Cyber Index PMI: solo il 15% delle aziende italiane raggiunge una strategia matura

Lo stato della sicurezza digitale: un quadro preoccupante

Un quadro preoccupante sullo stato della sicurezza digitale nel nostro Paese che emerge dal secondo rapporto annuale presentato da Confindustria e Generali, con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano e con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale.

E ben rappresentato anche dalla dichiarazione di Angelo Camilli, Vicepresidente per il Credito la Finanza e il Fisco di Confindustria: “La cyber security è un pilastro fondamentale per la resilienza e la crescita del nostro sistema economico. Rafforzare la sicurezza digitale significa tutelare il futuro delle nostre aziende e dell’intero sistema produttivo, creando un ecosistema più sicuro e competitivo. Confindustria lavora per supportare questo processo, attraverso iniziative come il Cyber Index PMI e il dialogo costante con le istituzioni”.

Gli fa eco Massimo Monacelli, General Manager di Generali Italia ha dichiarato: “Le piccole e medie imprese italiane contribuiscono in maniera determinante alla crescita, all’occupazione e all’innovazione del nostro Paese. Per questo, ritengo che promuovere la loro innovazione e favorire la loro trasformazione digitale sia una delle principali sfide di questo tempo. Come Generali, consapevoli della nostra responsabilità sociale in qualità di primo assicuratore in Italia, vogliamo supportare in maniera concreta la diffusione della cultura della cyber sicurezza, accrescendo la consapevolezza della vulnerabilità rispetto al rischio informatico e sottolineando l’importanza dell’adozione di adeguate soluzioni di protezione. Oggi abbiamo presentato la seconda edizione del Rapporto Cyber Index PMI e mettiamo a disposizione delle organizzazioni aziendali le nostre competenze e la nostra esperienza in tema di identificazione dei rischi cyber, oltre a strumenti assicurativi innovativi”.

Cyber Index PMI: i numeri chiave della ricerca

Dall’indagine, che ha coinvolto 1.005 aziende, emergono dati significativi:

• Solo il 15% delle PMI dimostra un approccio strategico maturo alla cyber security.
• Il 44% riconosce l’esistenza dei rischi cyber.
• Il 56% risulta scarsamente consapevole.
• Un preoccupante 18% viene classificato come “principiante” nella gestione dei rischi digitali.

Da un’attenta analisi del secondo Cyber Index PMI è possibile anche individuare quelli che sono i quattro livelli di maturità cyber delle imprese italiane. In particolare, il rapporto classifica le PMI in quattro principali categorie:

1. aziende mature (15%) caratterizzate da:
   • approccio strategico consolidato;
   • piena consapevolezza dei rischi;
   • implementazione di iniziative comprehensive su persone, processi e tecnologie;
2. aziende consapevoli (29%) che mostrano:
   • comprensione teorica dei rischi cyber;
   • capacità operative ancora limitate;
   • necessità di un rafforzamento strategico;
3. aziende informate (38%) contraddistinte da:
   • consapevolezza parziale dei rischi;
   • approccio prevalentemente artigianale;
   • mancanza di una visione sistemica;
4. aziende principianti (18%) caratterizzate da:
   • scarsa consapevolezza dei rischi;
   • quasi assenza di misure protettive;
   • elevata vulnerabilità agli attacchi informatici.

Minacce in evoluzione: scenario globale e tecnologico

Il secondo rapporto Cyber Index PMI ci ricorda anche che il contesto della sicurezza informatica sta attraversando una fase critica. Dal 2018 al 2023, si è registrato un aumento del 79% degli attacchi gravi di dominio pubblico a livello mondiale.

E l’avvento dell’intelligenza artificiale generativa (GenAI) ha certamente rappresentato un fattore determinante, capace di:

1. migliorare le capacità di protezione degli asset;
2. intensificare potenzialmente le minacce informatiche.

Senza considerare che, in questo contesto, un peso rilevante lo hanno anche le normative presenti e future che creano nuove prospettive di conformità, una su tutte la direttiva NIS2 che si configura come uno strumento chiave per:

1. stabilire una strategia comune di cyber security;
2. elevare i livelli di sicurezza dei servizi digitali;
3. sensibilizzare le PMI sui rischi informatici.

Raccomandazioni e iniziative

Gli esperti concordano sulla necessità di:

1. adottare un approccio culturale sistemico alla cyber security;
2. considerare la sicurezza digitale non solo come un obbligo normativo;
3. investire in tecnologie e competenze;
4. costruire collaborazioni pubblico-private efficaci.

Attività nelle quali le PMI potranno dire la loro, così come sottolineato anche da Bruno Frattasi, Direttore generale dell’Agenzia per la cybersicurezza nazionale: “Le piccole e medie imprese svolgono un ruolo fondamentale nella crescita della nostra economia ma sono sempre più spesso bersaglio di attacchi informatici”.

“I dati presentati oggi dal Cyber Index PMI”, aggiunge ancora Frattasi, “fotografano, purtroppo, ancora una situazione di scarsa maturità cyber da parte del settore e su questo bisogna fortemente investire. L’Agenzia da me diretta è da sempre impegnata, e in diversi modi, a sostegno delle imprese. Da poco più di un anno abbiamo promosso una massiccia campagna informativa per sensibilizzare le PMI e renderle più mature nell’affrontare la minaccia cyber”.

Il Direttore dell’ACN interviene, quindi, anche sul peso che le normative nazionali ed europee potranno avere nel percorso di crescita cyber dell’intero sistema Paese: “Sappiamo bene, però, che il miglioramento continuo delle capacità di cyber resilienza delle PMI passa anche attraverso una virtuosa collaborazione pubblico-privato nell’adozione delle nuove normative europee quali la NIS2 e il Cyber Resilience Act e il rafforzamento continuo delle iniziative di supporto finanziario e tecnologico che, come ACN, mettiamo anche mediante fondi europei. È questo il caso, ad esempio, del recente progetto EU Secure, di cui siamo coordinatori, e che prevede 16,5 milioni di euro per finanziare le PMI europee nel percorso di adesione al Cyber Resilience Act”.

Sull’importante attività della nostra Agenzia per la Cybersecurity nazionale interviene di nuovo Pierguido Iezzi: “Nel portare il tema all’attenzione di tutte le imprese, l’ACN sta fornendo indicazioni, attività formative e supporto concreto, contribuendo a rendere più accessibili le migliori pratiche e le strategie di tutela”.

Ancora Iezzi aggiunge, inoltre, che “la collaborazione tra istituzioni, associazioni di categoria e grandi imprese può dare un ulteriore impulso alla diffusione della cultura cyber, offrendo incentivi e percorsi formativi mirati. In questo modo, la sicurezza informatica smette di essere un semplice costo e diventa un volano di crescita, capace di rafforzare l’intera filiera, sostenere la reputazione aziendale e preservare la competitività complessiva del nostro sistema produttivo”.

Ed è proprio a sostegno di questo che, sicuramente, sarà un percorso lungo e non privo di ostacoli, è da segnalare l’iniziativa di formazione di Generali, che ha avviato un roadshow per diffondere la cultura della cybersecurity, con tappe a Roma, Genova e Napoli, coinvolgendo imprese associate a Confindustria.