PMI, nuovo obiettivo dei criminali informatici

L'aumento degli attacchi informatici in Europa e in Italia ha determinato l'inserimento del tema della cybersecurity tra i principali interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR) nell'ambito della trasformazione digitale della P.A. e della digitalizzazione del nostro Paese.

È ormai un dato di fatto che le PMI siano prese di mira in misura crescente dai criminali informatici che, attratti dalla mole di dati trattata da queste aziende, puntano sulle vulnerabilità dei sistemi per perpetrare i loro reati.

Questa estensione del perimetro di attacco pone innanzitutto la questione relativa alla cybersecurity e alla protezione dei dati come istituti legati all'individuazione dei ruoli e dei referenti all'interno di qualsiasi realtà. Si tratta delle cosiddette “misure organizzative di sicurezza”.

In molti casi, nelle micro e nelle piccole e medie aziende non è stato portato a buon fine il necessario processo di individuazione di persone e ruoli responsabili dell'adeguamento privacy e della verifica costante dei livelli di sicurezza. Al contempo, il costo che può avere un DPO o un consulente esterno di cybersecurity tiene lontane molte realtà da un investimento di questo tipo che è cruciale.

Inoltre, va osservato che spesso il perimetro di attacco delle PMI non solleva particolare clamore rispetto ai grandi attacchi informatici che coinvolgono enti pubblici, multinazionali e infrastrutture critiche. Tuttavia, soprattutto in Italia dove le PMI rappresentano il tessuto economico del Paese, la loro sicurezza dovrebbe invece diventare una priorità. E le statistiche più recenti lo documentano.

PMI nel mirino

Secondo il 23° report di Confartigianato presentato a inizio febbraio e curato dall'Osservatorio MPI di Confartigianato Lombardia, nell'ultimo anno in Italia i reati informatici sono cresciuti del 18,4%, con un maggiore inasprimento in Toscana (+35,5%), Puglia (+25,0%), Lombardia (+24,8%), Friuli-Venezia Giulia (+24,1%) e Provincia Autonoma di Bolzano (+23,6%). L'incidenza del fenomeno è pari a 54 denunce ogni 10.000 abitanti, con una intensità superiore alla media in Piemonte (68), Friuli-Venezia Giulia (66), Liguria (63), Lombardia e Umbria (60), Veneto (59), Valle d'Aosta (58) e Toscana (57).

A questi dati si aggiungono quelli della rilevazione tematica di Eurobarometro della Commissione Europea, che indicano un 37% di micro, piccole e medie imprese italiane che nell'ultimo anno ha fronteggiato almeno un attacco informatico rispetto al 28% della media Ue. Nel 35% dei casi, l'attacco ha sfruttato la vulnerabilità del software, hardware o della rete, che corrisponde a un +12% sopra la media Ue (23%); nel 26% dei casi è stata invece una violazione di password (+7% rispetto al 19% della media Ue); per il 21% una truffa o frode e per il 20% un malware. Da segnalare, poi, che la richiesta di riscatto in denaro si riscontra nell'11% dei casi di attacco cybercriminale a imprese italiane, circa il doppio se paragonato alla media UE del 6%.

Questione di sicurezza

Il problema, è evidente, ruota intorno ai parametri di sicurezza adottati. Il report “Imprese ICT” relativo al 2022 e presentato da Istat lo scorso gennaio, fotografa una situazione secondo la quale l'utilizzo di misure di sicurezza avanzate nelle PMI è ancora limitato. Secondo l'indicatore Digital Intensity Index (DII), utilizzato per identificare le aree nelle quali le imprese italiane ed europee incontrano maggiori difficoltà e basato su 12 caratteristiche specifiche relative al comportamento delle aziende, i divari maggiori si riscontrano, a scapito delle PMI (ovvero imprese con 10-249 addetti), nella presenza di specialisti ICT, nella decisione di investire in formazione ICT, nell'uso di riunioni online e di documentazione specializzata sulle regole e le misure da seguire sulla sicurezza informatica. Il 74,4% delle imprese italiane con almeno dieci addetti utilizza almeno tre misure di sicurezza ICT in linea con la media europea (74,0%). L'incidenza delle imprese di minore dimensione e meno complesse determina la forte diffusione di misure di sicurezza meno sofisticate, come l'autenticazione con password forte (83,9%) e il backup dei dati (80%).

Ancora poche le imprese che adottano invece misure di sicurezza avanzate come la conservazione dei file di registro (44,6%) o le pratiche di valutazione del rischio (35,3%) e l'esecuzione periodica di test di sicurezza dei sistemi (31,8%). Modesta anche la diffusione di misure più sofisticate, come l'utilizzo della crittografia per dati, documenti o e-mail (22%) e di metodi biometrici per l'identificazione e l'autenticazione dell'utente (8,2%).

Buone prospettive

Non mancano però segnali positivi, come la crescita di consapevolezza dell'importanza della trasformazione tecnologica e della digitalizzazione. Secondo la ricerca presentata lo scorso febbraio dall'Osservatorio Innovazione Digitale nelle PMI del Politecnico di Milano è il Nord-Ovest a trainare il settore: il 62% delle piccole aziende, infatti, crede e investe nel digitale, manifestando sensibilità alle IIoT - Industrial Internet of Things - e alla formazione. l'89% delle imprese geograficamente collocate nel Nord-Ovest italiano ha avviato negli ultimi due anni attività di formazione (soprattutto workshop e webinar) per implementare le competenze digitali dei propri dipendenti. I ricercatori dell'Osservatorio ritengono che l'obiettivo da raggiungere sia quello di sistematizzare e connettere tutte le fasi produttive, implementando la raccolta e l'analisi dei dati, fondamentali in ottica di manutenzione predittiva e interoperabilità dei processi. Una meta, al momento, lontana poiché solo il 46% delle aziende di medio-piccole dimensioni conoscono i vantaggi dell'IoT e solo il 27% ha avviato almeno un progetto associato a queste tecnologie, motivato anche dalla mancanza di risorse economiche.

Nascono infine iniziative a sostegno come, ad esempio, il primo Osservatorio ESG (Environmental, Social, Governance) per le PMI italiane lanciato a gennaio da KPMG e Tecno: un progetto di ricerca, in collaborazione con l'University College di Londra, che mira a focalizzare l'attenzione sullo stato di salute delle PMI italiane, rispetto all'attuale processo di transizione sostenibile.