Il burnout tra i responsabili della sicurezza informatica non è soltanto una questione personale: rappresenta una minaccia concreta per l’intera organizzazione. Secondo il report Proofpoint 2026 Voice of the CISO, il 63% dei leader della sicurezza ha vissuto o osservato episodi di burnout nell’ultimo anno, un dato che segnala una problematica strutturale. Il fenomeno deriva da una combinazione di pressioni continue, aspettative elevate e carenze di risorse che rendono il ruolo insostenibile per molti.
Dietro alle statistiche ci sono storie di leader che faticano a stabilire confini tra responsabilità e potere decisionale. Il problema tocca non solo il singolo ma anche la capacità dell’azienda di mantenere continuità e qualità nelle decisioni di rischio. In questo articolo analizziamo cause, segnali, conseguenze economiche e possibili soluzioni pratiche per disegnare un lavoro di sicurezza che sia sopportabile e sostenibile.
Perché il ruolo mette sotto pressione
La figura del CISO è spesso chiamata a svolgere più mansioni contemporaneamente: stratega, manager operativo, consulente del board, gestore delle crisi e referente per la compliance. Questa molteplicità trasforma il compito in un insieme di ruoli che pochi altri professionisti affrontano. A ciò si aggiunge la natura sempre attiva delle minacce, come truffe basate su intelligenza artificiale e deepfake, che ampliano l’attack surface e chiedono risposte rapide e costanti, mentre budget e organico restano limitati.
Controllo limitato e responsabilità totale
Un elemento centrale è la discrepanza tra responsabilità e potere reale: molti CISO sono ritenuti responsabili del rischio aziendale complessivo ma non dispongono di influenza su tutte le funzioni che impattano la sicurezza.
Questa disallineamento genera frustrazione e stress cronico. Quando si verifica un incidente è il leader della sicurezza a gestire le conseguenze pubbliche e regolatorie, con il rischio di diventare capro espiatorio in realtà con una cultura della colpa.
Impatto sull’organizzazione
Il burnout non è solo un problema umano: porta a ricadute operative e strategiche. L’instabilità nella leadership della sicurezza favorisce programmi di sicurezza frammentati e reattivi, con progetti che partono e si fermano frequentemente. Il risultato sono gap di controllo, ritardi nei progetti critici e una diminuzione della resilienza complessiva. In termini numerici, le tenute medie dei CISO si attestano oggi tra i 18 mesi e i 3 anni, contro una media di 5,2 anni per i ruoli C-suite negli S&P 500, riducendo il tempo disponibile per implementare trasformazioni pluriennali.
Segnali di allarme
Tra gli indicatori più affidabili di una situazione critica troviamo l’esaurimento emotivo, la cinicità e una riduzione dell’efficienza professionale. Questi segnali preannunciano dimissioni o calo della performance: decisioni ritardate, comunicazioni di rischio meno efficaci e perdita di segnali importanti durante una crisi. Il team reagisce a catena, con morale più basso e aumento del turnover, erodendo ulteriormente la capacità di risposta aziendale.
Costi diretti e indiretti
Le conseguenze economiche sono concrete e misurabili. A livello macro, una stima suggerisce un impatto fino a £200m all’anno per il FTSE 100, o circa £2m per azienda, legato al fenomeno del burnout tra i CISO. A livello operativo, il costo di sostituzione comprende ricerca e selezione (con fee del 25-30% sullo stipendio medio di £117,000 nel Regno Unito), stipendi di interim, onboarding e perdita di produttività: una stima prudente colloca i costi diretti intorno a £600,000–£700,000 per rimpiazzo, senza considerare gli effetti di un eventuale incidente.
Gli oneri indiretti comprendono perdita di conoscenza istituzionale, rallentamento dei progetti e premi assicurativi più elevati, poiché gli underwriter percepiscono un rischio maggiore quando notano una rotazione frequente dei leader della sicurezza. Inoltre, la spesa nascosta si distribuisce su HR, IT, legale e rischio, rendendo difficile per molte aziende quantificare l’entità reale del danno.
Cosa possono fare le aziende
Per mitigare la crisi è necessario ripensare il ruolo: progettare il lavoro in modo che sia sostenibile, chiarire mandate e limiti, e conferire ai CISO l’autorità adeguata per decidere e applicare strategie. Serve anche investimento in organico affinché il carico operativo sia distribuito e non ricada tutto su una sola figura. Supporto esecutivo e tutela a livello dirigenziale sono fondamentali per evitare che il ruolo diventi un assorbitore di rischi senza risorse.
Infine, molte controparti stanno già adottando soluzioni come carriere a portafoglio, ruoli frizionali o consulenze per preservare la propria salute mentale. Le organizzazioni che costruiscono un piano di successione credibile e un bench interno ridurranno il churn e miglioreranno la resilienza: prevenire è meno costoso che pagare il prezzo del turnover e degli incidenti.
