Cyber Index PMI, ecco il primo indice che misura lo stato di consapevolezza di rischio cyber per le realtà italiane
Pandemia, crisi economica, guerra. Sempre più, le criticità che coinvolgono la realtà “organica” si rispecchiano nell’operatività digitale delle imprese. I criminali informatici sono diventati molto più scaltri di prima nello sfruttare le tendenze che emergono a livello globale, per insediarsi nelle reti aziendali, rubare dati, avanzare le loro campagne e chiedere riscatti. Quando poi si tratta di PMI, il panorama diventa ancora più complesso da monitorare, visto il loro numero, soprattutto in Italia.
È infatti risaputo come le Piccole e Medie Imprese rappresentino il fulcro dell’economia nel nostro Paese. Circa il 99% del tessuto imprenditoriale italiano si basa sulle PMI, molto più di un semplice dettaglio per una realtà che, nel suo insieme, di fatto permette la crescita e l’innovazione di tutta la nazione. Soprattutto nella fase pandemica, così come in quella seguente, è stato necessario rinnovare processi e flussi di business all’interno delle PMI, con un occhio di riguardo alla trasformazione digitale. Parte di questa trasformazione ha riguardato la sicurezza informatica, che oramai oggi coinvolge tutti: cittadini, imprese, enti pubblici.
Volendo seguire un contesto di filiera, è bene fare rete e accompagnare le piccole e medie imprese in un percorso di difesa idoneo a garantire protezione, senza limitare la produttività. Ed è in tale scenario che si inserisce il Cyber Index PMI, il primo rapporto promosso da Generali e Confindustria, con il supporto scientifico degli Osservatori Cybersecurity & Data Protection della School of Management del Politecnico di Milano e con la collaborazione dell’Agenzia per la Cybersicurezza Nazionale, presentato a Roma.
È possibile scaricare il report da questo link
“L’ACN deve porre in essere una strategia nazionale. L’Italia è un paese che sa fare rete e affrontare un’emergenza in modo compatto. Una sfida che Generali, con i suoi partner, ha saputo cogliere”. Così Nathania Zevi, giornalista della RAI, ha introdotto la giornata. Come ha spiegato Giancarlo Fancel, Country Manager e CEO di Generali Italia, in occasione della presentazione del rapporto: “Vogliamo contribuire in maniera concreta a diffondere tra le imprese la cultura della cyber sicurezza, ad accrescere la consapevolezza della vulnerabilità rispetto al rischio informatico e a sottolineare l’importanza dell’adozione di adeguate soluzioni di protezione. Oltre a strumenti assicurativi innovativi, ci impegniamo a far sì che nel corso del tempo le PMI italiane siano sempre più consapevoli su un tema cruciale e sfidante per il nostro Paese, la nostra economia e la nostra società”.
A Fancel fa eco Bruno Frattasi, Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, che ha dichiarato come il Cyber Index PMI sia stato pensato anche per aiutare le aziende a predisporre misure opportune di difesa “e stimare il cosiddetto rischio residuo. Il rapporto presentato oggi, a cui ACN ha fornito pieno supporto, fotografa una realtà ben nota del proliferarsi e inasprirsi delle insidie digitali. Ecco perché è fondamentale fornire alle aziende italiane strumenti di autovalutazione”.
Illuminante il parere di Carlo Bonomi, presidente di Confindustria: “L’industria italiana ha eccellenze nel settore dell’IT. Importiamo molte delle tecnologie e quindi è evidente che parte del Paese sia più che pronto ad agire e reagire. A maggior ragione, dobbiamo strutturare meglio l’offerta e la domanda, puntando sempre molto sulla formazione sin dall’università, dove le materie STEM vanno incentivate. Al di là della competenza umana, specifica, tematica, dobbiamo trasferire una competenza cyber allargata, a tutti i settori. A maggior ragione quando tecnologie come l’IA si stanno affermando in maniera veloce, ovunque. Una filiera strategica italiana è quanto mai necessaria”.
Remo Marini, Group Chief Security Officer di Generali ha spiegato che le PMI faticano ad approcciarsi in maniera strategica alle soluzioni cyber. Il motivo? “Si tratta di uno dei segmenti meno organizzati, dal punto di vista della sicurezza, per la poca disponibilità di budget e per la carenza di risorse interne. E questo lascia le PMI scoperte e sotto potenziale scacco. Bisogna rendere consapevoli i manager delle imprese delle conseguenze dei rischi. Comunicare è oggi la chiave vincente perché aiuta a rendersi conto del perimetro esposto e di ciò che un attacco può causare”
Cyber Index PMI, i numeri di un fenomeno in ascesa
Del resto in quattro anni, dal 2018 al 2022 gli attacchi informatici sono aumentati del 60% a livello globale. In Italia, solo nel 2022 l’incremento è stato del 169% rispetto all’anno precedente. Particolarmente preso di mira il settore manifatturiero, dove è stata raggiunta la cifra record del +191,7%. La spesa in cybersecurity, viste le premesse, è in costante ascesa, dopo aver toccato 1.590 milioni di euro nel 2022. Può bastare? Secondo Agostino Santoni, Vice Presidente di Confindustria con delega al Digitale non serve solo la tecnologia ma anche le risorse specializzate: “La parole d’ordine è ecosistema. Certo è la dimostrazione di quanto stia aumentando la consapevolezza dei rischi legati alla sicurezza informatica, tanto che nella sfera imprenditoriale ormai è considerata un fattore strategico di competitività. Si tratta di un tema che l’attuale fase di transizione digitale ha reso ancora più urgente e, per gestire l’implementazione dei nuovi processi, va affrontato lavorando sulle competenze del capitale umano”.
Quello che emerge dal rapporto Cyber Index PMI è uno scenario italiano composto da quattro livelli di maturità. Le 708 PMI coinvolte raggiungono complessivamente un valore di medio di Cyber Index di 51 su 100, con il livello di sufficienza che è 60 su 100. Il Cyber Index PMI scaturisce dall’analisi di tre diverse dimensioni: l’approccio strategico, la capacità di comprendere il fenomeno e le minacce (identificazione), l’introduzione di leve per mitigare il rischio (attuazione). Il Rapporto evidenzia come, seppur vi sia una crescente attenzione sulla materia, manchi un vero e proprio approccio strategico che preveda la definizione di investimenti e la formalizzazione di responsabilità da parte della popolazione aziendale italiana, con un punteggio medio di 54 su 100. Sebbene le leve di attuazione siano maggiormente sviluppate, con un valore di 56 su 100, le PMI hanno difficoltà nello stabilire priorità, perché mancano le azioni di identificazione corrette che permettano di approcciare il tema in maniera più oculata e consapevole. I rispondenti, rappresentativi dell’intera popolazione di PMI italiane, possono essere raggruppati in 4 livelli di maturità: il 14% è considerato maturo, il 31% può essere definito come consapevole, il 35% è informato mentre il 20% può essere definito principiante.
“Il Rapporto Cyber Index PMI evidenzia complessivamente una situazione di scarsa consapevolezza dei rischi cyber, in uno scenario dove le PMI rappresentano il motore dell’economia del nostro Paese” ha spiegato Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano. “Le difficoltà a stanziare fondi e a internalizzare figure professionali dedicate rendono complesso identificare minacce e priorità di azione e spesso l’approccio al rischio cyber è solo di tipo artigianale”.
Il 58% delle PMI manifesta un’attenzione concreta attraverso un budget stanziato per la sicurezza informatica. In termini di mitigazione del rischio, il 57% ha una dotazione tecnologica per il monitoraggio delle anomalie; il 41% prevede contromisure per limitare l’esposizione degli utenti aziendali a rischi informatici; il 17% delle aziende intervistate ha già sottoscritto una soluzione assicurativa dedicata, mentre il 29% non è a conoscenza delle possibilità di copertura del rischio cyber. “Da anni assistiamo ad una crescita rilevante degli attacchi informatici e mai come oggi, il panorama delle minacce cyber, ulteriormente aggravato dal contesto geopolitico, rende ancora più urgente la necessità per le imprese di individuare le possibili fonti di rischio” sottolinea ancora Remo Marini. “Bisogna supportare le PMI aumentando la loro consapevolezza in materia di rischi cyber, accrescendo il loro livello di maturità e di protezione e fornendo loro gli strumenti assicurativi utili a mitigare il rischio residuo”.