Come il settore bancario, guidato dalla frontiera crypto, sta silenziosamente smantellando uno dei titoli più potenti della cybersecurity, e cosa quel silenzio rivela su chi controlla davvero il rischio digitale.
Un Titolo Non è Mai Solo un Titolo
Nella lunga storia del potere istituzionale, pochi strumenti sono stati più rivelatori del titolo professionale. Quando Napoleone riorganizzò lo Stato francese dopo il 1799, non si limitò a rinominare i ministeri per chiarezza amministrativa. Capiva che i titoli portano con sé la giurisdizione, che il nome di un ruolo definisce il confine della sua autorità , e che cambiare un nome è talvolta il modo più elegante per spostare un confine senza sparare un colpo. Anche l’Impero romano lo sapeva, naturalmente. La transizione da «Dittatore» a «Princeps» sotto Augusto non fu un lavoro di housekeeping semantico. Fu una ristrutturazione della legittimità , vestita nel linguaggio della modestia.
Qualcosa di quella stessa logica silenziosa si sta ora consumando all’interno delle strutture di governance di banche, asset manager e istituzioni finanziarie digitali in tutta Europa e nel mondo. Quasi senza annuncio, e senza nulla della cerimonia che ci si potrebbe aspettare da un cambiamento di tale portata, il titolo di Chief Information Security Officer, il CISO, sta scomparendo dagli organigrammi. Al suo posto, con frequenza crescente, siede una nuova designazione: Head of ICT Risk and Security. Il cambiamento sembra cosmetico. Non lo è.
I titoli portano con sé la giurisdizione. Cambiare un nome è talvolta il modo più elegante per spostare un confine senza sparare un colpo.
Il fenomeno è più visibile, e più significativo, nel mondo del crypto banking e dell’infrastruttura degli asset digitali, dove la pressione regolamentare e la sperimentazione operativa coesistono in un equilibrio instabile e in perpetuo movimento. Ma non è circoscritto a quel perimetro. Le banche tradizionali che operano sotto la supervisione della Banca Centrale Europea, gli istituti di pagamento che navigano tra gli obblighi labirintici del DORA, e gli intermediari finanziari ibridi che siedono all’intersezione tra TradFi e DeFi stanno tutti, ciascuno a modo proprio e al proprio ritmo, compiendo la stessa mossa. Il CISO sta diventando qualcos’altro. La domanda che vale la pena porre, seriamente e senza la difensività riflessiva che tende a circondare questo argomento negli ambienti della cybersecurity, è cosa sia esattamente questo qualcos’altro, e perché stia accadendo proprio adesso.
L’Architetto di un’Altra Epoca
Il ruolo del CISO è, secondo gli standard della governance aziendale, straordinariamente giovane. Le sue origini sono generalmente ricondotte ai primi anni Novanta, con Citibank spesso citata come l’istituzione che per prima formalizzò la posizione in risposta a un incidente di hacking che aveva esposto vulnerabilità fondamentali nel suo sistema di trasferimento internazionale di fondi. Steve Katz, nominato nel 1995, è frequentemente descritto come il primo vero CISO della storia, e i paralleli con il nostro momento attuale non sono banali. Il problema di Citibank nel 1994 non era meramente tecnico. Un hacker russo di nome Vladimir Levin aveva sfruttato le giunture tra sistemi, giurisdizioni e silos organizzativi per sottrarre circa dieci milioni di dollari. La risposta fu la creazione di un ruolo il cui mandato era esplicitamente trasversale, qualcuno capace di stare al di sopra del team tecnologico e di parlare il linguaggio del rischio al business.
Per due decenni, il modello CISO resse. Resse perché il panorama delle minacce era dominato da avversari esterni i cui metodi erano tecnici, e le cui motivazioni erano finanziarie o ideologiche in modi che si mappavano nettamente sul paradigma della sicurezza. Firewall, sistemi di rilevamento delle intrusioni, gestione delle patch e risposta agli incidenti erano la grammatica della disciplina, e il CISO ne era il grammatico capo. Il ruolo guadagnò legittimità , poi prestigio, poi finalmente un posto al tavolo che per anni gli era stato negato.
Ma qualcosa cambiò. Il cambiamento non avvenne di colpo, e non ebbe una causa singola. Fu l’effetto cumulativo di tre pressioni convergenti, ciascuna arrivata più o meno nello stesso momento, ciascuna che spingeva nella stessa direzione.
La prima fu regolamentare. Il Digital Operational Resilience Act dell’Unione Europea, il DORA, divenuto applicabile negli istituti finanziari nel gennaio 2025, introdusse un quadro che rifiuta esplicitamente di trattare la cybersecurity come una disciplina tecnica confinata in un silo tecnico. Il DORA richiede che il rischio ICT sia governato a livello dell’organo di gestione, che il rischio di concentrazione verso terze parti sia mappato e comunicato con lo stesso rigore del rischio di credito o di mercato, e che i test di resilienza siano incorporati nella governance operativa corrente piuttosto che trattati come esercizi periodici di compliance. Il regolamento non menziona il CISO per nome. Il suo silenzio su questo punto è la cosa più eloquente che lo riguarda.
La seconda pressione fu strutturale. L’esplosione delle architetture cloud-native, la proliferazione degli ecosistemi API e la migrazione delle funzioni bancarie core su infrastrutture a registro distribuito avevano reso il perimetro tradizionale, quella linea immaginaria pulita tra interno ed esterno che il modello classico di sicurezza difendeva, non semplicemente poroso, ma concettualmente obsoleto. In un mondo in cui il core banking gira su AWS, i binari dei pagamenti sono infrastrutture condivise e i dati dei clienti fluiscono attraverso diciassette processori terzi prima di raggiungere l’ambiente proprio dell’istituto, l’idea di un Chief Security Officer che sorveglia un perimetro ha senso quanto nominare un custode del ponte levatoio per un edificio che non ha muri.
La terza, e forse la più filosoficamente interessante, fu l’ascesa del crypto. Il settore degli asset digitali non ereditò le tradizioni di governance della finanza convenzionale. Le costruì da zero, improvvisando sotto la pressione regolamentare, assorbendo talenti dalle aziende tecnologiche piuttosto che dalle banche, e portando con sé una concezione fondamentalmente diversa di cosa significhi il rischio quando il tuo asset vive su una blockchain e il tuo accordo di custodia è uno smart contract. In quel contesto, il modello CISO, con la sua enfasi su riservatezza, integrità e disponibilità come tre pilastri del pensiero sulla sicurezza, sembrava non solo insufficiente, ma disallineato.
I Laboratori Crypto
Se volete capire una tendenza di governance prima che diventi mainstream, osservate le crypto bank. Non gli exchange, che operano in un universo regolamentare diverso e hanno le loro peculiari patologie di governance, ma le istituzioni che hanno ottenuto licenze bancarie e operano servizi su asset digitali sotto la supervisione delle autorità nazionali competenti nell’UE e nel Regno Unito. Queste organizzazioni sono, in termini di governance, i laboratori più interessanti del momento attuale.
Istituzioni come Sygnum Bank in Svizzera, Anchorage Digital negli Stati Uniti e le varie entità con licenza MiCA che si stanno stabilendo in Lussemburgo, Irlanda e Germania hanno tutte, in modi diversi, affrontato la stessa domanda: come si governa il rischio informatico in un istituto in cui l’asset stesso è un artefatto crittografico, in cui la chiave privata è simultaneamente l’oggetto di sicurezza e lo strumento operativo, e in cui il confine tra un fallimento della sicurezza e una perdita finanziaria non è un confine, bensì un evento unico?
La risposta a cui molte di esse sono pervenute è quella che dà a questo articolo la sua premessa. Il titolo Head of ICT Risk and Security fa qualcosa che il titolo CISO non ha mai potuto fare. Nomina esplicitamente il rischio come concetto guida, collocando la sicurezza all’interno di quella cornice piuttosto che permettere alla sicurezza di configurarsi come disciplina autonoma. La differenza non è meramente semantica. Rappresenta un riallineamento fondamentale della logica organizzativa che sottende la funzione.
Nelle crypto bank, la chiave privata è simultaneamente l’oggetto di sicurezza e lo strumento operativo. Il modello CISO era stato costruito per un tipo di minaccia diverso.
In una banca tradizionale, sicurezza e rischio sono funzioni parallele che comunicano, collaborano e occasionalmente competono per il budget e l’influenza. Il CISO possiede la sicurezza. Il Chief Risk Officer possiede il rischio. I due si incontrano nei comitati, nei rilievi di audit, nelle comunicazioni regolamentari. Il sistema funziona ragionevolmente bene finché le minacce sono esterne e gli asset sono convenzionali. Ma in un istituto di asset digitali, questa separazione non è semplicemente inefficiente. È pericolosa. Un guasto nella gestione delle chiavi è simultaneamente un incidente di sicurezza, un evento di rischio operativo, una perdita finanziaria e una violazione regolamentare. Non può essere instradato alla coda del CISO il lunedì e al registro dei rischi del CRO il martedì. È tutte queste cose insieme, e la risposta di governance deve essere ugualmente integrata.
Questa è l’intuizione che sta guidando il cambio di titolo, e si tratta di un’intuizione che sta ora migrando dalla frontiera crypto verso le banche convenzionali, sospinta dal quadro integrato di rischio ICT del DORA e accelerata dalla natura sempre più ibrida dell’infrastruttura dei servizi finanziari.
Cosa Vogliono Davvero i Regolatori
Vale la pena leggere attentamente il testo regolamentare, perché il cambiamento nel linguaggio a livello regolamentare ha preceduto, e in qualche misura determinato, il cambiamento nei titoli a livello istituzionale. Le linee guida dell’Autorità Bancaria Europea sulla gestione del rischio ICT e di sicurezza, che hanno preceduto il DORA e sono state incorporate nel suo quadro, parlano sistematicamente di rischio ICT piuttosto che di cybersecurity. La distinzione è deliberata. Il rischio ICT, nel lessico regolamentare, è una categoria che include le minacce informatiche ma comprende anche la disponibilità dei sistemi, l’integrità dei dati, la dipendenza da terze parti, i guasti nella gestione dei cambiamenti e l’intero spettro delle perturbazioni operative che possono derivare dalla tecnologia senza che sia coinvolto alcun attore avversariale.
L’articolo 5 del DORA, che stabilisce i requisiti di governance per la gestione del rischio ICT, pone la responsabilità esplicitamente in capo all’organo di gestione. Richiede che l’organo di gestione definisca, approvi e supervisioni il quadro di gestione del rischio ICT. Richiede che rimanga informato dei principali incidenti legati all’ICT. Richiede che stanzi un budget adeguato per la resilienza ICT. In nessun punto il testo crea un ruolo di governance denominato CISO o suggerisce che tale ruolo sia richiesto o anche solo particolarmente rilevante. Quello che crea, di fatto, è la domanda organizzativa di una figura capace di tradurre il rischio ICT nel linguaggio della governance manageriale, e quella figura, nelle istituzioni che stanno rispondendo in modo più ponderato alle esigenze del DORA, è il Head of ICT Risk and Security.
Il parallelo con ciò che accadde al ruolo del Chief Compliance Officer negli anni successivi alla crisi finanziaria del 2008 è istruttivo. Prima della crisi, la compliance in molte banche era una funzione legale travestita da titolo C-suite. Dopo la crisi, sotto la pressione di Basilea III, del processo SREP e della più ampia espansione delle aspettative regolamentari, la compliance si trasformò in una vera e propria disciplina di seconda linea di difesa con reale capacità analitica e genuina influenza manageriale. Il CCO smise di essere un giurista che leggeva regolamenti e divenne un professionista del rischio che governava i comportamenti. Qualcosa di analogo sta ora accadendo alla funzione di sicurezza, e il cambio di titolo è la superficie visibile di quella trasformazione più profonda.
La Geometria del Potere nel Nuovo Ruolo
C’è una dimensione politica in tutto questo che merita riconoscimento, anche se tende a mettere a disagio i professionisti del settore. Il titolo CISO, con tutto il suo prestigio nella comunità della cybersecurity, ha una debolezza strutturale visibile da anni a chiunque presti attenzione. Nella maggioranza degli istituti finanziari, il CISO riporta al CTO o al CIO. In alcune organizzazioni più illuminate, esiste una linea tratteggiata verso il CEO o il Consiglio di Amministrazione. Ma nella pratica, l’autorità del CISO è autorità tecnologica, il che significa che è delimitata dagli stessi limiti strutturali che vincolano ogni altra funzione tecnologica: la tendenza a essere convocata dopo che la decisione di business è già stata presa, la difficoltà di esercitare un potere di veto sulle priorità commerciali, e la fondamentale sfida di tradurre il rischio tecnico in un linguaggio che risuoni a livello di board.
Il Head of ICT Risk and Security, quando correttamente configurato, è una funzione di seconda linea di difesa. Non si tratta di una distinzione banale. Nel modello delle tre linee di difesa che governa la gestione del rischio negli istituti finanziari regolamentati, la seconda linea non gestisce il rischio direttamente. Definisce il quadro, monitora la conformità e fornisce una sfida indipendente alla prima linea. Questo significa che il Head of ICT Risk and Security, a differenza del CISO, ha un mandato di governance esplicitamente indipendente dalla funzione tecnologica. La linea di riporto conduce tipicamente al Chief Risk Officer o, in alcune configurazioni, direttamente al CEO o al Comitato Rischi del Consiglio. L’autorità che deriva da quel posizionamento è qualitativamente diversa da qualsiasi cosa il modello CISO abbia mai offerto.
Esiste un precedente per questo tipo di evoluzione della governance nella storia del rischio di credito. Prima degli anni Novanta, le decisioni creditizie nella maggior parte delle banche erano prese da banchieri che originavano e approvavano i prestiti. Il concetto di una funzione di rischio di credito indipendente, dotata dell’autorità di sfidare e annullare le decisioni commerciali di prestito, era genuinamente controverso quando fu introdotto. Oggi è considerato fondamentale. La stessa logica si sta ora applicando al rischio ICT, con la stessa implicazione: che le persone che costruiscono e gestiscono i sistemi tecnologici non possono essere le stesse persone che valutano e governano i rischi che quei sistemi generano.
Il Costo Umano del Rebranding
Nulla di tutto questo è privo di costi, e la dimensione umana della transizione non dovrebbe essere elusa nell’interesse di una chiarezza teorica. La professione della cybersecurity ha trascorso tre decenni a costruire il CISO come un costrutto di governance credibile. Migliaia di professionisti hanno investito in certificazioni, percorsi di carriera e identità professionali costruite attorno a quel titolo. Il CISSP, il CISM, le varie certificazioni di Lead Auditor ISO 27001, tutte erano state progettate per un mondo in cui il modello CISO era la destinazione. Il suggerimento che la destinazione si sia spostata non è accolto con entusiasmo nelle comunità professionali dove il titolo CISO rappresenta, per molti, il culmine di una lunga carriera.
Esiste anche una preoccupazione legittima riguardo alla perdita di competenze, o più precisamente a ciò che accade all’expertise tecnico profonda quando la funzione che la ospitava viene riformulata come disciplina di governance del rischio. Il ruolo CISO, nella sua migliore espressione, combinava genuina profondità tecnica con capacità di governance. Il Head of ICT Risk and Security, se non progettato con cura, può diventare un ruolo di risk management che ha perso il contatto con le realtà tecniche che dovrebbe governare. Questo non è un rischio ipotetico. È già visibile in alcuni istituti che hanno effettuato la transizione frettolosamente, sotto pressione regolamentare, senza aver adeguatamente riflettuto sui requisiti di competenza del nuovo ruolo.
Le istituzioni più attente stanno affrontando il problema definendo il Head of ICT Risk and Security come un ruolo a doppia competenza, che richiede sia una profonda comprensione tecnica dei sistemi ICT sia una dimostrata capacità nella governance dei framework di rischio. Quella combinazione è rara, e il mercato dei professionisti che la possiedono genuinamente è considerevolmente più ristretto del mercato dei puri tecnologi o dei puri risk manager. Le implicazioni salariali di quella scarsità stanno iniziando a manifestarsi nelle survey di compensation, come le tabelle tecniche comparative nella parte finale di questo articolo tenteranno di quantificare.
MiCA, NIS2 e la Convergenza dell’Architettura Regolamentare
L’ambiente regolamentare che sta accelerando questo cambiamento di governance non si limita al DORA. Il Regolamento sui Mercati in Cripto-Attività , MiCA, divenuto pienamente applicabile nel dicembre 2024, ha introdotto requisiti di governance per i fornitori di servizi su cripto-attività e per gli emittenti di cripto-attività esplicitamente modellati sul quadro del DORA. L’articolo 69 del MiCA richiede che i CASP istituiscano e mantengano sistemi e procedure efficaci per la gestione del rischio ICT. Le linee guida delle autorità competenti emanate sotto il MiCA dall’Autorità Europea degli Strumenti Finanziari e dei Mercati rispecchiano il linguaggio del DORA in modo quasi identico, inclusa l’enfasi sulla responsabilità dell’organo di gestione e l’integrazione del rischio ICT con il rischio operativo.
Il NIS2, la direttiva riveduta sulla sicurezza delle reti e dei sistemi informativi, aggiunge un ulteriore livello. La sua attuazione negli Stati Membri dell’UE nel corso del 2024 e del 2025 ha introdotto una serie di obblighi per le entità nel settore finanziario e nelle infrastrutture critiche in senso più ampio. Il NIS2 ritiene gli organi di gestione personalmente responsabili per i guasti nella governance del rischio cybersecurity. Questa dimensione di responsabilità personale, che era largamente assente dai precedenti quadri regolamentari, è forse il singolo fattore trainante più forte della ridisegnazione della governance che la transizione da CISO a Head of ICT Risk rappresenta. Quando un membro del consiglio può essere personalmente sanzionato per un guasto nella governance della cybersecurity, l’appetito per una struttura di governance chiara e basata sul framework di rischio per la funzione aumenta in modo drammatico.
Quello che sta emergendo, attraverso DORA, MiCA, NIS2 e le linee guida EBA, è un’architettura regolamentare coerente che tratta il rischio ICT come una categoria di rischio di primo livello, equivalente in status di governance al rischio di credito, al rischio di mercato e al rischio di liquidità . In tale architettura, la figura di governance logica non è un responsabile della sicurezza, bensì un responsabile del rischio. Il cambio di titolo è, in questa luce, non un capriccio aziendale, ma un’inevitabilità regolamentare.
L’Eccezione Americana
Vale la pena soffermarsi sulla dimensione transatlantica, perché gli Stati Uniti presentano un quadro genuinamente diverso, e il contrasto è illuminante. Le istituzioni finanziarie americane non hanno, in generale, effettuato questa transizione di governance. Il CISO rimane il modello dominante nel banking statunitense, e il quadro regolamentare, costruito attorno alle linee guida OCC, ai manuali FFIEC e al NIST Cybersecurity Framework, continua a trattare la sicurezza come lente concettuale primaria piuttosto che con l’approccio integrato di rischio ICT preferito dalla regolamentazione europea.
Questo non è accidentale. La filosofia regolamentare americana è stata storicamente più a suo agio con standard di sicurezza settoriali e tecnologicamente centrati piuttosto che con l’approccio integrato di governance del rischio che l’UE va sviluppando fin da Basilea II. Le regole della SEC sulla disclosure della cybersecurity, adottate nel 2023, hanno spinto nella direzione della responsabilità di governance, richiedendo alle società quotate di comunicare gli incidenti cybersecurity rilevanti e di descrivere i propri processi di gestione del rischio cyber. Ma si fermano ben al di qua del quadro integrato di rischio ICT che il DORA impone.
Il risultato è una divergenza transatlantica nell’architettura di governance sempre più visibile nelle strutture delle banche globali che operano in entrambe le giurisdizioni. JPMorgan, Goldman Sachs e i loro pari mantengono strutture CISO nelle loro entità statunitensi, adattandosi al contempo ai framework di governance del rischio ICT nelle filiali europee. L’onere di gestire due filosofie di governance simultaneamente non è banale, e ci sono segnali che alcune istituzioni stiano iniziando a interrogarsi se il modello europeo possa offrire vantaggi anche al di fuori del contesto regolamentare in cui è nato.
Una Coda Filosofica: Il Rischio Come Modo di Conoscere
Sotto tutto questo giace una domanda più profonda, che si trova all’intersezione tra filosofia della governance ed epistemologia, e che vale la pena portare in superficie anche se non può essere pienamente risolta in un singolo articolo. Il modello CISO è, nella sua essenza, un modello costruito attorno al concetto di minaccia. Organizza la conoscenza e la risposta attorno ad avversari, vulnerabilità e attacchi. Il suo vocabolario è mutuato dalla cultura militare e dell’intelligence, e questo prestito non è casuale. Il CISO pensa in termini di difensori e attaccanti, di perimetri e violazioni, di rilevamento e risposta.
Il modello del rischio ICT, al contrario, è costruito su una base epistemologica diversa. Il rischio, nel senso tecnico usato dai risk manager negli istituti finanziari, è una distribuzione di possibili esiti con probabilità e gravità associate. La domanda non è «chi ci sta attaccando?», bensì «qual è la probabilità che i nostri sistemi tecnologici non riescano a consegnare gli esiti che il nostro modello di business e i nostri obblighi regolamentari richiedono, e qual è la grandezza finanziaria e reputazionale di quel fallimento?». È una cornice più astratta, e per certi versi meno visceralm ente soddisfacente. Ma è più completa, e più onesta riguardo alla natura effettiva delle minacce che le istituzioni si trovano oggi ad affrontare, in cui i rischi più rilevanti spesso non sono affatto avversariali, ma emergono dalla complessità , dall’interdipendenza e dalle proprietà emergenti di sistemi che nessun singolo attore comprende pienamente.
I rischi più rilevanti spesso non sono affatto avversariali. Emergono dalla complessità , dall’interdipendenza e dalle proprietà emergenti di sistemi che nessuno comprende pienamente.
Il filosofo della scienza Karl Popper osservò una volta che la crescita della conoscenza consiste essenzialmente nella correzione degli errori. La transizione da CISO a Head of ICT Risk and Security è, in quel senso, una correzione, non un rifiuto di ciò che il modello CISO ha conquistato, ma il riconoscimento che la cornice che offriva era troppo stretta per l’ambiente di rischio che è emerso. È il tipo di correzione che le istituzioni faticano a compiere perché richiede di ammettere, almeno implicitamente, che l’architettura precedente era inadeguata. La via di minor resistenza è sempre aggiungere un nuovo strato piuttosto che ripensare le fondamenta. Le istituzioni che stanno compiendo questa transizione stanno scegliendo, a loro merito, il percorso più difficile.
Appendice Tecnica: Architettura di Governance Comparata, Competenze e Compensation
La sezione seguente passa dall’analisi ai dati. Si basa su documenti regolamentari pubblicamente disponibili, survey di compensation pubblicati da Robert Half, Hays Financial Services e l’Information Systems Security Association, comunicazioni organizzative in bilanci e segnalazioni regolamentari, e l’osservazione professionale diretta dell’autore sulle strutture di governance di istituti finanziari europei.
Tabella 1. CISO vs Head of ICT Risk & Security: Confronto dell’Architettura di Governance
| Dimensione | Modello CISO | Head of ICT Risk & Security |
| Linea di Difesa | 1° linea (integrata nella funzione tecnologica) | 2° linea (funzione di rischio indipendente) |
| Linea di Riporto Tipica | CTO / CIO, con linea tratteggiata verso CEO | CRO o direttamente a CEO / Comitato Rischi del CdA |
| Mandato Primario | Proteggere sistemi e dati dalle minacce | Governare il rischio ICT nel rispetto del risk appetite aziendale |
| Riferimento Regolamentare | ISO 27001, NIST CSF, linee guida settoriali | DORA Artt. 5-16, Linee Guida EBA ICT, NIS2, MiCA Art. 69 |
| Autorità di Budget | Tipicamente limitata; richiede business case | Allocazione diretta dal framework di risk appetite |
| Autorità di Sfida verso la 1° Linea | Informale; dipendente dalle relazioni | Formale; incorporata nel mandato di governance |
| Interazione con il CdA | Reporting periodico; escalation incidenti | Regolare; membro o advisor del Comitato Rischi |
| Prevalenza nelle Crypto Bank UE (2025) | In declino: circa 34% degli istituti campionati | In crescita: circa 61% degli istituti campionati |
| Prevalenza nelle Banche Tradizionali UE (2025) | Ancora dominante: circa 58% | In aumento: circa 38% |
Fonti: Survey organizzativi EBA 2024, ISACA State of Cybersecurity Report 2025, survey professionale dell’autore, analisi dati pubblici LinkedIn.
Tabella 2. Matrice delle Competenze Core: Richieste vs Desiderabili
| Dominio di Competenza | CISO (Richiesta = R) | Head ICT Risk & Security (Richiesta = R) |
| Architettura sicurezza reti e endpoint | R | Desiderabile |
| Threat intelligence e risposta agli incidenti | R | R |
| Progettazione framework rischio ICT (DORA, EBA) | Desiderabile | R |
| Test di resilienza operativa (TLPT, TIBER-EU) | R (delivery tecnico) | R (supervisione governance) |
| Gestione rischio terze parti (TPICR) | Parziale | R |
| Comunicazione del rischio a livello board | Vantaggiosa | R |
| Protocolli custodia asset crittografici | Settore-specifico | R (nelle crypto bank) |
| ISO 27001 / 22301 Lead Auditor | R o fortemente preferita | Vantaggiosa |
| Certificazione CISSP / CISM | R o fortemente preferita | Riconosciuta ma non decisiva |
| GRC tooling e reporting regolamentare | Vantaggiosa | R |
Mappatura competenze elaborata dagli RTS DORA, dalle Linee Guida EBA ICT 2023 e dall’ISACA Competency Framework 2024.
Tabella 3. Benchmark Retributivi, Settore Finanziario Europeo (2025, EUR)
| Ruolo / Contesto | Base Mediana (EUR) | Massimo Rilevato | Range Bonus | Stima Total Comp. |
| CISO, banca tradizionale (>10mld AUM) | 195.000 | 260.000 | 15–30% | 224.000–338.000 |
| CISO, fintech / scale-up | 150.000 | 210.000 | 10–25% + equity | 165.000–262.500 |
| Head of ICT Risk & Security, banca regolamentata | 215.000 | 310.000 | 20–40% | 258.000–434.000 |
| Head of ICT Risk & Security, crypto bank (licenza MiCA) | 230.000 | 340.000 | 20–40% + token | 276.000–476.000 |
| Deputy CISO / ICT Risk Manager sr., banca UE | 130.000 | 175.000 | 10–20% | 143.000–210.000 |
Fonti: Hays Financial Services Salary Guide 2025, Robert Half Technology Salary Guide 2025, LinkedIn Salary Insights Settore Finanziario UE Q4 2025. I valori sono indicativi. Le componenti token/equity sono escluse dal total comp per comparabilità .
Tabella 4. Mappatura Regolamentare: dove è Ancorato Ciascun Titolo
| Regolamento | Menziona il CISO | Richiede Funzione Rischio ICT | Responsabilità Organo di Gestione |
| DORA (UE 2022/2554) | No | Sì (Artt. 5–16) | Sì (Art. 5.2) |
| MiCA (UE 2023/1114) | No | Sì (Art. 69) | Sì (Art. 69.3) |
| NIS2 (UE 2022/2555) | No | Sì (Art. 21) | Sì, responsabilità personale (Art. 20) |
| Linee Guida EBA ICT & Security (EBA/GL/2019/04) | Solo riferimento implicito | Sì | Sì |
| NIST CSF 2.0 (USA) | Citato | Parziale (funzione Govern) | Raccomandato, non obbligatorio |
| SEC Cybersecurity Disclosure Rules (2023) | Citato nelle linee guida | Implicito | Sì (disclosure della supervisione) |
| ISO 27001:2022 | Nessun riferimento formale | Clausola 6 (risk planning) | Clausola 5 (leadership) |
Analisi regolamentare basata sui testi legislativi ufficiali UE, gli standard tecnici EBA ed ESMA e le norme finali SEC. Verificata su fonti ufficiali pubbliche al Q1 2026.
La Mappa Non è il Territorio
Augusto mantenne il Senato Romano. Sapeva meglio che abolirlo. Quello che fece fu cambiare il significato reale dell’autorità del Senato, reindirizzando il potere pur preservando la forma che conferiva al potere la sua legittimità . Il CISO non viene abolito. In molte istituzioni viene mantenuto, spesso con la stessa persona nel ruolo, talvolta con una lieve variazione del titolo, talvolta con una configurazione dual-hat. Ma la struttura di autorità attorno ad esso sta cambiando, e la cornice attraverso cui viene governato il rischio digitale viene ricostruita su fondamenta diverse.
La silenziosa migrazione del settore finanziario dal CISO al Head of ICT Risk and Security è uno dei cambiamenti di governance più significativi del decennio in corso, e ha ricevuto una frazione dell’attenzione che meriterebbe, in parte perché sta avvenendo gradualmente, in parte perché le istituzioni che lo stanno guidando preferiscono non richiamare l’attenzione sull’implicito riconoscimento di inadeguatezza precedente che esso rappresenta, e in parte perché la stampa specializzata di cybersecurity è, comprensibilmente, riluttante a riferire del ridimensionamento di un titolo che ha celebrato per anni.
Ma la mappa sta cambiando. E in termini geopolitici, tanto quanto in termini di governance aziendale, comprendere un cambiamento nella mappa è il presupposto per comprendere il territorio che la mappa descrive. Le istituzioni che coglieranno questo cambiamento per prime, che costruiranno strutture di governance genuinamente adatte all’ambiente di rischio integrato che DORA, MiCA e NIS2 hanno collettivamente creato, non saranno semplicemente conformi. Saranno meglio governate, meglio protette e, alla fine, meglio attrezzate per sopravvivere alla prossima crisi che nessuno ha ancora pensato di nominare.
Raffaele Di Marzio
Executive Cybersecurity Consultant
raffaele.dimarzio@cyberium.limited
Sull’autore:
🇮🇹 Amazon.it: https://www.amazon.it/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇫🇷 Amazon.fr: https://www.amazon.fr/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇬🇧 https://www.amazon.com/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇪🇸 https://www.amazon.es/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4