Se dovessimo indicare tre priorità per il 2023, tre punti chiave per difendere l’economia e la produttività italiana dalla minaccia (sempre crescente, sempre più grave) degli attacchi informatici, quali sarebbero? “Professionalità, pmi e sviluppo normativo”. Riassunto firmato Gabriele Faggioli, presidente del Clusit, l’Associazione Italiana per la Sicurezza Informatica.
Le previsioni di Faggioli sul 2023 della cybersicurezza oscillano tra ottimismo e preoccupazione. Se da una parte dà certezze il percorso iniziato dall’Italia con il progresso nella Strategia cyber nazionale creata per aumentare il livello di sicurezza nelle nostre infrastrutture, dall’altra si rischia che a rimanere indietro siano le aziende più piccole, che non hanno le competenze né le risorse di quelle più grandi per poter restare al passo con una minaccia cyber che cresce ininterrottamente da anni.
Sicuramente, dice Faggioli, “spinta sulle professionalità, attenzione alle pmi (anche da parte dell’ambito istituzionale) e proseguimento del percorso della Strategia nazionale” sono le priorità principali, per la cybersecurity italiana.
Il recente report annuale della Polizia postale ha ricordato come il fenomeno degli attacchi informatici rifletta i cambiamenti avvenuti nell’ultimo anno, con una crescita della matrice geopolitica negli attacchi.
Anche nel report di Clusit dello scorso ottobre si evidenziava un “impatto sistemico in diversi aspetti della società, della politica, dell’economia e della geopolitica”: il picco di 225 attacchi a marzo 2022 è stato il valore più alto mai verificato.
Nel calderone degli attori protagonisti di attacchi informatici e delle motivazioni che li spingono, “sicuramente l’aumento dei casi di attacchi di matrice geopolitica c’è stato, lo abbiamo registrato anche noi”, dice Faggioli, che evidenzia come questa sia ancora “l’era del ransomware. Stiamo parlando di circa due terzi degli attacchi: è un tipo di attacco che, se va a puntare a realtà pubbliche e private molto deboli, ha una percentuale di uscita molto alta e di guadagno elevata, con un tasso di impunità elevatissimo. Talmente vero che gli attacchi vengono pubblicizzati direttamente dalle organizzazioni criminali che annunciano di essere riuscite nel loro intento, e rendono credibile la richiesta di riscatto pubblicando su Internet parte dei dati trafugati”.
Per Faggioli che il fenomeno del ransomware possa “percentualmente crescere o diminuire è abbastanza irrilevante, perché parliamo di una percentuale ampliamente maggioritaria. Da questo punto di vista non c’è dubbio” che il ransomware sia ancora “la tipologia più preoccupante”.
Anche perché a questo tipo di attacchi sono più soggette le realtà più vulnerabili, come le pmi. Sulla preparazione alle minacce cibernetiche l’Italia è sicuramente ancora molto indietro, dice Faggioli.
Anche se l’attenzione “è cresciuta enormemente. Negli ultimi due anni l’elemento normativo ha segnato una grande discontinuità, con l’implementazione della Strategia nazionale”. E la pressione “sulle infrastrutture critiche e sugli operatori essenziali a livello pubblico e privato” ha aiutato a far crescere gli impegni contro le minacce informatiche.
Lo si vede anche guardando il mercato del lavoro, sul quale è difficilissimo trovare risorse. “E quelle che ci sono sostanzialmente sono piazzatissime. Il che la dice lunga sull’aumento dell’interesse e l’importanza del tema”. Questo vuol dire che anche i numeri riflettono un fenomeno in crescita? Dipende da quali numeri si vanno a guardare. Secondo il report dell’Osservatorio sulla cybersecurity del Polimi, nel 2021 il mercato della difesa cibernetica ha raggiunto il valore di 1,55 miliardi di euro, +13% rispetto al 2020, mentre il 60% di grandi organizzazioni ha previsto un aumento del budget destinato alle attività di sicurezza informatica.
Cresciamo, ma rimaniamo indietro. Secondo Faggioli “non è strano”, visto che i motivi ci sono: “L’Italia sta spendendo molto poco in cybersecurity”. Sempre secondo il Polimi, Il rapporto tra spesa in cybersecurity e Pil è dello 0,08%, all’ultimo posto tra i Paesi del G7. “Paesi come Francia e Inghilterra, in valore assoluto sul prodotto interno lordo (con Pil molto più grandi del nostro), spendono il doppio o il triplo. Dall’altro punto di vista si deve considerare che la nostra spesa si focalizza molto su grandi imprese e strutture critiche, mentre noi come Paese abbiamo uno strato di pmi e microimprese che invece spendono pochissimo, replicando all’infinito difese molto scarse”.
Per quanto riguarda le competenze, il problema lo racconta, ogni anno, l’indice Desi sulle competenze digitali: “L’Italia è drammaticamente indietro”, dice Faggioli: “È difficilissimo trovare persone da usare per i progetti del Pnrr”, ad esempio. “Ci sono difficoltà a mettere insieme i team adeguati a sviluppare le progettualità del Pnrr. Sulla cybersecurity “c’è stata un’ondata di competenze nel mondo della compliance e della data protection. Secondo me sta montando anche nel mondo cyber e si vede dall’aumento delle iniziative universitarie, delle scuole di formazione manageriale e degli istituti di formazione: la numerosità di percorsi formativi e di master sta aumentando. Gli effetti si vedranno fra 3-4 anni, il mercato del lavoro avrà i professionisti che servono dal punto di vista numerico. Per le competenze dei cittadini ci vorrà più tempo, ma la spinta digitale della pandemia ha aiutato”.
