Rapporto Cyber Index PMI: le piccole e medie imprese italiane affrontano la sfida della sicurezza digitale

E’ stato presentato il 19 ottobre a Roma il primo rapporto sullo stato di consapevolezza in materia di rischi cyber all’interno delle PMI, che ha l’obiettivo di promuovere la diffusione della cultura digitale tra le piccole e medie imprese italiane.

Il Cyber Index PMI, realizzato da Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano e con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale, evidenzia e monitora nel tempo il livello di conoscenza dei rischi cyber all’interno delle organizzazioni aziendali e le modalità di approccio adottate dalle stesse per la gestione di tali rischi.

Il Cyber Index PMI si basa sulla valutazione di tre diverse dimensioni: l’approccio strategico, la capacità di comprendere il fenomeno e le minacce (identificazione), l’introduzione di leve per mitigare il rischio (attuazione).

Secondo il Rapporto, che ha coinvolto oltre 700 imprese,

“le PMI italiane raggiungono complessivamente un livello di consapevolezza in materia di sicurezza digitale di 51 su 100 (il livello di sufficienza è 60 su 100). Il 45% delle PMI intervistate riconosce il rischio cyber ma solo il 14% ha un approccio strategico in materia e la capacità di valutare il rischio cyber e di mitigarlo; il 55% è poco consapevole con un 20% che si può definire principiante”.

I rispondenti, rappresentativi dell’intera popolazione di PMI italiane, possono essere raggruppati in 4 livelli di maturità:

• il 14% è considerato maturo: ha un approccio strategico alla materia, è pienamente consapevole rischi ed è in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie
• il 31% può essere definito come consapevole: è in grado di comprendere le implicazioni dei rischi cyber, ma con una capacità operativa spesso ridotta per poter mettere in campo le corrette azioni
• il 35% è informato: non pienamente consapevole del rischio cyber e degli strumenti da mettere in atto, si approccia al rischio cyber in modo «artigianale»
• il 20% può essere definito principiante: poco consapevole dei rischi cyber e con una quasi nulla implementazione delle misure di protezione

Il Rapporto non registra rilevanti differenze territoriali mentre il livello di maturità delle imprese è correlato con la dimensione aziendale: da un valore medio di 43 per le microimprese, a uno di 53 per le piccole e fino a 61 per le medie.

Il 58% delle PMI manifesta un’attenzione concreta attraverso un budget stanziato per la sicurezza informatica della propria azienda: tuttavia, nella maggior parte dei casi rientra nel più ampio investimento destinato all’IT, solo il 17% ne prevede uno ad hoc.

In termini di mitigazione del rischio, il 57% ha una dotazione tecnologica per il monitoraggio delle anomalie; il 41% prevede contromisure per limitare l’esposizione degli utenti aziendali a rischi informatici, attraverso un’azione sul fattore umano, ovvero tramite policy comportamentali o iniziative di formazione degli utenti; infine, il 17% delle aziende intervistate ha già sottoscritto una soluzione assicurativa dedicata, mentre il 29% non è a conoscenza delle possibilità di copertura del rischio cyber.

È questo uno scenario che evidenzia una certa fragilità in termini di sicurezza informatica nel settore delle PMI italiane e dovrebbe spronare le stesse PMI ad una maggiore consapevolezza sui rischi e soprattutto a adottare efficaci strumenti di sicurezza digitale e logica.

“Se è vero che parte delle PMI italiane hanno ben compreso l’importanza della sicurezza informatica e si stanno dunque attrezzando per affrontare uno scenario in continua evoluzione, le aziende che hanno dimensione ridotta complicano il percorso nel suo insieme. Vi è ancora, infatti, una quota significativa di aziende che faticano a gestire il rischio in maniera oculata e che ne sottovalutano i potenziali impatti. È necessario dunque un cambio di mindset rispetto alla gestione dei rischi cyber che deve essere interpretata come fattore abilitante della trasformazione digitale. Inoltre, valutando la centralità assunta dalla materia nel contesto sociale e globale in cui viviamo e con l’obiettivo di rendere resiliente l’economia del Paese, si sente il bisogno di un approccio sistemico in cui intervengano anche le istituzioni per definire opportunità di investimento comuni e rafforzare le infrastrutture aziendali”.

Nell’ottica di aumentare la conoscenza su temi di rischi cyber e di attacchi informatici per le imprese, sono previsti incontri di formazione e workshop su base territoriale. Gli esperti di Generali e la rete agenziale coinvolgeranno, con la loro consulenza di valore, le imprese associate a Confindustria, per garantire una maggior consapevolezza dei rischi legati alla crescente digitalizzazione e per proteggere le imprese dal crimine informatico. Le tappe previste sono Parma, Firenze, Torino, Genova, Milano, Perugia e Bologna.

Giancarlo Fancel Country Manager & CEO di Generali Italia ha dichiarato:

“Consapevoli della nostra responsabilità sociale in qualità di primo assicuratore in Italia, vogliamo contribuire in maniera concreta a diffondere tra le imprese la cultura della cyber sicurezza, ad accrescere la consapevolezza della vulnerabilità rispetto al rischio informatico e a sottolineare l’importanza dell’adozione di adeguate soluzioni di protezione. Lo facciamo con iniziative concrete a livello nazionale e locale”.

Bruno Frattasi, Direttore Generale dell’Agenzia per la cybersicurezza nazionale ha dichiarato:

“Promuovere l’innovazione e favorire la trasformazione digitale delle PMI italiane significa anche metterle in condizione di saper gestire il rischio derivante dagli incidenti informatici. A ciò si aggiunge anche la sfida posta dall’affermarsi di tecnologie dirompenti come l’Intelligenza Artificiale e il quantum computing, con tutte le opportunità e rischi che ne conseguono. Il rapporto, a cui ACN ha fornito pieno supporto, fotografa una realtà ben nota del proliferarsi e inasprirsi delle insidie digitali. Ecco perché è fondamentale fornire alle aziende italiane strumenti di autovalutazione come il “Cyber index PMI” per comprendere il grado di maturità nell’affrontare la minaccia cyber e predisporre quindi opportune misure tecnologiche e organizzative per alzare il livello di protezione e stimare il cosiddetto rischio residuo”.

Agostino Santoni, Vicepresidente di Confindustria per il Digitale ha detto:

“I numeri dimostrano che la protezione dei dati è ormai un tema ineludibile. Dal 2018 al 2022 gli attacchi informatici a livello globale sono aumentati del 60% e, solo in Italia, nel corso del 2022, abbiamo registrato un incremento del 169% rispetto all’anno precedente. Nel settore manifatturiero abbiamo raggiunto la cifra record di +191,7% e la spesa in cybersecurity nel nostro Paese ha raggiunto 1.590 milioni di euro nel 2022, in costante crescita. È la dimostrazione di quanto stia aumentando la consapevolezza dei rischi legati alla sicurezza informatica, tanto che nella sfera imprenditoriale ormai è considerata un fattore strategico di competitività. Per questo Confindustria si è impegnata a sensibilizzare il proprio Sistema associativo sulla cybersecurity, con particolare attenzione alle PMI. Si tratta di un tema che l’attuale fase di transizione digitale ha reso ancora più urgente e, per gestire l’implementazione dei nuovi processi, va affrontato lavorando sulle competenze del capitale umano”.

Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano ha affermato:

“Il Rapporto Cyber Index PMI evidenzia complessivamente una situazione di scarsa consapevolezza dei rischi cyber, in uno scenario dove le PMI rappresentano il motore dell’economia del nostro Paese e sono partner strategici di grandi imprese in filiere di rilevanza nazionale ed internazionale. Le difficoltà a stanziare fondi e a internalizzare figure professionali dedicate rendono complesso identificare minacce e priorità di azione e spesso l’approccio al rischio cyber è solo di tipo artigianale. Solo il 14% dele organizzazioni si può considerare maturo, con un approccio strategico alla materia e in grado di introdurre le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie.”

La Redazione di Open Gate