Master Cybersecurity Governance Torino: NIS2, DORA e AI Act per manager e CISO

NIS2, DORA, AI Act cambiano le regole: la sicurezza informatica non riguarda più solo i tecnici, ma i vertici aziendali. L’Università di Torino risponde con un percorso universitario inedito che forma figure capaci di parlare entrambe le lingue – quella del rischio e quella della strategia.

C’è un problema strutturale che molte organizzazioni faticano ad ammettere: dispongono di ottimi tecnici della sicurezza, ma quando un incidente grave arriva in sala riunioni, il CISO e il CdA non riescono a parlarsi. Le conseguenze – operative, legali, reputazionali – le conosciamo bene. Con l’entrata in vigore di NIS2 e DORA, questo divario non è più solo un rischio aziendale: è una responsabilità personale degli organi di governo.

È su questo terreno che nasce il Master Universitario di I livello in Management & Governance della Cybersecurity dell’Università degli Studi di Torino, promosso dal Dipartimento di Management “Valter Cantino” in collaborazione con il Dipartimento di Informatica. Un percorso che prende avvio nell’ottobre 2026 con un obiettivo dichiarato: formare professionisti che sappiano integrare sicurezza informatica, gestione del rischio, compliance normativa e governance aziendale in un unico profilo professionale.

Il contesto: perché adesso, perché questo Master

Le nuove normative europee – NIS2, DORA, AI Act e Cyber Resilience Act – hanno spostato il baricentro della responsabilità. Non basta più avere un team tecnico competente: oggi i consigli di amministrazione, i CFO, i responsabili compliance devono essere in grado di valutare, decidere e rispondere di fronte a un incidente cyber. La domanda non è più “abbiamo un firewall?” ma “come gestiamo il rischio digitale come parte della strategia aziendale?”

«La cybersecurity non può più essere considerata una funzione esclusivamente tecnica. Le nuove normative europee attribuiscono responsabilità sempre maggiori agli organi di governo delle organizzazioni. Il Master nasce proprio per formare professionisti capaci di integrare sicurezza, rischio, compliance e strategia aziendale», commenta Simona Alfiero, Direttrice del Master.

A questa visione si affianca quella del Coordinatore Mauro Alovisio: «Oggi le organizzazioni hanno bisogno di figure in grado di comprendere sia le implicazioni tecnologiche sia quelle organizzative della sicurezza digitale. La collaborazione tra Management e Informatica rappresenta uno degli elementi distintivi del percorso».

Un curriculum progettato per chi deve decidere, non solo eseguire

Il programma si articola in otto aree formative che attraversano dimensione normativa, manageriale e tecnico-operativa:

Cybersecurity & Regulatory Strategy;
Cyber Risk Management & Data Governance;
Corporate Cyber Governance & Accountability;
Offensive & Defensive Security Lab;
AI & Cybersecurity;
Sistemi Avanzati di Audit;
Cultura della Sicurezza Digitale e Crisis Communication;
Cybersecurity nei Settori Critici e Strategici.

La formula è part-time con frequenza su tre giorni settimanali in modalità mista (presenza e online), pensata anche per chi già lavora. Il carico formativo è strutturato su 61 CFU, con 318 ore di lezioni frontali, 256 ore di laboratori e simulazioni, 300 ore di tirocinio/project work e una prova finale. La didattica adotta un approccio “learning by doing”: niente slide teoriche senza contesto reale, ma simulazioni, casi aziendali, project work e testimonianze dirette da chi opera sul campo.

A chi è rivolto: profili tecnici e manageriali, insieme

Il Master è aperto a laureati provenienti da diversi ambiti disciplinari – informatica, giurisprudenza, economia, ingegneria – sia neolaureati in cerca di specializzazione sia professionisti attivi. Tra i destinatari privilegiati:

Professionisti ICT che vogliono acquisire una dimensione manageriale e normativa
Specialisti compliance, risk e audit che devono presidiare l’ambito cyber
Manager e consulenti con responsabilità su processi digitali critici
Dipendenti della Pubblica Amministrazione soggetti agli obblighi NIS2
Responsabili della protezione dei dati (DPO) e figure di governance digitale

Gli sbocchi professionali coprono i ruoli più ricercati sul mercato: CISO, Cyber Risk Manager, Cybersecurity Auditor, Incident Response Specialist, AI Governance & Security Specialist, esperti in Governance e Data Protection. Figure che oggi le organizzazioni cercano con difficoltà – e che spesso non trovano con il giusto equilibrio tra competenza tecnica e visione strategica.

Un’opportunità anche per le organizzazioni

Il Master non è solo un percorso di formazione individuale: è anche un’occasione per le organizzazioni di investire nel proprio capitale umano. Il Dipartimento di Management ha pubblicato un avviso pubblico di sponsorizzazione rivolto ad aziende, enti pubblici e operatori economici interessati a sostenere il progetto, con possibilità di finanziare borse di studio, proporre project work, attivare tirocini e partecipare come testimonial in aula. Il termine per le manifestazioni di interesse è il 10 luglio 2026.

Il gap tra sicurezza tecnica e governance strategica costa caro alle organizzazioni. Formazione come questa non è un’opzione: è una risposta concreta a una lacuna che il mercato – e le normative – non possono più tollerare.

Condividi sui Social Network:

Ultimi Articoli

Interoperabilità DMA: il caso Siri e il nodo di sicurezza dell’apertura forzata degli assistenti
A cura di:Redazione Pubblicato il16 Giugno 202616 Giugno 2026

Interoperabilità DMA e sicurezza: il caso del nuovo Siri bloccato in UE mostra la tensione tra apertura forzata degli assistenti AI e protezione dei dati di un agente con accesso profondo al dispositivo.

Leggi di più Interoperabilità DMA: il caso Siri e il nodo di sicurezza dell’apertura forzata degli assistenti
Plugin WordPress di Awesome Motive avvelenati via CDN: la fiducia nello script di terze parti diventa la porta d’ingresso
A cura di:Redazione Pubblicato il16 Giugno 202616 Giugno 2026

Un attaccante ha manomesso gli script JavaScript di tre plugin WordPress di Awesome Motive (PushEngage, OptinMonster, TrustPulse) serviti via CDN, impiantando una backdoor invisibile alla dashboard e attivata solo per gli amministratori autenticati. Oltre 1,2 milioni di siti potenzialmente esposti: a cedere non è una vulnerabilità del sito, ma la fiducia in uno script di terze parti.

Leggi di più Plugin WordPress di Awesome Motive avvelenati via CDN: la fiducia nello script di terze parti diventa la porta d’ingresso
SearchLeak: un solo clic trasformava Microsoft 365 Copilot in uno strumento di esfiltrazione
A cura di:Redazione Pubblicato il16 Giugno 202616 Giugno 2026

Varonis ha dimostrato come un singolo clic su un link in dominio Microsoft autentico potesse trasformare Microsoft 365 Copilot Enterprise Search in un canale di furto dati. La falla, SearchLeak (CVE-2026-42824), è stata corretta da Microsoft sul backend, ma ridefinisce il modello di minaccia degli assistenti AI in ambito enterprise: la prompt injection riattiva bug web classici come SSRF e race nei sanitizzatori.

Leggi di più SearchLeak: un solo clic trasformava Microsoft 365 Copilot in uno strumento di esfiltrazione
Commissione UE, proposto un “Tech sovereignty package” per l’autonomia digitale europea
A cura di:Redazione Pubblicato il15 Giugno 2026

Nell’odierno dibattito sulla sicurezza informatica, la sovranità digitale riveste un ruolo fondamentale. Come hanno dimostrato i recenti squilibri geopolitici, la dipendenza da tecnologie di provenienza estera può infatti trasformarsi in un elemento di vulnerabilità critica per gli Stati: ciò ogniqualvolta eventi imprevedibili (sia naturali, sia umani) colpiscano le complesse catene di approvvigionamento del mercato tecnologico,…

Leggi di più Commissione UE, proposto un “Tech sovereignty package” per l’autonomia digitale europea
Deepfake: non il falso che crediamo, ma il vero che possiamo negare
A cura di:Redazione Pubblicato il15 Giugno 202611 Giugno 2026

Il deepfake non ci farà credere al falso, ma ci permetterà di non credere più al vero. E la prova migra dalla cosa alla firma di chi la rivendica.

Leggi di più Deepfake: non il falso che crediamo, ma il vero che possiamo negare
Velvet Ant, dieci anni dentro il sistema di login: l’APT cinese che riscrive la fiducia nelle reti isolate
A cura di:Redazione Pubblicato il15 Giugno 202615 Giugno 2026

Velvet Ant ha modificato PAM e OpenSSH per spiare una rete isolata per quasi dieci anni: l’APT cinese e la difesa che si sposta dal patch alla verifica di integrità.

Leggi di più Velvet Ant, dieci anni dentro il sistema di login: l’APT cinese che riscrive la fiducia nelle reti isolate

Quando la cybersecurity diventa una questione di governance: il Master UniTo che colma il gap tra IT e boardroom

Il contesto: perché adesso, perché questo Master

Un curriculum progettato per chi deve decidere, non solo eseguire

A chi è rivolto: profili tecnici e manageriali, insieme

Un’opportunità anche per le organizzazioni

Interoperabilità DMA: il caso Siri e il nodo di sicurezza dell’apertura forzata degli assistenti

Plugin WordPress di Awesome Motive avvelenati via CDN: la fiducia nello script di terze parti diventa la porta d’ingresso

SearchLeak: un solo clic trasformava Microsoft 365 Copilot in uno strumento di esfiltrazione

Commissione UE, proposto un “Tech sovereignty package” per l’autonomia digitale europea

Deepfake: non il falso che crediamo, ma il vero che possiamo negare

Velvet Ant, dieci anni dentro il sistema di login: l’APT cinese che riscrive la fiducia nelle reti isolate

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Il contesto: perché adesso, perché questo Master

Un curriculum progettato per chi deve decidere, non solo eseguire

A chi è rivolto: profili tecnici e manageriali, insieme

Un’opportunità anche per le organizzazioni

Ultimi Articoli

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Argomenti

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE