entrano pienamente a regime l'adeguamento alle misure minime di sicurezza e la responsabilità diretta di amministratori e dirigenti. Anche le imprese fuori dal perimetro NIS sono coinvolte attraverso i rapporti di supply chain. Di questi temi abbiamo parlato con Gualtiero Roveda, avvocato e consulente in materia di cybersecurity, protezione dei dati e compliance normativa.
L'avvocato Gualtiero Roveda
FP: Molte imprese del comparto ortofrutticolo considerano ancora la cybersecurity una questione tecnica. È corretto?
GR: No. È uno degli equivoci più diffusi. La disciplina introdotta dalla NIS2 impone un vero e proprio cambio di paradigma: la sicurezza informatica non è più un tema meramente tecnico, ma una responsabilità di organizzazione e governance. Riguarda il modo in cui l'impresa gestisce processi, dati, accessi ai sistemi e continuità operativa e, per questo, coinvolge direttamente amministratori e direzione, chiamati a governare il rischio e non solo a delegarlo.
FP: Perché spesso gli investimenti in sicurezza vengono rimandati?
GR: Esiste una tendenza naturale a percepire pochi benefici immediati dagli investimenti in sicurezza, almeno fino a quando non si verifica un incidente informatico. Quando però l'incidente si manifesta, i costi – economici, organizzativi e reputazionali – sono spesso molto superiori a quelli che sarebbero stati necessari per prevenirlo.
FP: Quali sono oggi le minacce più frequenti per la filiera agroalimentare?
GR: Principalmente tre: attacchi ransomware, furto di credenziali tramite e-mail di phishing e incidenti indiretti legati a fornitori IT o partner di filiera compromessi, che si ripercuotono comunque sull'operatività aziendale.
FP: Le imprese non NIS sono escluse dagli obblighi?
GR: Non del tutto. La NIS2 rafforza la sicurezza della supply chain: molte imprese non NIS dovranno dimostrare l'adozione di misure minime di sicurezza per continuare a lavorare con clienti soggetti alla direttiva. La cybersecurity diventa quindi un requisito contrattuale e competitivo.
FP: Cosa cambia concretamente con le scadenze di ottobre?
GR: Da ottobre non sarà più sufficiente dire "ci stiamo lavorando". Le misure di sicurezza dovranno essere operative, documentate e integrate nei processi aziendali, con una responsabilità diretta degli organi amministrativi e direttivi.
FP: Da dove dovrebbe partire oggi un'impresa agroalimentare?
GR: Dal fare ordine: sapere quali asset utilizza (sistemi, software, dati, processi), chi vi accede e con quali responsabilità, definire procedure di gestione degli incidenti e verificare i fornitori IT. La sicurezza informatica non può essere delegata solo all'ufficio tecnico. Per le imprese della filiera agroalimentare, la cybersecurity è ormai una condizione essenziale di continuità operativa e affidabilità commerciale. Prepararsi per tempo significa ridurre rischi e responsabilità; rimandare espone l'impresa e i suoi amministratori a conseguenze sempre più concrete.
