Allarme cyber-attacchi: le pmi italiane sotto assedio – ecco cosa devono fare ora

Le piccole e medie imprese (PMI) sono sempre più spesso bersaglio di cyber-attacchi, una minaccia che mette a rischio non solo le transazioni economiche, ma anche la reputazione delle aziende. La crescente sofisticazione delle tecnologie utilizzate dagli hacker rende il problema sempre più complesso, richiedendo una risposta decisa da parte delle imprese. Secondo Gaetana Morgante, direttrice dell’Istituto Dirpolis della Scuola Sant’Anna, è fondamentale un impegno congiunto tra aziende, istituzioni e ricerca per difendersi efficacemente.

Nel 2023, il CSIRT Italia, organo dell’Agenzia per la Cybersicurezza, ha gestito 1.411 eventi cyber, un aumento del 30% rispetto al 2022. L’84% delle imprese private ha ricevuto attacchi hacker con richieste di riscatto. Tra queste, le medie imprese sono state colpite nel 30,6% dei casi, mentre le piccole imprese hanno subito attacchi nel 46,3% dei casi. Gli hacker mirano principalmente alle microtransazioni aziendali, accumulando un “tesoretto” di centinaia di milioni di euro.

Investire nella cyber-resilienza è cruciale non solo per mitigare i danni economici, ma anche per proteggere le imprese dal danno reputazionale. Tuttavia, le PMI affrontano un serio problema di accesso al credito, rendendo difficile prioritizzare gli investimenti in cyber-sicurezza. È quindi necessario un supporto istituzionale per non lasciare sole le imprese di fronte a questa minaccia crescente.

Il Ritardo delle PMI Italiane nella Cyber-Sicurezza

Un recente studio della Banca d’Italia, intitolato “La sicurezza cibernetica delle imprese italiane: percezione dei rischi e pratiche di mitigazione”, ha rivelato che quasi il 90% delle imprese è consapevole della possibilità di subire un attacco informatico. Tuttavia, questa consapevolezza non sempre si traduce in un adeguato impegno finanziario per fronteggiare i rischi. Le imprese che hanno subito attacchi in passato mostrano una maggiore percezione del rischio e una spesa più elevata in prevenzione.

Le imprese più piccole del Mezzogiorno sono meno consapevoli dei rischi cibernetici, un divario che diventa rilevante con il prossimo recepimento della direttiva Nis 2 per la cybersicurezza e della direttiva Cer per la resilienza dei soggetti critici. Il Cyber Index PMI, pubblicato da Generali e Confindustria, ha rilevato che 708 piccole e medie imprese hanno raggiunto un valore medio di Cyber Index di 51 su 100, con la sufficienza fissata a 60.

Il sistema economico italiano, caratterizzato da un elevato numero di piccole imprese, sarà messo a dura prova dal passaggio dalla direttiva Nis 1 alla direttiva Nis 2, che porterà il numero di soggetti interessati da un migliaio a decine di migliaia, coinvolgendo settori con diversi livelli di maturità. Alessandro Manfredini, presidente dell’Aipsa (Associazione italiana professionisti della security aziendale), ha sottolineato l’importanza di permettere alle imprese italiane di crescere e diventare interlocutori solidi e credibili.

Strategie di Cybersicurezza con la Scuola Sant’Anna

Imprese, istituzioni e ricerca hanno avviato un dialogo alla Scuola Superiore Sant’Anna di Pisa per discutere strategie volte a potenziare la cybersicurezza nelle PMI. L’evento “Sinergies: costruire cybersecurity tra imprese, istituzioni e ricerca” ha approfondito temi come l’evoluzione del quadro regolatorio della cybersecurity, i principali rischi cyber per gli attori economici italiani e l’importanza della consapevolezza e della formazione per la resilienza dei sistemi.

Secondo Gaetana Morgante, professoressa ordinaria di Diritto penale e direttrice dell’Istituto Dirpolis, i dati nazionali e internazionali delineano un quadro allarmante. Gli attacchi informatici sono in costante crescita e i cybercriminali sviluppano modalità sempre più sofisticate per infiltrarsi nei sistemi e nelle infrastrutture critiche. Nel 2023, il CSIRT Italia ha gestito 1.411 eventi cyber, un aumento del 30% rispetto all’anno precedente. Le pubbliche amministrazioni e le PMI sono i principali bersagli di questi attacchi, con una prevalenza di attacchi ransomware nel settore privato.

A livello nazionale, un disegno di legge in discussione al Senato inasprisce la risposta penale per i reati informatici e amplia i poteri d’indagine. Tuttavia, il contrasto al cybercrime non può basarsi soltanto su una strategia punitiva. L’incontro alla Scuola Superiore Sant’Anna ha dimostrato l’importanza di un approccio sinergico e preventivo alla cybersicurezza, coinvolgendo ogni componente dell’infrastruttura digitale nazionale.

Tra le soluzioni proposte dai relatori, spiccano l’uso di applicativi digitali per la prevenzione degli attacchi informatici, modelli cooperativi di cybersicurezza tra amministrazioni pubbliche e imprese, e il ricorso al partenariato pubblico-privato. La cooperazione multilivello tra operatori economici è fondamentale per proteggere l’intero ecosistema digitale.

Generali e Confindustria: Diffondere la Cultura dei Rischi Cyber

Nei giorni scorsi, a Catania, si è tenuta la quinta tappa del roadshow 2024 di Generali Italia, dedicato alla promozione della cultura della gestione del rischio cyber tra le PMI. Durante l’evento è stato presentato il Rapporto Cyber Index PMI Sud e Isole, realizzato in collaborazione con Confindustria e con il contributo degli Osservatori Digital Innovation del Politecnico di Milano e dell’Agenzia per la Cybersicurezza Nazionale.

Barbara Lucini, Responsabile Country Sustainability & Social Responsibility di Generali Italia, ha dichiarato che l’obiettivo è costruire infrastrutture resilienti, promuovere un’industrializzazione inclusiva e sostenibile, e favorire l’innovazione. Luca Nicoletti, direttore del servizio programmi e progetti industriali dell’Agenzia per la Cybersicurezza Nazionale, ha sottolineato che il tessuto industriale italiano, soprattutto nel Sud Italia, ha margini di miglioramento nella postura cibernetica aziendale. I processi di ammodernamento in corso indicano che la strada intrapresa è quella giusta.

Bullet Executive Summary

In conclusione, la crescente minaccia dei cyber-attacchi alle PMI richiede un impegno congiunto tra aziende, istituzioni e ricerca. La consapevolezza dei rischi cibernetici è alta, ma non sempre si traduce in investimenti adeguati. Le PMI, soprattutto nel Sud Italia, devono migliorare la loro postura cibernetica per diventare interlocutori solidi e credibili. La cooperazione multilivello e il partenariato pubblico-privato sono fondamentali per proteggere l’intero ecosistema digitale.

Una nozione base di economia e finanza correlata al tema è il concetto di rischio operativo, che include i rischi derivanti da processi interni, persone, sistemi e eventi esterni, come i cyber-attacchi. Una nozione avanzata è il risk management, che implica l’identificazione, la valutazione e la prioritizzazione dei rischi seguita dall’applicazione di risorse coordinate per minimizzare, monitorare e controllare la probabilità e l’impatto degli eventi avversi.

Riflettendo su questi concetti, è evidente che la gestione del rischio cyber non è solo una questione tecnica, ma anche strategica, che richiede un approccio olistico e integrato per garantire la resilienza e la sostenibilità delle PMI nel lungo termine.