Un attacco subito aumenta la percezione del rischio e la spesa in prevenzione. Ma le imprese più piccole e quelle del Mezzogiorno risultano meno consapevoli. Un documento da leggere pensando alla direttiva Nis 2
Chiudere la stalla quando i buoi sono scappati. È l’espressione idiomatica che viene in mente sfogliando il paper di Banca d’Italia dal titolo “La sicurezza cibernetica delle imprese italiane: percezione dei rischi e pratiche di mitigazione”.
Lo studio analizza il livello di consapevolezza delle imprese circa i rischi cibernetici e la loro capacità di adottare strategie di mitigazione sulla base delle evidenze raccolte con le edizioni del 2016 e del 2022 dell’Indagine sulle imprese industriali e dei servizi della Banca d’Italia.
Sono tre le conclusioni che emergono dal documento, firmato da Lorenzo Bencivelli e Matteo Mongardini, entrambi del Dipartimento di economia e statistica di Palazzo Koch. Prima: quasi il 90 per cento delle imprese è consapevole della possibilità di subire un attacco informatico, cui però non sempre corrisponde un adeguato impegno finanziario per fronteggiarne i rischi. Seconda: le imprese che in passato hanno subito un attacco mostrano una maggiore percezione del rischio a cui si associa una più elevata spesa in prevenzione. Terza: le imprese più piccole e quelle del Mezzogiorno risultano meno consapevoli dei rischi cibernetici.
Quest’ultimo punto, che riassume i divari sia rispetto alla dimensione sia rispetto alla geografia, è particolarmente rivelante alla luce del prossimo recepimento (entro metà ottobre) nell’ordinamento nazionale di due direttiva europee: la Nis 2 per la cybersicurezza; la Cer per la resilienza dei soggetti critici. Lo studio conferma i numeri del Cyber Index PMI, pubblicato a ottobre da Generali e Confindustria: le 708 piccole e medie imprese coinvolte nel rapporto hanno raggiunto complessivamente un valore di medio di Cyber Index a 51 su 100, con la sufficienza fissata a 60.
Il sistema economico italiano, il cosiddetto nanismo, può essere messo a dura prova considerato che il passaggio dalla direttiva Nis 1 alla direttiva Nis 2 porterà i soggetti interessati da un migliaio a decine di migliaia e coinvolgerà settori in cui i livelli di maturità sono molto diversi. “È importante permettere all’economia italiana di crescere gradualmente affinché sia più forte e anche appetibile a interlocutori solidi e credibili”, osservava qualche settimana fa Alessandro Manfredini, presidente di Aipsa (Associazione italiana professionisti della security aziendale), parlando con Formiche.net.