Kyndryl rafforza il SOC di Roma e apre il Security Customer Briefing Center: l'Italia al centro della cyber resilience globale

Quando nel 2023 Kyndryl inaugurò il proprio Security Operations Center a Roma, al Tecnopolo Tiburtino, la struttura contava una control room operativa h24 con circa venti persone, tra analisti e manager. A poco più di due anni di distanza, il quadro è radicalmente diverso: "Adesso il personale direttamente impiegato al SOC è di poco inferiore alle 100 unità", spiega Andrea Boggio, Director Cyber Resilience di Kyndryl Italia, nel corso di un'intervista con Edge9. Un dato che racconta una traiettoria di crescita significativa, ma soprattutto una scelta strategica precisa da parte della corporation americana.

Il SOC romano non è stato semplicemente ampliato: è diventato il blueprint globale dell'azienda. "Noi siamo stati i primi nell'azienda, nella corporation, ad avere certe caratteristiche di servizio evolute legate al SOC", prosegue Boggio. Un primato che ha avuto conseguenze concrete: il modello operativo sviluppato in Italia è stato replicato negli altri cinque SOC globali che Kyndryl ha aperto successivamente. Chi si aspettava che un hub di questo calibro potesse nascere solo a Londra o Francoforte ha dovuto ricredersi.

La scelta di Roma, del resto, non è casuale. Boggio la contestualizza senza indulgere nella retorica: l'ecosistema del Tecnopolo Tiburtino, con l'indotto della difesa, della pubblica amministrazione e delle grandi infrastrutture digitali, offre un bacino di competenze difficilmente replicabile altrove in Europa. A questo si aggiungono fattori logistici non secondari come la connettività internazionale di Fiumicino e l'attrattività di Roma per clienti europei e globali. Kris Lovejoy, Global Head of Strategy di Kyndryl, ha sintetizzato la scelta parlando di creatività, skill e know-how ingegneristico italiano, e i numeri sembrano dargli ragione.

Dal SOC al briefing center: un investimento sulla relazione con i clienti

L'ultimo tassello di questa evoluzione è il Security Customer Briefing Center, aperto a gennaio 2026 negli stessi edifici del Tecnopolo Tiburtino che ospitano il SOC. Il centro operativo, nel frattempo, è cresciuto fino a occupare due control room, e l'intero complesso è stato oggetto di un'espansione significativa. Il briefing center è però una struttura separata, con accessi fisici distinti: non è uno showroom né una finestra aperta sul SOC, ma uno spazio di co-creation progettato per condurre i clienti attraverso percorsi tematici verticali, per settore e per caso d'uso, con l'obiettivo di chiudere ogni visita con deliverable concreti. Assessment, requisiti raccolti, prototipi di agenti IA applicati alla sicurezza: il briefing center trasforma quella che era una visita dimostrativa in un processo di progettazione condivisa.

All'interno del briefing center, dashboard anonimizzate permettono di mostrare ai visitatori l'attività reale del SOC, con dati su clienti reali ma senza esporre nomi o indirizzi IP. Gli spazi per i workshop sono progettati secondo una metodologia analitica proprietaria e prevedono sessioni con gli analisti del SOC, che possono essere coinvolti direttamente durante le visite.

L'investimento, deciso dalla corporate globale oltre un anno fa, ha una giustificazione economica precisa: nei tre anni precedenti all'apertura del centro, con semplici spazi riunioni adiacenti al SOC, Kyndryl aveva già effettuato circa 100 visite clienti strutturate, diverse delle quali si sono trasformate in contratti. Un analogo briefing center esiste in India, ma quello romano è l'unico fisicamente integrato nel complesso del SOC, un elemento di unicità che rafforza il posizionamento dell'Italia all'interno della strategia security globale di Kyndryl. Un percorso di crescita che avevamo già raccontato, in occasione dell'inaugurazione della nuova sede milanese, in un recente articolo dedicato alla visione di Kyndryl su IA e sicurezza.

Solo badge Kyndryl: la scelta sulla gestione del personale

Un aspetto che distingue il SOC di Roma è la politica sul personale: tutto il team ha badge Kyndryl. Nessun ricorso a personale esterno o in subappalto, una scelta motivata da ragioni di riservatezza e conformità GDPR che si è trasformata in un vantaggio competitivo tangibile. Proprio la solidità del framework privacy ha contribuito ad acquisire clienti francesi e tedeschi, particolarmente sensibili a questo aspetto. Il personale è quasi interamente italiano, residente nell'area metropolitana di Roma, e la presenza fisica è un requisito non negoziabile per gli analisti, un vincolo che, ammette Boggio, ha portato alcuni candidati a declinare l'offerta.

La crescita da 20 a quasi 100 persone ha richiesto un modello formativo strutturato su tre livelli: apprendisti freschi di percorso accademico, junior con esperienza pregressa spesso maturata nell'ecosistema romano della difesa e della PA, e senior, rari sul mercato, acquisiti esternamente. Il SOC è partito con tre profili senior particolarmente solidi, intorno ai quali l'intera struttura è cresciuta. "In quattro anni, mediamente, riusciamo a costruire un professionista di livello 2 interno al SOC", quantifica Boggio, descrivendo un percorso che prevede sei mesi per diventare operativi e circa due anni e mezzo per completare il primo livello. La distribuzione interna è 80/20 tra junior e senior, coerente con i benchmark dei SOC globali.

Un SOC anche per il mid-market: l'effetto NIS2

Kyndryl nasce per la fascia enterprise, ma il SOC ha contribuito ad abbassare la soglia di accesso ai servizi dell'azienda. Esistono oggi contratti esclusivamente SOC con clienti non altrimenti presenti nel portafoglio Kyndryl, realtà entrate nel perimetro della direttiva NIS2 che non hanno strutture interne adeguate. La soglia minima pratica si attesta intorno alle 200-400 persone, a condizione che la complessità dell'infrastruttura lo giustifichi, e il servizio scala verso il basso misurandosi su metriche come gigabyte al giorno, numero di endpoint ed eventi per secondo.

Un caso emblematico è quello di una PA regionale per la quale Kyndryl eroga servizi SOC a 40 enti pubblici nell'ambito del CSIRT regionale, con una varianza che va da enti minimi ad ASL con migliaia di dipendenti. Boggio è tuttavia chiaro su un punto: non esiste un'offerta a catalogo scalabile come quella di una telco. Ogni contratto richiede un'analisi dedicata e il modello rimane premium anche nella fascia mid-market.

IA e cybersecurity: il realismo di chi opera in trincea

In un recente articolo su Edge9, Aamir Lakhani di Fortinet aveva espresso un cauto ottimismo sulla possibilità, per la prima volta, che i difensori possano avere la meglio sugli attaccanti grazie all'IA. Boggio articola una lettura più sfumata ma sostanzialmente convergente.

Sul fronte difensivo, l'IA sta già producendo risultati concreti: riduce l'alert fatigue degli analisti affidando alla macchina il triage e la gestione degli allarmi, e ha capacità di rilevamento vulnerabilità nel codice superiori a quelle umane. "Più fasi porto in macchina, più libero risorse umane pregiate, creative, col pensiero laterale, che ragionano come chi attacca", sintetizza Boggio. L'agentificazione dei task ripetitivi del SOC è già in corso.

Ma il quadro non è unilateralmente positivo. Il cosiddetto vibe hacking, ovvero la capacità di orchestrare attacchi multistage complessi in modo automatico tramite intelligenza artificiale, è ormai una realtà operativa, emersa negli ultimi mesi con una rapidità che ha sorpreso anche gli addetti ai lavori. La simmetria strutturale tra attaccante e difensore resta: chi difende non può sbagliare mai, chi attacca deve avere successo una volta sola. E la riduzione del costo degli attacchi alimentati dall'IA li rende più numerosi e paralleli. La risposta, per Boggio, non è frenare l'adozione dell'IA ma incorporarla nei processi difensivi in modo sistematico, concentrando le persone sugli scenari di attacco più evoluti e delegando alla macchina tutto ciò che è automatizzabile.