L’Italia è vulnerabile alla minaccia cyber come dimostrano la maggior frequenza di attacchi, rispetto alla media globale, sia nei livelli, sia nell’andamento temporale.
Secondo l’analisi del Rapporto Clusit 2024, fra il 2022 e il 2023 il numero di attacchi di proporzioni rilevanti indirizzati verso entità italiane è aumentato del 65% (a livello globale la crescita è stata del 12%). Nell’ultimo decennio la quota italiana sul totale mondiale è triplicata, superando il 12% nel 2023.
Tra le cause principali della vulnerabilità nazionale, gli esperti citano il ritardo sistematico del nostro Paese nel processo di digitalizzazione e l’insufficiente adozione di pratiche e metodi di prevenzione cibernetica.
Nell’Indagine sulle imprese industriali e dei servizi della Banca d’Italia (INVIND), si analizza anche il fenomeno cyber nel sistema produttivo italiano e le risorse allocate dalle unità produttive per contrastarlo.
Il campione è composto da circa 75.000 imprese, operanti nei settori industriali e dei servizi non finanziari con almeno 20 addetti, che rappresentano un fatturato pari al 70% del totale nazionale.
Il sondaggio affronta tre dimensioni del problema:
- la percezione della minaccia
- l’aver subito un attacco (con o senza conseguenze)
- la quantità di risorse investite per proteggersi dalla minaccia.
1. Percezione del rischio
Suddividendo le imprese per classi dimensionali, l’analisi evidenzia un chiaro andamento della percezione del rischio cyber.
Sono in maggioranza le imprese più piccole (20 – 49 addetti) a ritenerlo poco importante, con una percentuale del 14,4%. Questa percentuale diminuisce progressivamente all’aumentare della classe dimensionale, fino ad arrivare al 3,4% tra le imprese con più di 200 addetti.
In generale, circa il 60% delle imprese considera l’esposizione al rischio cyber moderata, indipendentemente da caratteristiche specifiche quali la collocazione geografica, la dimensione, il settore di attività e l’adozione di modalità di prestazione di lavoro di tipo agile.
Il 14% delle imprese che non hanno nessun addetto che lavora da remoto dichiara di non essere esposta alla minaccia, contro il 12% del totale. La percentuale scende a meno del 4% tra le imprese con una quota di lavoratori da remoto tra l’1% e il 50% e risale al 15% tra quelle con oltre la metà degli addetti che esegue la prestazione lavorativa in tutto, o in parte, fuori sede.
A una maggiore percezione del rischio corrisponde automaticamente una maggiore consapevolezza riguardo la minaccia.
Le unità produttive più grandi possiedono una cultura del rischio più sofisticata e per questo sono più frequentemente dotate di funzioni specifiche dedicate al risk management.
2. Attacchi cyber subiti negli ultimi 5 anni e eventuali danni patrimoniali
La frequenza degli attacchi cyber, con o senza conseguenze economiche, lungo la dimensione geografica per le imprese del Nord-Est e del Centro è pressoché in linea con la media nazionale del 24% (di cui 5% con danno patrimoniale). La frequenza scende nelle imprese operanti nel Sud e nelle Isole (18,6%; 5,5% con conseguenze), mentre è più alta nel Nord-Ovest (27,8%; 5,7% con conseguenze).
Emerge una chiara relazione crescente tra incidenza di eventi cyber e dimensione di impresa. Circa un quinto delle imprese con meno di 50 addetti dichiarano di aver subito un attacco cyber tra il 2017 e il 2022 (nel 5% dei casi con perdite patrimoniali). La frequenza cresce in modo progressivo con l’aumentare del numero di addetti, fino a giungere a oltre il 40% tra le imprese con oltre 200 dipendenti.
3. Investimenti per mitigare il rischio informatico
Le imprese del Sud e delle Isole sono quelle che, in percentuale, hanno speso meno in investimenti per proteggersi dagli eventi cyber. Circa tre quarti di esse hanno speso meno di 5.000 euro nel biennio in esame e meno del 10% ne ha spesi più di 10.000.
Dall’altro estremo della distribuzione sono le imprese del Nord-Est quelle più impegnate finanziariamente per la protezione contro gli attacchi informatici, con oltre un quarto di esse che spendono più di 10.000 euro.
L’analisi lungo la dimensione d’impresa ancora una volta mostra una chiara correlazione positiva tra la spesa in protezione dagli attacchi informatici e il numero degli addetti.
Gli esperti sottolineano la necessità per le imprese italiane di rafforzare le proprie difese cibernetiche. “Investimenti adeguati in tecnologie di sicurezza, formazione del personale e piani di risposta agli incidenti sono fondamentali per mitigare i rischi. Le istituzioni, a loro volta, dovrebbero promuovere una cultura della cybersecurity a livello nazionale, sostenendo le imprese con incentivi fiscali e normative chiare”.
Fonte: ANIA (L’assicurazione italiana 2024 – 25 | Pag. 261)