Negli ultimi anni il ruolo del CISO si è trasformato in un punto nevralgico per la resilienza digitale delle aziende, ma anche in una fonte di pressione costante. Le aspettative sul posizionamento strategico, la gestione delle crisi e il rispetto normativo continuano ad aumentare, spesso senza un parallelo incremento di risorse o autorità. Il risultato è che il burnout, definito qui come un esito prevedibile di stress cronico non gestito, si manifesta sempre più fra i responsabili della sicurezza.
Le statistiche aiutano a comprendere la portata del fenomeno: secondo il report Proofpoint «Voice of the CISO» del 2026, il 63% dei leader della sicurezza ha vissuto o osservato episodi di burnout tra colleghi nell’ultimo anno. Questo dato non è solo un allarme sul fronte del welfare aziendale: è un indicatore di potenziali lacune operative che impattano la capacità dell’impresa di prevenire e rispondere agli attacchi.
Perché il lavoro è diventato insostenibile
Il profilo del CISO somma oggi molte funzioni: stratega, operatore, consulente per il consiglio di amministrazione, gestore delle crisi e responsabile della conformità. Questa molteplicità trasforma il ruolo in «cinque lavori in uno», con richieste 24/7 e pochi confini netti. A questo si aggiungono la carenza di competenze nel mercato del lavoro e l’espansione continua della superficie d’attacco, incluse minacce tecnologiche emergenti come truffe basate su AI e deepfake. Quando chi decide è responsabile del rischio aziendale ma non detiene controllo totale su budget e processi, si crea una frizione corrosiva che alimenta lo stress prolungato.
Multipli fattori di pressione
Una componente chiave è la discrepanza tra responsabilità e potere decisionale. Molti CISO devono garantire la protezione dell’organizzazione senza disporre di risorse adeguate o dell’autonomia per impostare priorità realistiche. Se il board chiede un approccio «zero incidenti» invece che una gestione del rischio accettato, il lavoro diventa una sequenza di battaglie per ottenere fondi e supporto. In presenza di una cultura aziendale che privilegia il colpevolizzare i singoli dopo un incidente, il leader della sicurezza diventa anche facile capro espiatorio.
Impatto operativo e finanziario per le imprese
Le conseguenze organizzative del burnout sono concrete: turnover elevato, ridotta continuità decisionale e programmi di sicurezza frammentati. La durata media di un CISO oggi si aggira tra i 18 mesi e i 3 anni, un arco temporale molto più corto rispetto ai 5,2 anni di media della C-suite nelle società S&P 500. Questa volatilità impedisce l’esecuzione di iniziative pluriennali e alimenta corsi d’azione reattivi che lasciano aperture agli attaccanti.
Indicatori di declino
Tra i segnali che anticipano problemi ci sono l’esaurimento emotivo, il cinismo e il calo dell’efficacia professionale. I primi due rendono il lavoro pesante; il terzo è il campanello che spinge verso la dimissione. Sul piano operativo, ciò si traduce in segnali mancati, affaticamento decisionale e comunicazioni di rischio meno incisive, con un effetto a catena su team, fornitori e fiducia di stakeholder esterni.
Costi diretti e strategie per ridurre il rischio
I costi economici sono rilevanti e comprendono sia voci immediate che effetti nascosti. Un’analisi citata da esperti stima che l’impatto complessivo sulle aziende del FTSE 100 potrebbe arrivare fino a £200m l’anno, circa £2m per società, con costi diretti di sostituzione stimati tra £600.000 e £700.000 per ruolo, includendo spese di reclutamento (agenzie che chiedono il 25-30% del salario), interim e calo di produttività. Inoltre, il salario medio di un leader della sicurezza nel Regno Unito è stato indicato attorno a £117.000, fatto che rende il costo del turnover facilmente quantificabile.
Le voci indirette spesso superano quelle visibili: perdita di know-how, ritardi nei progetti, aumento dei premi assicurativi cyber e peggioramento del rapporto con auditor e regolatori. Se quasi la metà dei team non ha un successore interno adeguato, la sostenibilità della funzione è compromessa.
Come affrontare il problema
Le contromisure richiedono un cambio di design del ruolo. Le aziende dovrebbero definire scope chiari, dare autorità operativa al CISO e garantire organico sufficiente per consegnare la strategia. Serve inoltre «air cover» a livello esecutivo: responsabilità condivisa, non solo un cappello solitario per ogni rischio. Investire in supporto, formazione del team e piani di successione riduce il turnover e i costi collegati. Alcuni leader scelgono percorsi alternativi come carriere a portafoglio (portfolio career) per tutelare il proprio benessere; le organizzazioni che non costruiscono una panchina rischiano di subire costanti interruzioni.
In sintesi, il burnout dei CISO non è un problema personale da gestire con iniziative isolate: è un rischio aziendale strutturale che richiede investimenti nella funzione, chiarezza di responsabilità e una visione di lungo termine sulla sicurezza come parte integrata del business.
