Quasi la metà delle piccole e medie imprese italiane sa che il rischio cyber esiste, ma solo una su dieci (o poco più) ha una strategia per contrastarlo, nonostante il 13% abbia subito una violazione negli ultimi 4 anni. Due imprese su dieci vengono definite addirittura principianti (un gradino sotto “poco consapevoli”) dal report Cyber Index Pmi presentato oggi da Generali e Confindustria, un indice per misurare lo stato di consapevolezza in materia di rischi cyber delle aziende di piccole e medie dimensioni.
Realizzato con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano e con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale, il dato principale che emerge dal rapporto è la necessità di una maggior diffusione e promozione della cultura dei rischi cyber tra le piccole e medie imprese. Ma servono anche budget maggiori. Solo il 17% delle aziende ne prevede uno ad hoc per i rischi cyber, mentre più della metà include la voce nel proprio budget IT.
“Al governo quello che chiediamo da tempo è un supporto agli investimenti”, ha detto il presidente di Confindustria Carlo Bonomi durante l’evento di presentazione del report nella sede degli industriali di viale dell’Astronomia, a Roma. Secondo il report Cyber index pmi i budget delle aziende sono ancora contenuti. “Dobbiamo stimolare gli investimenti, che in generale sono crollati al +0,8% negli ultimi 5 trimestri. Da inizio 2021 per 5 trimestri erano aumentati del 3,5%”, dice Bonomi.
L’altra priorità “sono le competenze” particolarmente carenti in ambito informatico; “avere due milioni e mezzo di Neet ci dice quanto capitale umano stiamo sprecando”.
L’allarme sulle pmi: poca consapevolezza sulla cybersecurity
Le 708 Pmi coinvolte nel rapporto raggiungono complessivamente un ‘voto’ di 51 su 100 (il livello di sufficienza è 60 su 100). Il 45% delle piccole e medie imprese intervistate riconosce il rischio cyber ma solo il 14% ha un approccio strategico in materia e la capacità di valutare il rischio cyber e di mitigarlo; il 55% è poco consapevole e un 20% si può definire principiante.
Eppure, dice Giancarlo Fancel Country Manager & CEO di Generali Italia, il tema è cruciale: “Mettiamo a disposizione delle organizzazioni aziendali le nostre competenze e la nostra esperienza in tema di identificazione dei rischi cyber. Oltre a strumenti assicurativi innovativi, ci impegniamo a far sì che nel corso del tempo le PMI italiane siano sempre più consapevoli su un tema cruciale e sfidante per il nostro Paese, la nostra economia e la nostra società”.
L’impatto del lavoro da remoto
Secondo il presidente di Confindustria Carlo Bonomi con il Cyber index pmi “è la prima volta che si lavora insieme ad un progetto del genere. Quattro anni fa, quando di digitale si parlava poco, abbiamo istituito una vicepresidenza ad hoc, in pieno lockdown, e avevamo intuito come quella crisi avrebbe portato all’accelerazione di alcuni temi, consapevoli che il digitale era la transizione trasversale per tutte le altre. È stato un inizio di percorso stimolante e di consapevolezza. Quello che emerge dal rapporto di oggi è proprio il tema della consapevolezza, su cui dobbiamo ancora lavorare tantissimo dal punto di vista imprenditoriale. Abbiamo investito molto sull’industria 4.0: oggi dobbiamo investire per questo nuovo ecosistema che abbiamo creato nel mondo delle imprese. Inquadrerei il tema in termini di sicurezza strategica dell’industria: e senza l’industria non c’è il Paese. Da oggi inizia una operazione di consapevolezza molto importante soprattutto per le imprese”.
Il tema è anche strettamente legato al mondo del lavoro, secondo Bonomi: “Con la pandemia pochi coglievano che le nuove tecnologie influivano sulla sicurezza delle imprese: anche laddove c’erano barriere più o meno forti, le reti si aprivano alle case dei privati, non altrettanto protette”. Si mettevano di fatto a rischio “le filiere strategiche, e basta interrompere un singolo tassello per bloccare tutta la catena, come ci ha insegnato la pandemia” e la crisi della supply chain. “Quando parliamo di sicurezza parliamo di crescita del Paese, di competitività mondiale”. Quella attuale è ormai una “economia dei dati: questo Paese è abituato a un welfare state che questa economia sta trasformando, e nessuno sta intercettando” questa dinamica.
Il roadshow tra le pmi di Generali-Confindustria
Confindustria e Generali organizzeranno una serie di appuntamenti sul territorio per aumentare la consapevolezza delle pmi sul rischio cyber e su come affrontarlo. La seconda tappa dell’iniziativa, dopo quella di Venezia Mestre, sarà il 26 ottobre a Parma e, nel corso dei mesi, coinvolgerà Firenze, Torino, Genova, Milano, Perugia e Bologna.
Cybersecurity, ormai, vuol dire anche cercare soluzioni assicurative, come il trasferimento del rischio a una compagnia che aiuta a rimborsare il danno economico (dopo aver fornito consulenza per decidere come comportarsi, nel caso di Generali).
Secondo Fancel un report sulle piccole e medie imprese è “una pietra miliare, visto che le Pmi rappresentano più del 90% del tessuto imprenditoriale italiano. Il tema del rischio cyber è fondamentale per il sistema Paese. I dati mostrano una situazione non brillante, per usare un termine morbido, e bisogna fare i conti con le prossime evoluzioni. Entro il 2030 i dispositivi connessi alla rete saranno 125 miliardi. Il sistema ci espone quotidianamente a questi rischi”, dice Fancel.
Le aziende e le pmi “sono sicuramente esposte a questo tipo di minaccia e da qui è nata idea del Cyber index, per capire lo stato dell’arte. È fondamentale creare degli ecosistemi solidi a livello Paese, che devono funzionare come partnership a livello nazionale. Dobbiamo mettere a disposizione del territorio la formazione e lo faremo con i prossimi eventi a livello locale nelle sedi di Confindustria”.
Il ruolo delle assicurazioni nella lotta cyber sta crescendo “sicuramente”, dice Fancel al termine della conferenza. Secondo il rapporto, per ora il 17% delle aziende intervistate ha già sottoscritto una soluzione assicurativa dedicata, mentre il 29% non è a conoscenza delle possibilità di copertura del rischio cyber.
“Noi siamo un’azienda internazionale”, sottolinea Remo Marini, Group Head of IT & Operations Risk & Security di Assicurazioni Generali. Se parliamo di assicurazioni cyber negli Usa sono lo “standard: nessuna azienda se ne priva. In Europa il fenomeno è iniziato a crescere negli ultimi anni”. Il fatto che in Italia la consapevolezza sia poca è un problema: “Se si diffonde una minaccia siamo quelli che rimborsano, per noi è importante che tutte le aziende siano protette”.
Cybersecurity, Frattasi e le sfide delle nuove tecnologie
Bruno Frattasi, Direttore Generale dell’Agenzia per la cybersicurezza nazionale, ha citato “la sfida posta dall’affermarsi di tecnologie dirompenti come l’intelligenza artificiale e il quantum computing, con tutte le opportunità e rischi che ne conseguono. Il rapporto presentato oggi, a cui ACN ha fornito pieno supporto, fotografa una realtà ben nota del proliferarsi e inasprirsi delle insidie digitali”.
Secondo Frattasi uno dei fattori più importanti della strategia nazionale sulla cybersecurity è proprio la consapevolezza sul rischio informatico. “La minaccia informatica si abbatte su tutti gli asset del Paese. Sono state colpite istituzioni, aziende sanitarie e società di trasporto pubblico, ma anche aziende private. Il rischio è anche la riluttanza del soggetto colpito a far sapere di essere stato attaccato, anche in caso della minaccia estorsiva del ransomware, legata alla reputazione dell’azienda colpita. Le imprese e le pmi possono avvalersi non solo di risorse nazionali ma anche europee, come programmi Digital Europe. Dal 2024 in poi (con il recepimento negli Stati membri, ndr) sarà incrementato il coinvolgimento delle pmi nelle filiere critiche, secondo la direttiva europea della cybersicurezza (Nis 2)”. Sul potenziamento tecnologico Digital Europe “mette a disposizione quasi 900 mln”, una parte di questi potrebbe essere sicuramente sfruttata “dalle pmi”, dice Frattasi.
Cybersecurity, gli attacchi costano sempre di più alle aziende. E ora il ‘capo’ è un problema
I numeri degli attacchi globali
Secondo Agostino Santoni, Vice Presidente di Confindustria per il Digitale “i numeri dimostrano che la protezione dei dati è ormai un tema ineludibile”. Dal 2018 al 2022, dice gli attacchi informatici a livello globale sono aumentati del 60% e, solo in Italia, nel corso del 2022, abbiamo registrato un incremento “del 169% rispetto all’anno precedente. Nel settore manifatturiero abbiamo raggiunto la cifra record di +191,7% e la spesa in cybersecurity nel nostro Paese ha raggiunto 1.590 milioni di euro nel 2022, in costante crescita. È la dimostrazione di quanto stia aumentando la consapevolezza dei rischi legati alla sicurezza informatica, tanto che nella sfera imprenditoriale ormai è considerata un fattore strategico di competitività”.
Per Santoni ora “l’attività più importante d’ora in avanti è la capacità di andare sul territorio e raccontare in modo semplice come poter aiutare le nostre imprese, che non partono da zero: tutte le imprese sono costantemente attaccate e tutte hanno bisogno di aumentare la propria consapevolezza”.
Cybersecurity e pmi, le difficoltà tra budget e formazione
“Le Pmi sono esposte ai rischi cyber e spesso li sottovalutano”, dice Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano. “Spesso temi concreti come mancanza di budget e competenze concorrono in questo problema, avere dei partner per ruscire a capirlo è molto importante, mentre la partita non si gioca solo sulla tecnologia”. Le aziende italiane, dice Piva, sono indietro soprattutto sulla formazione ai dipendenti.
Il Rapporto “evidenzia complessivamente una situazione di scarsa consapevolezza dei rischi cyber, in uno scenario dove le PMI rappresentano il motore dell’economia del nostro Paese e sono partner strategici di grandi imprese in filiere di rilevanza nazionale ed internazionale. Le difficoltà a stanziare fondi e a internalizzare figure professionali dedicate rendono complesso identificare minacce e priorità di azione e spesso l’approccio al rischio cyber è solo di tipo artigianale. Solo il 14% dele organizzazioni si può considerare maturo, con un approccio strategico alla materia e in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie”.
Ransomware, Ddos, phishing: che faccia ha il Cyber crime nel 2023
Le pagelle cyber delle pmi italiane
Cyber Index PMI è derivato da una valutazione su tre diverse dimensioni: l’approccio strategico, la capacità di comprendere il fenomeno e le minacce (identificazione), l’introduzione di leve per mitigare il rischio (attuazione). Manca un vero e proprio approccio strategico “che preveda la definizione di investimenti e la formalizzazione di responsabilità da parte della popolazione aziendale italiana, con un punteggio medio di 54 su 100″, dice il rapporto. “Sebbene le leve di attuazione siano maggiormente sviluppate, con un valore di 56 su 100, le PMI hanno difficoltà nello stabilire priorità, perché mancano le azioni di identificazione corrette che permettano di approcciare il tema in maniera più oculata e consapevole, punteggio medio di identificazione 43 su 100″.
Le PMI italiane hanno in questo momento 4 livelli di maturità:
- il 14% è considerato maturo: ha un approccio strategico alla materia, è pienamente consapevole dei rischi ed è in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie
- il 31% può essere definito come consapevole: è in grado di comprendere le implicazioni dei rischi cyber, ma con una capacità operativa spesso ridotta per poter mettere in campo le corrette azioni
- il 35% è informato: non pienamente consapevole del rischio cyber e degli strumenti da mettere in atto, si approccia al rischio cyber in modo «artigianale»
- il 20% può essere definito principiante: poco consapevole dei rischi cyber e con una quasi nulla implementazione delle misure di protezione
Il Rapporto non registra rilevanti differenze territoriali mentre il livello di maturità delle imprese è correlato con la dimensione aziendale: da un valore medio di 43 per le micro-imprese, a uno di 53 per le piccole e fino a 61 per le medie.
“Il 58% delle PMI manifesta un’attenzione concreta attraverso un budget stanziato per la sicurezza informatica della propria azienda: tuttavia, nella maggior parte dei casi rientra nel più ampio investimento destinato all’IT, solo il 17% ne prevede uno ad hoc”, dice il report facendo riferimento al tema dei budget.
In termini di mitigazione del rischio, il 57% ha una dotazione tecnologica per il monitoraggio delle anomalie; il 41% prevede contromisure per limitare l’esposizione degli utenti aziendali a rischi informatici, attraverso un’azione sul fattore umano, ovvero tramite policy comportamentali o iniziative di formazione degli utenti.
