L’ultimo ‘alert’ in Italia è scattato dopo l’attacco hacker al profilo Instagram della premier Giorgia Meloni. Uno scambio di messaggi con Elon Musk e un post con la scritta ‘Free bitcoin’: non molto credibile. Ma la verità è che in tutta Europa (e non solo), ormai da tempo si è infiammato il dibattito attorno al tema della cybersecurity.
Soprattutto esaminando i dati dei crimini informatici degli ultimi anni, la situazione appare piuttosto preoccupante. Nel 2023, secondo Assintel il numero di attacchi nel mondo è salito del 184% rispetto al 2022. E in Italia la situazione è altrettanto allarmante, con gli attacchi di tipo ‘grave’ che aumentano sempre di più secondo l’ultimo rapporto Clusit. Ma investire nella cybersecurity è ancora un lusso per imprese e pubblica amministrazione?
La domanda, un po’ provocatoria, è stata il titolo del convegno organizzato a Roma da Fondazione Icsa e tenutosi nella Sala Zuccari di Palazzo Giustiniani. A moderare l’incontro il giornalista di Fortune Italia Alessandro Pulcini.
“Investire in cybersecurity è conveniente o è un costo? La risposta è abbastanza ovvia”, ha subito premesso Leonardo Tricarico, presidente Fondazione Icsa durante l’introduzione dei lavori. “Purtroppo però l’equazione è risolta ma non applicata, perché la tematica viene sempre bypassata, come se rendere il Paese sicuro dal punto di vista delle minacce informatiche fosse un costo da cui affrancarsi. Il primo salto in avanti è stato fatto quando si è cominciato a usare di più il web. Ma anche allora non ci si preoccupava tanto di quello che andava in rete. Il mondo militare, nel frattempo, come spesso accade, è andato avanti da solo”.
Non ‘quante’, ma ‘quali’ aziende investono in cybersecurity
Certo, in Italia gli investimenti in cybersecurity aumentano. Stando a una ricerca dell’Osservatorio Cybersecurity & data protection della School of management del Politecnico di Milano, nel 2023 il mercato italiano della cybersecurity ha raggiunto la cifra record di 2,15 mld di euro.
Ma se le grandi aziende aumentano la spesa in nuovi strumenti, quelle più piccole fanno fatica a causa delle risorse limitate. Insomma: la protezione dagli attacchi cyber, che dovrebbe essere necessaria per tutti, diventa a tutti gli effetti un lusso.
“È un danno. Bisogna consentire non solo ai grandi enti, ma anche e soprattutto ai piccoli comuni e alle province – che sono meno dotati sia di personale che di risorse – di poter avere una crescita digitale in totale sicurezza e di qualità”, ha commentato Claudio Lotito, vicepresidente V commissione Bilancio al Senato. Già, ma dove prendere queste risorse?
La questione degli investimenti pubblici
Le previsioni di investimento delle imprese per il prossimo anno non sono così positive. Come emerge dal rapporto I-Com sulla cybersecurity solo un’impresa su tre ha già deciso di aumentare la spesa nel 2025. Ed è per questo opportuno spostare la questione sugli investimenti pubblici.
“Il Governo ha già intrapreso dei passi significativi in questa direzione”, ha spiegato Sandra Savino, sottosegretario al Mef. “Sono stati investiti 632 mln di euro nel Pnrr dedicati alla cybersecurity e si dovranno aggiungere altri 240 mln per quanto riguarda le risorse del fondo per l’attuazione della strategia nazionale. È un segnale molto chiaro dell’impegno del nostro Paese nel contrasto alla minaccia cibernetica, e anche l’approvazione della legge di delegazione europea e l’invito di Bruxelles a stanziare più risorse sottolinea la volontà politica di affrontare con serietà la sfida della sicurezza digitale”.
Lo Stato riconosce la necessità di un intervento pubblico, come ribadito da Tricarico. C’è la percezione di un pericolo, ma non si è in grado di declinarlo. “Chi oggi deve investire in cybersecurity è molto cauto e fa bene. Rischia di acquistare un sistema che non è quello che gli serve. E magari rischia di introdurre anche un’ulteriore minaccia”.
Al Mase, il ministero dell’Ambiente e della Sicurezza Energetica, l’importanza del tema della cybersecurity è ben presente, perché viene integrato all’interno di alcune delle misure su cui si sta lavorando: basti pensare alla digitalizzazione dei parchi nazionali e delle aree marine protette o al sistema integrato di monitoraggio ambientale (che vale 600 mln di euro), come ha riportato Fabrizio Penna, capo dipartimento unità di missione Pnrr al Mase. Inoltre, ha ricordato Penna, lo stesso ministero è stato a lungo vittima di cyber attacchi.
La prospettiva di un imprenditore come Emanuele Gentili (fondatore e direttore di Ts-Way, tra i principali info-provider italiani di cyber threat intelligence) è quella di chi osserva come la digitalizzazione sia entrata nelle nostre vite, semplificandole, ma portando a conseguenze di cui non ci rendiamo conto. “Più digitalizzazione è uguale a più perimetro informatico. Quindi più attacchi cyber. Anche lo spionaggio è in crescita e questo dovrebbe farci riflettere. Per fortuna l’Agenzia per la cybersicurezza nazionale (Acn) e la polizia postale svolgono un ottimo lavoro. Ma è la consapevolezza di chi sta nelle Pmi che a volte manca. Il sentore comune del mondo industriale è: ‘Risolvere questo problema toccherà a qualcun altro, non a me’. In realtà nel nostro settore si dice che ci sono due tipi di aziende: quelle compromesse e quelle che ancora non lo sanno”.
Garantire la sicurezza cibernetica
Entro il 31 di dicembre 2024 diventeranno pienamente operative una serie di normative a livello europeo cruciali per la protezione delle informazioni. Verranno innalzati gli standard e le misure di sicurezza e sarà introdotto un quadro legislativo attento e dettagliato volto a contrastare efficacemente il fenomeno della crescita degli attacchi cibernetici.
“Siamo in un mondo ibrido. Affrontare il tema della cybersecurity è affrontare il tema della sicurezza e dello sviluppo economico. La necessità di una protezione informatica è fondamentale e lo stiamo vedendo anche con la guerra in Ucraina”, ha commentato Valentino Valentini, viceministro al ministero delle Imprese e del Made in Italy.
“Pensiamo agli attacchi cyber come a un virus. Non possiamo pensare di sconfiggerlo senza fare prevenzione. Incontri come questo possono essere un’occasione per discutere e creare una presa di coscienza oggi più che mai necessaria. La tecnologia, lo sappiamo, può essere una minaccia, ma anche un’opportunità. L’intelligenza artificiale potrebbe essere uno strumento utile per identificare gli hacker”.
C’è anche un tema culturale. Non sempre le aziende segnalano gli attacchi che ricevono. Secondo Valentini “le aziende che vengono hackerate non lo dicono perché hanno timore di perdere clienti. Invece dovrebbero segnalarlo tempestivamente per bloccare l’ulteriore diffusione delle minacce”. Anche questo stigma, insomma, va eliminato.
