attacchi hacker

di Pierluigi Di Paolo

Lo scorso 12 giugno la Banca d’Italia ha pubblicato lo studio La sicurezza cibernetica delle imprese italiane: percezione dei rischi e pratiche di mitigazione, redatto da Lorenzo Bencivelli e Matteo Mongardini. Questo lavoro analizza il livello di consapevolezza delle imprese italiane riguardo ai rischi cibernetici e le strategie che queste adottano per mitigarli. I dati utilizzati derivano dalle edizioni del 2016 e del 2022 dell’Indagine sulle imprese industriali e dei servizi della Banca d’Italia.

Il focus della ricerca

Dalla ricerca svolta emerge che quasi il 90% delle imprese italiane è consapevole della possibilità di subire un attacco informatico. Tuttavia, non sempre questa consapevolezza si traduce in un adeguato impegno finanziario per affrontare i rischi. Le imprese che hanno subito attacchi in passato mostrano una maggiore percezione del rischio e tendono a investire di più in prevenzione. Le piccole imprese e quelle situate nel Mezzogiorno risultano meno consapevoli dei rischi cibernetici.

Secondo la ricerca inltre negli ultimi cinque anni, gli attacchi cibernetici si sono concentrati maggiormente su obiettivi privati, a differenza degli anni precedenti in cui erano mirati principalmente a infrastrutture pubbliche. Gli attacchi più comuni includono il furto di dati sensibili e i ransomware, dove i dati vengono crittografati e liberati solo dietro pagamento di un riscatto. Questa indicazione a giudizio di chi scrive sembra in contrasto con l’incremento di attacchi subiti dal settore pubblico a partire dal periodo Covid, considerato anche che l’healthcare è uno dei settori maggiormente attenzionati e quest’ultimo vede la preponderanza di istituzioni pubbliche. Così come a giudizio di chi scrive sembra in contrasto con le recenti analisi (si veda ad esempio il rapporto Clusit 2024), la percezione tra gli intervistati di un trend decrescente degli attacchi negli ultimi cinque anni.

Lo “stato dell’arte” delle imprese

Si conferma invece la bassa preparazione delle imprese italiane al rischio informatico e si conferma la scarsa propensione alla spesa. Anche se rispetto al 20216 nel 2022 si è notato un miglioramento, la maggior parte delle imprese continua ad investire poco in misure preventive. La dimensione dell’impresa e il settore di appartenenza influenzano la quantità di risorse allocate per la sicurezza cibernetica. Le imprese del Nord Italia tendono a investire di più rispetto a quelle del Sud e delle isole. L’essere stato oggetto di un attacco in passato è un fattore chiave che influisce sulla percezione del rischio cibernetico. È banale, ma le imprese con una maggiore dotazione tecnologica e con una presenza significativa sui mercati internazionali sono più sensibili ai rischi informatici e quindi più proattive.

La misura del rischio e i mezzi di protezione

La consapevolezza dei rischi cibernetici è diffusa, ma non sempre si traduce in azioni concrete e spesa adeguata. La preparazione varia significativamente tra le diverse dimensioni aziendali e le aree geografiche. Le piccole imprese e quelle del Mezzogiorno sono meno preparate e consapevoli dei rischi. Nonostante la diminuzione degli attacchi negli ultimi anni, la minaccia rimane mutevole e richiede aggiornamenti costanti dei sistemi di protezione.

In conclusione, dallo studio emerge che la consapevolezza dei rischi cibernetici appare largamente diffusa tra le imprese, sebbene in misura diversa tra classi dimensionali e aree geografiche. Più di un terzo delle aziende continua a non avere una funzione aziendale dedicata, né interna né esterna. Anche se metà delle imprese dichiarano di aver aumentato la spesa in sicurezza cibernetica nell’ultimo quinquennio, è plausibile ipotizzare che ciò sia dovuto più alla crescita dei costi per l’acquisizione di attrezzature hardware e software che a un incremento della domanda per questo tipo di servizi. I soggetti che sembrano avere maggiore difficoltà ad adottare misure per ridurre il rischio cibernetico, anche a seguito di attacchi subiti, sono quelli con una minore percezione del rischio, ovvero le aziende di minore dimensioni e, soprattutto, residenti nel meridione.