Molti anni fa si chiamava “informatico” ed era guardato più con curiosità che con timore. Oggi è diventato cyber e la Systemic Risk Survey della Banca d’Inghilterra dice che il tempo della curiosità è finito, lasciando il posto a quello della “presa d’atto”. Nel 2025, per la maggioranza degli intervistati, gli attacchi cyber rappresentano la principale minaccia alla stabilità del sistema finanziario britannico. Non uno dei rischi: il primo.
Il dato più interessante non è il risultato finale, ma il percorso. Dieci anni fa soltanto la metà degli operatori percepiva il cyber come una minaccia reale. Oggi la percentuale è salita all’86 per cento. Non è un cambio di umore, ma una presa d’atto progressiva. Il rischio non è esploso all’improvviso: ha lavorato in silenzio, accumulando pressione, fino a diventare impossibile da ignorare.
A rendere visibile ciò che per anni è rimasto astratto hanno contribuito episodi molto concreti e recenti. Gli attacchi a Mark & Spencer e Jaguar Land Rover, con danni stimati in oltre due miliardi di sterline, hanno avuto un effetto chiarificatore. Quando il cyber colpisce marchi industriali storici, smette di sembrare una questione per addetti ai lavori e diventa una voce di bilancio. Non è più un incidente informatico, è un problema di continuità operativa, reputazione, fiducia.
Il quadro si completa con un altro numero, forse ancora più significativo. Il National Cyber Security Centre segnala che gli incidenti con impatto nazionale sono passati dai 62 nel 2023 ai 200 nel 2025. Qui non si misura la gravità di un singolo evento, ma la frequenza sistemica. È la differenza tra un evento eccezionale e una condizione strutturale. Quando gli incidenti triplicano, il problema non è cosa è andato storto, ma cosa abbiamo dato per scontato.
Il sistema finanziario vive di connessioni, velocità, interdipendenze. È efficiente proprio perché è fragile. Ogni processo digitalizzato riduce tempi e costi, ma amplia la superficie d’attacco. Ogni integrazione migliora l’esperienza, ma introduce un nuovo punto di vulnerabilità. Non è una contraddizione: è il prezzo dell’automazione spinta.
La crescita della percezione del rischio cyber non racconta una maggiore paura, ma una maggiore lucidità. Gli operatori iniziano a comprendere che non si tratta di un rischio “tecnologico”, bensì sistemico. Non è un problema da delegare all’IT, ma una variabile che incide sulla stabilità complessiva, come la liquidità o il credito.
C’è un equivoco di fondo che questa indagine contribuisce finalmente a smontare: pensare che la sicurezza informatica serva a evitare gli incidenti. Serve, piuttosto, a renderli governabili. Gli attacchi non sono un’anomalia del sistema digitale, ne sono una componente strutturale. Ignorarli non li riduce, li amplifica.
Forse la notizia non è che il rischio cyber sia arrivato al primo posto. La vera notizia è che, dopo anni di retorica rassicurante, qualcuno ha finalmente smesso di chiamare “imprevisto” ciò che è ormai una costante. Perché un sistema diventa instabile non quando viene colpito, ma quando continua a fingere di non sapere perché.