Le piccole e medie imprese italiane non hanno passato l’esame sulla gestione dei rischi cyber. Raggiungono complessivamente un livello di consapevolezza in materia di sicurezza digitale di 52 su 100, rispetto a una sufficienza di 60 su 100, in crescita di un solo punto percentuale rispetto al 2023. È quanto emerge dal secondo Rapporto Cyber Index Pmi, realizzato da Generali e Confindustria, con il supporto scientifico dell’Osservatorio cybersecurity & data protection della School of management del Politecnico di Milano, con la partecipazione dell’Agenzia per la cybersicurezza nazionale.

Il rapporto

Nello specifico il 44% delle 1.005 piccole e medie imprese intervistate riconosce il rischio cyber, ma solo il 15% ha un approccio strategico e la capacità di valutare questo rischio e mitigarlo; il 56% è poco consapevole, con un 18% che si può definire principiante, con una quasi nulla implementazione delle misure di protezione. Il rapporto evidenzia come, seppur vi sia una crescente attenzione sulla materia, manchi un vero e proprio approccio strategico che preveda la definizione di investimenti e la formalizzazione di responsabilità da parte delle aziende italiane, con un punteggio medio di 54 su 100 (+ 2% sul 2023). Sebbene le leve di attuazione siano maggiormente sviluppate, con un valore di 57 su 100 (+1%), le piccole e medie imprese hanno difficoltà nello stabilire priorità, perché mancano le azioni di identificazione corrette che permettano di approcciare il tema in maniera più oculata e consapevole, con un punteggio medio di identificazione 45 su 100 (+2%)

Le parole di Piva (PoliMi)

Secondo Alessandro Piva, direttore dell’Osservatorio cybersecurity & data protection del Politecnico di Milano, che ha illustrato i dati nel corso di un evento nella sede di Confindustria a Roma, il documento “conferma il persistente ritardo nella maturità delle piccole e medie imprese in ambito cybersecurity, pur registrando una lieve crescita dell’indice rispetto al 2023. Sebbene la consapevolezza sui rischi cresca, le piccole e medie imprese continuano a manifestare scarsa comprensione del dominio aziendale e della propria filiera”. La “principale vulnerabilità” rimane il fattore umano, ha spiegato ancora. Ma “nel prossimo futuro gli sviluppi tecnologici, in particolare l’intelligenza artificiale e la generative AI, contribuiranno ad aumentare l’incertezza sui rischi cyber, rendendo indispensabile l’adozione di misure preventive immediate. Diversamente, il divario tra capacità difensive e offensive è destinato ad ampliarsi, con l’aggravarsi delle minacce informatiche”. È quindi “necessario un cambio di approccio culturale alla cybersecurity, considerandola non solo come un obbligo normativo, ma come un elemento distintivo”.

La sveglia di Frattasi (Acn)

“Bisogna investire” ha detto Bruno Frattasi, direttore generale dell’Agenzia per la cybersicurezza nazionale. La struttura che dirige, ha aggiunto, “è da sempre impegnata, e in diversi modi, a sostegno delle imprese. Da poco più di un anno abbiamo promosso una massiccia campagna informativa per sensibilizzare le Pmi e renderle più mature nell’affrontare la minaccia cyber. Sappiamo bene, però, che il miglioramento continuo delle capacità di cyber resilienza delle Pmi passa anche attraverso una virtuosa collaborazione pubblico-privato nell’adozione delle nuove normative europee quali la NIS2 e il Cyber resilience act e il rafforzamento continuo delle iniziative di supporto finanziario e tecnologico che, come Acn, mettiamo anche mediante fondi europei”, ha concluso.

Labriola (Confindustria) per un approccio strategico

La sicurezza informatica è “una sfida che riguarda imprese, istituzioni e cittadini”, ha detto Pietro Labriola, delegato del presidente di Confindustria per la transizione digitale e amministratore delegato di Tim. “In un contesto di minacce sempre più sofisticate è fondamentale che il Paese adotti un approccio strategico che favorisca la cultura della cybersecurity”. Per farlo, “dobbiamo investire in tecnologie sicure, accrescere le competenze e costruire un sistema di collaborazione pubblico-privato che consenta alle nostre aziende, soprattutto alle Pmi, di proteggersi efficacemente”, ha detto ancora.

Servono passi significativi, dice Marini (Generali)

Remo Marini, Group Chief Security Officer di Assicurazioni Generali, ha evidenziato come il numero crescente di incidenti cyber a livello globale e nazionale sottolinei “l’importanza di dotarsi di presidi e controlli di sicurezza sempre più solidi”. Per questo, “le organizzazioni italiane devono potenziare le proprie difese digitali, soprattutto in un contesto di crescita tecnologica continua e requisiti regolamentari stringenti, nonché interconnessione sempre maggiore tra minacce cyber e dinamiche geopolitiche e sociali”, ha spiegato. “È fondamentale che le aziende siano consapevoli dei propri asset critici e dei rischi che corrono, e che alla luce di ciò prioritizzino gli interventi ed agiscano rapidamente per rafforzare i propri meccanismi di protezione”, ha concluso. “Solo attraverso un impegno continuo e strategico sarà possibile tutelare il proprio patrimonio informativo e garantire una maggiore resilienza operativa”.