Andrea Monti, ospite della puntata di Money Vibez, è Direttore Generale di Tinexta Cyber, la business unit del gruppo Tinexta dedicata alla sicurezza informatica, che oggi presidia i perimetri digitali di centinaia di aziende italiane e internazionali. Il gruppo Tinexta conta circa 3.200–3.300 persone, ha una base fortemente italiana con sedi principali tra Roma e Milano e una presenza diffusa sul territorio con 13 sedi, da Padova (oltre 300 persone) a Torino, Roma, Bologna, Lecce, oltre a una grande presenza a Parigi.
Tinexta si sviluppa su tre macro-aree: cyber security (Tinexta Cyber), digital trust (InfoCert, con servizi come PEC e SPID) e Innovation Hub, che supporta le imprese nell’accesso alla finanza agevolata per progetti di innovazione. In questo ecosistema, Monti guida una struttura di 750–800 persone solo nella parte cyber, con team distribuiti, servizi attivi 24 ore su 24 e una responsabilità crescente verso un tessuto produttivo ancora troppo spesso sottovalutante il rischio cyber.
“La sicurezza è umana prima che tecnologica”
Monti parte da un concetto chiave: la cyber sicurezza non è soltanto un tema di tecnologie avanzate, ma soprattutto di persone, comportamenti e consapevolezza. “La sicurezza è un tema complesso perché ovviamente è un tema tecnologico, ma la sicurezza informatica ha una componente umana molto significativa”, spiega.
Per chiarire il paradosso tra sicurezza assoluta e usabilità, Monti usa un esempio semplice: “Se io avessi un pin per sbloccare il telefono di 26 numeri, alla fine sarebbe sicurissimo, però me lo scriverei da qualche parte e quindi diventerebbe insicuro”. È in questo spazio – tra protezione e fruibilità – che entrano in gioco superficialità, disattenzioni, phishing, truffe ben congegnate. “I casi più rischiosi sono quando c’è il phishing o la truffa… fornisco delle credenziali e invalido il processo tecnologico di filtro”, osserva.
Tinexta Cyber protegge i “perimetri di sicurezza” delle aziende con monitoraggio costante, analisi dei canali più esposti e gestione end-to-end degli attacchi: identificazione, blocco, remediation dei danni. Ma per Monti un pezzo fondamentale del lavoro è la formazione: “Una grossa parte del rischio potrebbe essere limitata con un po’ di consapevolezza… una delle attività che facciamo è tanto legata alla formazione sia in azienda sia per i privati”.
Dentro il cuore dei SOC: come si vive un attacco
Nel racconto del Direttore Generale di Tinexta Cyber, un attacco informatico non è solo un evento tecnico: è una maratona organizzativa che coinvolge sistemi, persone, clienti e decisioni critiche in poche ore.
Monti non è un tecnico puro, ma un manager che conosce bene il valore del Security Operation Center (SOC): “Quando lei è agganciato a un SOC vuol dire che tutto il traffico in ingresso e in uscita è monitorato”. I sistemi filtrano ciò che è sospetto, producendo molti falsi positivi che vengono via via scremati fino alla verifica umana. Le aziende più esposte – spesso quelle più visibili – subiscono diversi tentativi di attacco al giorno, quasi tutti fermati prima che si trasformino in incidenti.
Il problema nasce quando passa qualcosa di nuovo: “Circa il 70–75%, forse anche l’80% degli attacchi si basa su vulnerabilità note, per cui esiste già la cura… ma ci sono attacchi nuovi, progettati ad hoc, che i sistemi non riconoscono». In questi casi, la differenza tra avere o non avere un sistema di sicurezza attivo è decisiva: senza difese, “l’attacco passa e ti devasta”, perché tra la penetrazione e il blocco manuale possono passare ore o giorni; con un SOC evoluto, anche se l’attacco passa, il sistema lo individua, lo isola e limita i danni.
La tipologia di attacco fa la differenza operativa. Monti distingue tra:
- Attacchi DDoS alle infrastrutture, spesso di matrice politica o istituzionale, sponsorizzati da governi, che mirano a creare disagio colpendo aeroporti, stazioni, reti televisive, telecomunicazioni, saturando i sistemi fino al crash.
- Attacchi ransomware o “doppio ricatto”, più propriamente criminali, che cifrano i dati per chiedere un riscatto e, sempre più spesso, sottraggono anche informazioni per poi rivenderle o ricattare con la minaccia della pubblicazione.
Il lavoro non finisce con il contenimento: parte la fase di analisi, il “post-mortem”, la lettura dei log, la ricostruzione di come l’attacco si è generato e quali danni ha prodotto, fino alle decisioni su cosa isolare, quali sistemi far ripartire per primi, quali remediation implementare.
Monti racconta un episodio emblematico del costo umano e operativo di questi incidenti: “L’anno scorso ho avuto la seccatura di un grosso incidente su un cliente il 27 dicembre… ero sugli sci, alle 9 del mattino il telefono suona: ‘siamo sotto attacco’”. Da lì si attiva una ‘war room’ h24, con aggiornamenti ogni quattro ore per il direttore generale, chiamato a decidere in tempo reale sulla gestione del danno.
Quando un attacco fa chiudere un’azienda
La sottovalutazione del rischio cyber ha un costo che, in alcuni casi, può essere definitivo. “Le aziende molto spesso hanno la sensazione del ‘succede agli altri’… e poi ci chiamano quando sono disperate”, sintetizza Monti.
Racconta un caso estremo: un’azienda manifatturiera – “una tornitura o lavorazioni metalliche” – viene colpita da un ransomware che lavora silenziosamente per tre-quattro settimane, infiltrandosi anche nei backup settimanali. Quando l’attacco emerge, i dati sono cifrati ovunque: nessun disegno tecnico, nessun progetto, nessun elenco di fornitori o clienti. “Questo imprenditore ci chiamò dal telefono della moglie perché neanche il telefono funzionava”, ricorda.
L’azienda decide di pagare il riscatto, ma non ottiene alcun codice realmente utile per decriptare i dati. Restano fermi sei settimane, senza produrre, consegnare, fatturare. E alla fine non riescono a ripartire: “Non ne sono usciti”, dice Monti, con amarezza.
Qui arriva una posizione netta: “Noi assolutamente sconsigliamo il pagamento del riscatto e da noi il riscatto non è contemplato”. Non solo perché è illegale, ma perché “pagare un riscatto non ti garantisce di risolvere il problema»” La metafora scelta è quella dell’assicurazione RC auto: “È una tassa maledetta, ti assicuri sperando di non usarla mai, ma se per disgrazia succede, meno male che ce l’hai”.
Dark web, identità digitali e il lato invisibile di Internet
L’intervista apre una finestra anche sul lato sommerso della rete. Monti chiarisce la differenza tra deep web e dark web: il deep web è “tutto ciò che non è indicizzato”, immensamente più grande del web pubblico, e comprende i dati che circolano sul cloud senza essere accessibili al grande pubblico. Il dark web è “una piccola partizione del deep web”, uno spazio dove si sconsiglia vivamente di entrare per curiosità.
La metafora è efficace: “È come stare in un bar di Caracas: io vedo chi c’è nel bar di Caracas, ma quelli nel bar di Caracas vedono anche me”. E non è detto che l’incontro virtuale finisca bene, perché “mediamente quelli che sono lì sono più cattivi di me, quindi rischio di avere la peggio”.
Una parte di questo ecosistema si muove anche su canali come Telegram, dove “si trova di tutto” e si comprano o trattano beni e servizi che non dovrebbero essere scambiati. I numeri danno la misura del fenomeno: “Dicono che nel web siano disponibili qualcosa come 15 miliardi di identità digitali… non le ho contate, ma è verosimile”. La mercificazione delle identità è la prova che ogni credenziale compromessa, ogni password debole o riutilizzata, alimenta un gigantesco mercato nero globale.
Gestire una squadra diffusa: persone, voci di corridoio e Lego
La complessità di Tinexta Cyber non è solo tecnologica, ma organizzativa. Con centinaia di persone distribuite tra Cesena, Benevento (dove si trovano i principali SOC), Padova, Torino, Roma, Lecce e altre sedi, la sfida è tenere insieme la comunità aziendale, nonostante distanze e turni h24.
Monti riconosce che “l’elemento più importante e più difficile è la comunicazione”. La distanza alimenta le ‘voci di corridoio’: “Radio macchinetta del caffè è sempre attiva”, dice con ironia, ricordando un vecchio capo che ripeteva: “Chi sa non parla e chi parla non sa”. Per contrastare questo rischio, Monti cerca di essere presente fisicamente il più possibile: “Prevalentemente sono tra Milano, Padova e Roma, ma almeno ogni due-tre mesi devo essere a Cesena, Trieste, Torino, Lecce”, spiega, per dare a tutti “la sensazione di avere il medesimo valore e la medesima presenza”.
I ritmi di riunioni in remoto, però, non aiutano: “Quando sono a Padova, sono nel mio ufficio ma chiuso in riunione: magari due persone sono lì fisicamente, altre cinque collegate da remoto”. Da qui la scelta di creare momenti diversi, più relazionali.
Un esempio è un evento interno costruito intorno ai Lego: “Ci siamo convinti che fosse interessante utilizzare questa modalità… coi Lego ci abbiamo giocato tutti e il gioco diventa strumento per cercare insieme i pezzi, mischiarsi un po’ le mani, passarsi le cose, un modo semplice ma efficace per creare fiducia e collaborazione tra persone che lavorano insieme senza essersi mai viste dal vivo”.
L’agenda di un direttore generale tra Milano, Padova, Roma e Riyad
Sfogliando idealmente la sua agenda, emerge un manager costantemente in movimento. Monti cerca di essere a Padova “più o meno tutte le settimane”, spesso facendo il viaggio in auto, trasformando la tratta Milano–Padova in ufficio mobile con due riunioni durante la guida. Roma è un altro polo stabile, così come le visite periodiche nelle sedi periferiche.
Non mancano le trasferte internazionali. A novembre ha partecipato a un incontro in Arabia Saudita, organizzato dal ministero MIT e dall’ente per lo sviluppo e gli investimenti esteri saudita, dove ha potuto toccare con mano gli investimenti del Paese sulla tecnologia. Cita l’università King Abdullah come “un polo veramente notevole” destinato ad avere una grande espansione.
A questo si aggiungono interviste e presenze televisive, sempre con un obiettivo di fondo: “Fare un po’ di divulgazione e creare consapevolezza”. Monti insiste sul fatto che uno dei problemi peggiori è la sottovalutazione del rischio: molte aziende si convincono che “non succederà a loro” fino al giorno in cui la loro produzione si ferma e “sono disperate”.
Limiti, confini e password: la vita (digitale) privata di un manager
Il confine tra vita professionale e personale, nell’era degli smartphone, è sempre più sottile. Monti lo riconosce apertamente: quando ha iniziato a lavorare, nel 1992, “non c’erano i telefonini, non c’era ancora la mail”, e il venerdì sera, salutando i colleghi, “finiva lì, tornavi lunedì, non c’era mai l’emergenza”.
Oggi ha dovuto negoziare un patto con la famiglia: “Quando sono a Milano, ceniamo insieme… cerco di non uscire tardi dall’ufficio e di essere fuori massimo alle 19:30, così ceno con la mia famiglia”, racconta. Il prezzo è che alcune cose si recuperano dopo cena, ma è un compromesso sostenibile grazie anche ad attività che lo aiutano a “staccare”: andare in bicicletta, in moto, sciare.
Per salvaguardare gli equilibri, Monti ha stabilito una regola chiara anche con i colleghi: “Dalle otto alle venti, libertà; prima delle otto e dopo le venti solo se è veramente urgente”. Una disciplina che però non vale quando c’è un incidente cyber grave, che può esplodere anche il 27 dicembre sulle piste da sci.
Alla domanda – inevitabile – su che password utilizzi, ovviamente non la rivela e si limita a spiegare che in azienda ci sono “controlli piuttosto seri”, con password complesse, cambi periodici ogni sei mesi e autenticazioni aggiuntive, tra cui sistemi ATP e secondi fattori con riconoscimento facciale.
Una carriera tra banche, consulenza e sicurezza
La traiettoria professionale di Monti non è stata predefinita dalla cyber security, anche perché “quando ero piccolo, la cyber security non esisteva”. Laureato in Economia e Commercio alla Bocconi, inizia a lavorare già dal 1992, mentre studia, in un mondo in cui la tecnologia era marginale rispetto ai processi bancari tradizionali.
Dopo un’esperienza in una banca d’investimento, passa alla consulenza in Bain & Company, lavorando spesso all’estero – Medio Oriente, Russia, Stati Uniti – e contribuendo a digitalizzare processi nel mondo finanziario. Lavorando a stretto contatto con banche e assicurazioni, incontra quei settori che per primi hanno sviluppato strutture avanzate di sicurezza informatica. “Mi ci sono portato verso la tecnologia all’interno delle banche… oggi la tecnologia è uno degli aspetti più critici e rilevanti, e la sicurezza lo è ancora di più”, sintetizza.
Una “sliding door” personale passa da una banca pugliese. Mentre segue un piano industriale tra Parigi e la Puglia, il progetto viene supportato dalla Banca d’Italia e dalla banca locale che gli chiede poi di realizzarlo dall’interno. In due ore, con la moglie, decidono di trasferirsi da Milano ad Altamura con le figlie piccole: “Abbiamo vissuto meravigliosamente per cinque anni”, racconta, ricordando con affetto la figlia più piccola, milanese d’origine ma con “accento pugliese” perché ha iniziato a parlare proprio lì.
Guardandosi indietro, Monti definisce il suo percorso “consapevole e coerente”, pur riconoscendo che avrebbe potuto restare in banca o seguire altre strade. Ma la cyber security oggi gli dà qualcosa in più: “Sono appassionato dell’importanza che ha la sicurezza… tutti noi camminiamo con in mano questo telefono e quello è una porta. Vedo come una responsabilità il garantire che ci sia sicurezza dietro quella porta”.
Moto, bici e il lusso di pensare a una sola cosa
La passione per le due ruote è una parte importante della vita di Monti, tanto da diventare metafora del suo modo di intendere il lavoro e la squadra. In ufficio tiene la tuta racing del pilota sponsorizzato dall’azienda – una taglia più piccola della sua, precisa scherzando – per incarnare il parallelismo tra la squadra di un team di moto e quella di una struttura di cyber security.
“Nel caso delle moto c’è un pilota che vince o perde, ma il pilota da solo, senza la squadra e il mezzo, non va da nessuna parte”, spiega. Allo stesso modo, in Tinexta Cyber convivono l’abilità personale, la qualità tecnica e la preparazione collettiva.
La moto è anche il suo spazio di libertà mentale: “Con l’auto vai da qualche parte, la macchina ti ci porta; con la moto a volte non ti interessa nemmeno dove vai”, racconta. Una classica uscita da Milano al Monte Penice – “ci sono un sacco di curve” – basta per dare senso alla giornata: “Arrivi, bevi un caffè e torni indietro”. È quell’ora in pista o su un passo di montagna in cui “pensi veramente solo a quello” che diventa l’unico vero momento di disconnessione in un lavoro costantemente connesso alle emergenze altrui.
Educare alla sicurezza dietro lo schermo
Nel finale dell’intervista emerge il Monti “educatore”, che guarda alla cyber security come a un dovere verso le generazioni connesse. Pensa alle figlie e ai ragazzi che vivono costantemente con uno smartphone in mano: “Quello è una porta”, insiste.
“Mi piace poter pensare di contribuire a mettere un po’ di sicurezza dietro la porta”, dice, sintetizzando in una frase il senso di un mestiere che si gioca, spesso, lontano dai riflettori. È una responsabilità che non riguarda solo i sistemi critici, ma ogni identità digitale, ogni credenziale, ogni scelta apparentemente banale – come la forza di una password – che può aprire o chiudere la strada a un attacco.