Cyber, nuove regole europee ma le Pmi restano in ritardo

Sul fronte della Cyber Security si prospettano tempi difficili per le piccole e medie imprese del Nord Est, soprattutto alla luce del prossimo recepimento nell’ordinamento nazionale (entro metà ottobre) di due direttive europee: la Nis 2 per la cybersicurezza e la Cer per la resilienza dei soggetti critici. Una preoccupazione che emerge anche da un recente studio della Banca d’Italia dal titolo “La sicurezza cibernetica delle imprese italiane: percezione dei rischi e pratiche di mitigazione”. Tre i punti salienti individuati dagli autori, Lorenzo Bencivelli e Matteo Mongardini entrambi del Dipartimento di economia e statistica di Palazzo Koch. Prima: quasi il 90 per cento delle imprese è consapevole della possibilità di subire un attacco informatico, cui però non sempre corrisponde un adeguato impegno finanziario per fronteggiarne i rischi. Seconda: le imprese che in passato hanno subito un attacco mostrano una maggiore percezione del rischio a cui si associa una più elevata spesa in prevenzione. Terza: le imprese più piccole e quelle del Mezzogiorno risultano meno consapevoli dei rischi cibernetici.

le direttive europee

Ed è soprattutto quest’ultimo punto che è destinato a mettere sotto pressione il sistema economico del Nord Est dato che il passaggio dalla direttiva Nis 1 alla direttiva Nis 2 porterà i soggetti interessati da un migliaio a decine di migliaia di imprese e coinvolgerà settori in cui i livelli di maturità nei confronti della sicurezza informatica sono molto diversi. Le prime che dovranno adeguarsi alle nuove regole saranno alcune tipologie di aziende: quelle che si occupano di trasporti, di logistica e di alimentare. Ma la novità è che dovranno adeguarsi anche le aziende della filiera e questo riguarderà direttamente molte piccole e medie del Nord Est.

le conseguenze

Con ogni probabilità gli eventuali ritardi nell’adeguarsi alle normative avrà un impatto sui premi da pagare per i finanziamenti bancari e le assicurazioni. Le Pmi infatti sono diventate un bersaglio sempre più allettante per gli hacker, rappresentando oltre il 60% delle vittime di attacchi informatici nel Paese. I settori più colpiti includono il manifatturiero, i servizi finanziari e il commercio al dettaglio con perdite stimate in miliardi di euro dovute a furti di dati, interruzioni del servizio e danni alla reputazione aziendale. Secondo l’analisi dell’agenzia di cyber sicurezza “Check Point Company”, il vero costo di un ransomware è in media sette volte maggiore del riscatto. Il costo di un ransomware si riassume nelle seguenti “voci di spesa”: pagamento del riscatto; costo del downtime; sanzioni pecuniarie per violazione del GDPR; danni alla reputazione.

scarsi investimenti

«La consapevolezza dichiarata dalle imprese stenta tuttavia a tradursi nell’adozione di azioni concrete», scrivono i ricercatori della Banca d’Italia, «ma la natura mutevole del fenomeno richiede aggiornamenti costanti dei sistemi di protezione che, vista la loro complessità, hanno costi sempre maggiori. L’indagine Invind sul 2022 mostra che la spesa per l’acquisizione di presidi contro la minaccia cyber continua a essere piuttosto contenuta. Più di un terzo delle aziende continua a non avere una funzione aziendale dedicata, né interna né esterna. Anche se metà delle imprese dichiarano di aver aumentato la spesa in sicurezza cibernetica nell’ultimo quinquennio, è plausibile ipotizzare che ciò sia dovuto più alla crescita dei costi per l’acquisizione di attrezzature hardware e software che a un incremento della domanda per questo tipo di servizi». I dati mostrano anche un aumento negli ultimi mesi gli attacchi alle aziende del territorio. Uno degli ultimi casi noti è l’attacco hacker alla Azienda ospedaliera di Verona subito l’ottobre scorso rivendicato il 10 novembre dalla cyber gang Rhysida. Venne chiesto un riscatto e vennero diffusi in rete migliaia di cartelle. Nel 2022 era toccato all’Ulss 6 Euganea, un attacco a seguito del quale la Procura distrettuale di Venezia sequestrò un sito web. Nel 2020 nel mirino finì Geox, l’azienda di calzature.

il manifatturiero

L’attenzione sull’Italia della pirateria guarda soprattutto alle aziende del manifatturiero, che rappresentano buona parte del nostro panorama d’impresa, o la sanità, che rappresenta un obiettivo molto sensibile e perciò remunerativo. «È un problema di cultura imprenditoriale medio-piccola del Veneto, del Friuli, della Brianza», aggiunge Piccoli, «le grandi imprese invece per lavorare all’estero devono avere armi di protezione e si sono attrezzate». L’unico modo per prevenire affidarsi a chi lo fa per mestiere. Tra questi c’è la Jump Computer con sede in provincia di Padova che dal 2013 lavora per supportare le aziende nell’information technology e che recentemente è stata premiata come è stata premiata da WatchGuard Technologies, leader globale nella sicurezza informatica unificata, come Partner dell'anno "Meet the Moment" per l'area EMEA. «Le nuove regole europee imporranno un cambio di passo per le aziende del nostro territorio», afferma Eddy Mattiello, Ceo di Jump Computer, «in attesa delle linee guida da parte del governo, da settembre organizzeremo una serie di incontri per spiegare alle aziende i cambiamenti che ci saranno».

l’escalation

Per Mattiello il panorama della sicurezza informatica in Italia ha registrato una preoccupante escalation degli attacchi cyber. «Una volta c’era l’umano che dietro a un attacco», sottolinea, «oggi invece si fanno attacchi massivi e si riceve un alert su chi è caduto. E il problema è che sempre più spezzo le aziende si rendono conto di essere sotto attacco quando ormai è troppo tardi: sempre più spesso gli hacker rimangono infatti silenti per mesi, studiando la situazione. Bloccano il sistema di backup e poi paralizzano l’attività aziendale». Per questo per le imprese del Nord Est è diventato prioritario imparare a difendersi».—