• Privacy - Data breach

23 ottobre 2023

Rischio cyber: pubblicato il primo rapporto sullo stato di consapevolezza delle PMI in materia di cybersicurezza

Il 19 ottobre 2023 è stato presentato a Roma il primo rapporto "Cyber Index PMI", l’indice che misura lo stato di consapevolezza in materia di rischi cyber delle aziende di piccole e medie dimensioni.


Il rapporto “Cyber Index PMI”, realizzato da Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano e con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale, evidenzia e monitora nel tempo il livello di conoscenza dei rischi cyber all’interno delle organizzazioni aziendali e le modalità di approccio adottate dalle stesse per la gestione di tali rischi.

Lo scenario in cui si muovono le imprese è caratterizzato da una crescita incessante delle minacce cyber. In un contesto di trasformazione digitale sempre più spinta, gli attacchi informatici aumentano senza sosta, prendendo di mira piccole e grandi organizzazioni. Di conseguenza, negli ultimi anni si è registrata una crescente attenzione al tema cybersecurity, diventato la prima priorità di investimento nel digitale per PMI e grandi imprese. Da questa esigenza nasce la promozione dell’iniziativa "Cyber Index PMI" strutturata in una ricerca triennale, con l'obiettivo di misurare il livello di cultura e consapevolezza del rischio cyber nelle piccole e medie imprese italiane.

Lo scopo principale del rapporto "Cyber Index PMI" è quello di rispondere al bisogno delle aziende italiane di conoscere, comprendere ed affrontare al meglio la propria esposizione al rischio cyber, supportando le organizzazioni nella scelta delle tutele più opportune, rendendole consapevoli dell’importanza del monitoraggio e del controllo delle attività e mostrando loro le tecniche e le tecnologie adottabili a supporto della gestione del cyber risk. Nello specifico, a conclusione dell’analisi viene attribuito ad ogni impresa un livello di maturità in materia di cybersicurezza sulla scala “Principiante – Informata – Consapevole – Matura”, in base al valore dell’indice ottenuto e quindi al grado di consapevolezza e di capacità di mitigazione del rischio.

Il report personalizzato rappresenta un primo strumento di valutazione e di mappatura individuale per ciascuna azienda. Sarà possibile affiancare successivamente un’analisi approfondita da effettuarsi con soluzioni specialistiche, utili per accrescere il livello di protezione rispetto ai rischi cyber: attività di consulenza, strumenti tecnologici e prodotti assicurativi, personalizzati in base alla cultura cyber e digitale d’impresa. 

Il panorama di riferimento per il rischio cyber sta vivendo un momento di grande turbolenza. Nella “nuova normalità” che è seguita al periodo di emergenza sanitaria, gli attacchi informatici sono sempre più frequenti e significativi. Dal 2018 al 2022 si è rilevato un aumento del 60% degli attacchi gravi di dominio pubblico a livello mondiale. I fattori che contribuiscono ad aumentare l’esposizione al rischio cyber delle organizzazioni sono molteplici. Da un lato, c’è la proliferazione di nuove tecnologie digitali sia in ambito business sia in ambito consumer, fortemente accelerata dalla pandemia, che ha portato ad un’espansione della superficie d'attacco. Dall’altro lato c’è l’instabilità geopolitica, che, con lo scoppio del conflitto russo-ucraino, ha evidenziato nell’information warfare un nuovo potenziale fronte. Anche la gestione della supply chain ha assunto una crescente rilevanza per le organizzazioni dal punto di vista della sicurezza. Gli attori lungo la filiera sono sempre più interconnessi su scala globale, tanto che spesso risulta più semplice per un aggressore accedere alla rete di un'azienda tramite un attacco a terze parti.

Negli ultimi anni, anche grazie a una forte visibilità mediatica, si è assistito ad una progressiva presa di consapevolezza da parte delle aziende, con un aumento dell’attenzione nei confronti della sicurezza informatica, considerata la principale priorità di investimento in digitale per PMI e grandi imprese. Il rischio cyber, nella sua concezione tradizionale di minaccia ai sistemi informativi, non ha mutato solo nella manifestazione, ma anche nella frequenza con cui colpisce e nella gravità degli effetti prodotti. La nuova immagine che le imprese hanno del rischio cyber, come rischio operativo a tutti gli effetti, è legata all'evidenza che tali rischi hanno un impatto concreto sulla performance e sulla reputazione aziendale. Il rischio cyber non è più percepito come una minaccia che si manifesta come mero problema tecnico dell’infrastruttura aziendale, quanto come un pericolo che può avere impatto sugli azionisti e sugli investitori, sui partner commerciali e sui fornitori, sui dipendenti e sui clienti

Questa presa di coscienza viene concretamente evidenziata sia dalla crescita del mercato italiano della cybersecurity, che ha raggiunto nel 2022 il livello record di 1.86 miliardi di euro (+18% rispetto al 20213), sia dagli investimenti previsti dal Piano Nazionale di Ripresa e Resilienza (PNRR) che hanno portato alla nascita dell’Agenzia per la Cybersicurezza Nazionale.

Nonostante la progressiva presa di coscienza rispetto all’importanza della materia, il cyber index evidenza un quadro di generale ritardo nelle PMI italiane. Il valore medio dell’indice è 51 su un punteggio massimo di 100. Il cyber index è derivato da una valutazione su diverse dimensioni: approccio strategico, capacità di comprendere il fenomeno e le minacce (identificazione), introduzione di leve per mitigare il rischio (attuazione).

Dal rapporto si evince che la crescente attenzione sul tema stenta a tradursi in un vero e proprio approccio strategico (punteggio medio approccio strategico: 54) che preveda la definizione di investimenti e la formalizzazione di responsabilità. Sebbene le leve di attuazione siano maggiormente sviluppate (punteggio medio attuazione: 56), le PMI faticano a stabilire priorità, perché spesso mancano le azioni di identificazione corrette che permettano di approcciare il tema in maniera più oculata e consapevole (punteggio medio identificazione: 43).

Sono individuati 4 livelli di maturità per le PMI:

  • alcune PMI (14%) possono essere considerate "mature", con un approccio strategico alla tematica, pienamente consapevoli dei rischi e in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie;
  • un ulteriore 31% è composto da aziende che si possono definire "consapevoli", in grado di comprendere le implicazioni dei rischi cyber, ma con una capacità operativa spesso ridotta per poter mettere in campo le corrette azioni;
  • seguono poi le "informate", categoria a cui afferisce il 35% delle PMI. Non pienamente consapevoli del rischio cyber e degli strumenti da mettere in atto, si approcciano al rischio cyber in modo «artigianale»;
  • si segnala ancora un 20% di imprese che si possono definire "principianti", poco consapevoli dei rischi cyber e con un basso livello di adozione di misure di sicurezza.

Il livello di maturità delle imprese è correlato con la dimensione aziendale. Sebbene sia il questionario sia l’impostazione dell’indice tengano in considerazione questo aspetto, il cyber index sintetico passa da un valore medio di 43 per le micro-imprese, a 53 per le piccole e fino a 61 per le medie.

Non si evidenziano invece rilevanti differenze territoriali. La cybersecurity si conferma una tema critico in tutta la penisola, indipendentemente dalla provenienza geografica dell’azienda.

Analizzando alcune aree verticali che compongono la gestione della cybersecurity aziendale, si rileva un sostanziale ritardo, sebbene alcuni elementi lascino ben sperare nel percorso di progressiva maturazione delle PMI. Nel 51% dei casi, infatti, il tema della cybersecurity è percepito come strategico. Le principali iniziative di alto livello sono legate alla formalizzazione di una figura o una responsabilità di presidio della materia e alla definizione di un budget destinabile alla sicurezza informatica. Rispetto al primo punto, si evidenzia una tendenza ad esternalizzare le competenze (35% delle PMI preferisce affidarsi a fornitori esterni per la gestione della cybersecurity) dovuta alle risorse spesso limitate e alle difficoltà di reperimento sul mercato e inserimento in organico di figure con competenze specialistiche. Solo il 17% delle PMI ha inserito una figura interna ad hoc, mentre permane una quota di PMI (22%) che non presidia la sicurezza informatica.

Per quanto riguarda gli investimenti, il 58% delle PMI manifesta un’attenzione concreta, stanziando un budget per la sicurezza informatica. Nella maggior parte dei casi i fondi attingono ad un più ampio budget IT, mentre nel restante 17% se ne prevede uno dedicato.

Per quanto riguarda le azioni di mitigazione, le principali evidenze sono relative ai temi tecnologici, alla gestione del fattore umano e al trasferimento del rischio:

  • la maggior parte delle PMI (57%) ha introdotto una dotazione tecnologica per il monitoraggio delle anomalie e per la protezione dei dati aziendali;
  • il 41% prevede contromisure per limitare l'esposizione degli utenti aziendali a rischi informatici, agendo sul «fattore umano» tramite l’introduzione di policy comportamentali o iniziative di formazione degli utenti;
  • il trasferimento del rischio cyber residuo è una possibilità ancora poco esplorata e conosciuta dalle PMI. Una quota pari al 17% ha già stipulato polizze assicurative, mentre il 30% non è a conoscenza delle possibilità di copertura del rischio cyber.

La prima edizione del Cyber Index PMI evidenzia, dunque, che parte delle PMI italiane ha recepito la rilevanza del tema e si sta attrezzando per affrontare uno scenario in evoluzione, caratterizzato dall’inasprimento del rischio cyber. La ridotta dimensione delle piccole e medie Imprese, però, rende il percorso di maturazione arduo. Permane una quota significativa di aziende che faticano a gestire il rischio in maniera oculata e che ne sottovalutano i potenziali impatti. La strada da fare è ancora lunga: la notevole complessità del contesto rende necessaria una trasformazione culturale, interpretando la cybersecurity come un fattore abilitante della trasformazione digitale.

Considerando la centralità assunta dalla materia nel contesto sociale globale e con l’obiettivo di rendere resiliente il sistema economico, si avverte l’opportunità di un approccio di sistema in cui, accanto alle organizzazioni, vi sia un ruolo crescente delle istituzioni per sensibilizzare e definire opportunità di investimento comuni, in aggiunta al rafforzamento infrastrutturale.

La durata pluriennale del Cyber Index PMI, iniziativa nata con orizzonte triennale, consentirà di monitorare l'evoluzione della maturità delle PMI italiane, con l'auspicio di rilevare significative evoluzioni nell'approccio ai temi di cybersicurezza.