Cybersecurity, il monito di Razzante: «Proteggersi non è un costo, è sopravvivenza»

Occasione per far capire alle Pmi «da un lato che vale la raccomandazione della nonna o della mamma di non aprire agli sconosciuti in rete, dall’altro che i soldi spesi per proteggere il proprio spazio digitale non sono mai sprecati».

Professor Razzante, quando un’impresa deve iniziare a considerare la cybersecurity una priorità e non un tema “tecnico”?

«Da subito, perché il punto è proprio questo: non esiste più una distinzione tra “tecnico” e “strategico”. Un attacco informatico oggi non colpisce il reparto Information technology, ma l’intera azienda. Blocca la produzione, interrompe i pagamenti, ferma la logistica. La cybersecurity è quindi strategica nel momento in cui incide sulla continuità del business».

Quali le minacce più frequenti?

«Le più diffuse restano il phishing e lo smishing, cioè le truffe che passano da email o messaggi che sembrano affidabili. Da lì spesso si arriva al furto di credenziali e dati aziendali. Poi c’è il ransomware, che è la fase successiva: i dati vengono cifrati e l’azienda viene ricattata. È una catena molto lineare: prima si entra, poi si ruba, poi si estorce».

Quanto pesa il fattore umano in questi attacchi?

«Pesa moltissimo, più della tecnologia in molti casi. Gli attacchi funzionano perché qualcuno clicca, apre, risponde, autorizza. Il vero problema è culturale: non abbiamo ancora interiorizzato che nel digitale ogni azione ha conseguenze. Si tende a sottovalutare il rischio perché è invisibile. Ma proprio questa invisibilità lo rende più pericoloso».

Il quadro normativo europeo, pensiamo alla direttiva NIS2, sta aiutando le imprese o viene vissuto come un ulteriore obbligo?

«È un aiuto, anche se spesso viene percepito come un costo. In realtà introduce un principio fondamentale: la responsabilità della sicurezza non è più delegabile solo ai tecnici, ma deve essere del vertice aziendale. Questo è un cambiamento culturale importante. Il limite vero non è la norma, ma la sua applicazione concreta e uniforme tra i diversi paesi e settori».

In sintesi, come tutelarsi?

«Serve sicuramente tecnologia, ma da sola non basta. Il punto è che la sicurezza informatica si costruisce su tre livelli: strumenti, procedure e persone. Molte aziende investono nei software, ma trascurano formazione e consapevolezza, che sono invece decisive».

Quanto spendere?

«Non è neppure vero che servano necessariamente grandi capitali: spesso bastano buone pratiche, organizzazione e attenzione quotidiana, più che investimenti enormi. Bisogna imparare a gestire gli accessi, verificare sempre con chi si comunica e ridurre le superfici di attacco. E soprattutto serve un cambio di mentalità: non esiste un sistema invulnerabile, esiste un sistema più o meno preparato a reagire. Chi si prepara prima, perde meno quando viene colpito».

I Paesi modello sulla sicurezza cibernetica?

«Chi si è mosso per primo in Europa è la Francia, seguita dalla Svizzera. Ma i leader sul mercato sono gli Stati Uniti, la Cina, la Russia e l’insospettabile India».

Anche criptovalute e trading online sono sempre più spesso associati a frodi. Come si tutela davvero un’impresa o un cittadino?

«Bisogna partire da un concetto semplice: se un investimento promette guadagni facili e rapidi, nella maggior parte dei casi è una trappola. Le piattaforme non autorizzate sono il veicolo principale delle frodi. La tutela passa da tre elementi: attenzione, verifica delle fonti e prudenza operativa. E aggiungo una cosa molto concreta: non bisogna mai affidarsi a interlocutori digitali che non siano chiaramente identificabili e regolamentati».