Il rischio cibernetico può avere conseguenze significative sulla continuità aziendale e andrebbe incluso nella valutazione del merito creditizio.
Secondo un report pubblicato dalla Banca d’Italia, “l’opportunità di includere il rischio cibernetico nei modelli di valutazione del merito creditizio è suggerita dai dati relativi agli attacchi informatici in Italia, in aumento dal 2019”.
L’indicatore di vulnerabilità al rischio cibernetico per le imprese non finanziarie italiane adottato dalla Banca d’Italia è costruito impiegando modelli avanzati di intelligenza artificiale applicati a bilanci, notizie di stampa e rapporti sulla sicurezza cibernetica.
L’indicatore si basa su una tassonomia elaborata per il contesto italiano che coglie, per un campione di imprese ampio ed eterogeneo:
- il verificarsi di attacchi informatici
- il grado di rispetto della regolamentazione
- la presenza di tecnologie di difesa e certificazioni di sicurezza cibernetiche.
I risultati indicano che il rischio cibernetico può avere conseguenze significative sulla continuità aziendale e va quindi incluso nella valutazione del merito creditizio.
Settori più esposti
I settori più frequentemente presi di mira sono: produzione, servizi professionali, scientifici e tecnici, commercio all'ingrosso e al dettaglio e riparazione di veicoli.
Ogni settore affronta minacce informatiche distinte in base ai propri modelli operativi, all'esposizione digitale e al tipo di dati gestiti.
Il settore manifatturiero è il più colpito. Questo andamento riflette la crescente digitalizzazione e interconnessione dei sistemi industriali associata all'Industria 4.0 che amplia la superficie degli ambienti tecnologici operativi esposti agli attacchi.
Gli attacchi informatici crescono anche nel settore professionale, scientifico e tecnico, in linea con l'esposizione del settore ai rischi associati alla proprietà intellettuale e ai servizi aziendali specializzati.
Il marcato aumento degli attacchi informatici nel settore del commercio all'ingrosso, al dettaglio e delle riparazioni di veicoli riflette le vulnerabilità legate alla gestione dei dati dei clienti, alle estese reti di fornitori e alla dipendenza dai sistemi di pagamento digitali.
Tipologie di attacco
Le violazioni dei dati sono la tipologia di attacco più diffusa in tutti i settori, mentre il ransomware è prevalente nei settori manifatturiero, dei servizi professionali e del commercio al dettaglio.
Il phishing è comune nei settori dei trasporti, manifatturiero e IT, mentre il malware colpisce frequentemente i settori dei servizi professionali, manifatturiero e del commercio al dettaglio.
Conclusioni
La frequenza e l'entità di queste minacce confermano la necessità di un monitoraggio sistematico e di una solida valutazione del rischio informatico delle aziende.
L'adozione della threat intelligence (raccolta e analisi sistematica delle informazioni sulle minacce informatiche) agevola il passaggio a una strategia di sicurezza proattiva che prevede misure preventive per rilevare e mitigare i rischi.
La crescente importanza della privacy dei dati e della conformità normativa (obblighi GDPR) suggerisce infine l'integrazione dei principi di protezione dei dati nel più ampio quadro di gestione del rischio aziendale.
Fonte: Banca d’Italia