Cyber risks, le imprese si devono difendere

Ennio Montagnani

In un recente studio della Banca d'Italia (Cyber attacks: preliminary evidence from The Bank of Italy's business survey), sono stati presentati i primi dati preliminari sui rischi derivanti dagli attacchi informatici (cyber attacks) nel settore privato italiano sulla base di un campione rappresentativo di imprese industriali e dei servizi non finanziari con almeno 20 dipendenti. La prima evidenza che emerge è che soltanto l'1,5% degli intervistati ha dichiarato di non prendere tutte le misure di sicurezza informatica necessarie, a dimostrazione del fatto di come la consapevolezza del rischio di pirateria informatica sia diffuso ormai nell'economia: tuttavia, in parallelo, è emersa una vulnerabilità ancora significativa.

Circa un terzo delle aziende ha riferito di aver subito danni da attacchi informatici, in termini di continuità operativa e/o integrità e riservatezza dei dati aziendali, tra il settembre 2015 e il settembre 2016. Gli analisti della Banca d'Italia hanno poi provveduto a correggere i dati per tenere conto del fatto che alcuni aziende possono non essere a conoscenza del fatto di essere stati oggetto di cyber attacks, mentre altre imprese potrebbero essere state reticenti nel rivelare ciò che è percepito come informazioni sensibili: la stima della quota delle aziende effettivamente attaccate da pirati informatici è così salita al 45,2% (ovvero al 56% degli occupati totali nelle aziende del campione): da segnalare che i tassi più elevati di cyber attacks (68,2%) si sono registrati nelle imprese con più di 500 dipendenti.

Dallo studio emerge inoltre che le grandi imprese, quelle operanti nei settori ad alta tecnologia, quelle che impiegano una quota elevata di manodopera qualificata e quelle con un significativo grado di visibilità internazionale, hanno maggiori probabilità di essere colpite. Queste imprese sono infatti più visibili e più attraenti rispetto alle altre per chi effettua gli attacchi: non solo sono più conosciute e più presenti online rispetto alla media, ma tendono anche a gestire grandi quantità di dati preziosi. Lo studio di Bankitalia non valuta, per mancanza di dati, due dimensioni rilevanti nel tema cyber attacks: la correlazione tra impresa, livello vulnerabilità e gli investimenti in difesa cibernetica, e il costo delle violazioni informatiche.

Il tema dei rischi informatici e delle loro implicazioni è stato al centro di attenzioni anche in altri due documenti recentemente pubblicati: il numero di gennaio 2017 della rivista Sigma, di Swiss Re (compagnia svizzera di riassicurazioni), e un report del World Economic Forum. Il report di Sigma-Swiss Re sottolinea che il livello generale di consapevolezza delle imprese nei confronti di questi rischi è ancora limitato: sono poche le aziende che hanno integrato i cyber risks all'interno dei loro modelli di risk management.

Anche dal punto di vista assicurativo, le coperture disponibili sono generalmente insufficienti e di ampiezza limitata.

Il report di World Economic Forum suggerisce, al fine di migliorare la capacità delle imprese, di far fronte a questi rischi, di portare le decisioni relative alla sicurezza informatica al livello di responsabilità più elevata, ossia quello del cda e la creazione di una figura responsabile del controllo e del monitoraggio dei cyber risks.