La consapevolezza dei rischi in ambito cyber è ancora sconosciuta per oltre la metà delle Pmi. Il 55% delle Pmi non è a conoscenza del pericolo cibernetico in cui può incorrere con un 20% che può essere addirittura considerato principiante.
Solo il 45% riconosce il rischio cibernetico, ma, di questi, solo il 14% ha un approccio strategico che comprende la capacità di valutare e mitigare i rischi.
È quanto emerge dal primo Rapporto Cyber Index PMI, sviluppato in collaborazione tra Generali e Confindustria, con il sostegno scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, e con il coinvolgimento dell’Agenzia per la Cybersicurezza Nazionale.
Il Cyber Index PMI monitora il livello di consapevolezza delle imprese sui rischi cibernetici e le strategie adottate per affrontarli nel tempo. L’indice è derivato da una valutazione su tre diverse dimensioni: l’approccio strategico, la capacità di comprendere il fenomeno e le minacce (identificazione), l’introduzione di leve per mitigare il rischio (attuazione).
Cybersecurity: mancano le strategie
Il Rapporto Cyber Index PMI mette in evidenza la necessità di diffondere e promuovere una maggiore cultura della gestione dei rischi cibernetici tra le piccole e medie imprese. Le 708 PMI coinvolte nel rapporto hanno ottenuto un punteggio medio di 51 su 100 nel Cyber Index (il livello di sufficienza è 60 su 100).
Nonostante cresca l’attenzione alla sicurezza cyber, il rapporto evidenzia come manchi un approccio strategico completo che includa definizione di investimenti e chiarezza delle responsabilità all’interno delle organizzazioni aziendali italiane, con un punteggio medio di 54 su 100.
Anche se le leve per attuare misure di sicurezza sono in fase di sviluppo (valutate a 56 su 100), le Pmi faticano a stabilire priorità dovuto alla mancanza di corrette azioni di identificazione, che consentirebbero un approccio più ponderato e consapevole, con un punteggio medio di identificazione di 43 su 100.
Le Pmi: 4 livelli di maturità cibernetica
Dal rapporto emerge come la maturità delle Pmi rispetto alla gestione dei rischi cibernetici possa esser suddivisa in quattro livelli:
- maturo (14%): Questo gruppo ha un approccio strategico ai rischi cibernetici, è pienamente consapevole di tali rischi e dispone delle competenze necessarie per attuare misure efficaci che coinvolgono persone, processi e tecnologie
- consapevole (31%): categoria che comprende le implicazioni dei rischi cibernetici ma spesso ha una capacità operativa limitata per implementare azioni appropriate
- informato (35%): hanno una consapevolezza limitata dei rischi cibernetici e delle misure da adottare, e spesso affronta la questione in modo non strutturato
- principiante (20%): il livello più basso. Sono poco consapevoli dei rischi cyber e implementa poche, se non nessuna, misure di protezione
A livello territoriale non vengono rilevate differenze significative mentre il livello di maturità delle imprese è correlato alla loro dimensione: le micro-imprese hanno una media di 43, le piccole imprese raggiungono una media di 53, mentre le medie imprese hanno il punteggio più alto con 61.
Solo 2 aziende su 10 assegnano budget esclusivo per la sicurezza informatica
Il 58% delle Pmi dimostra un’attenzione concreta alla sicurezza informatica con un budget specifico, anche se nella maggior parte dei casi questo budget rientra nell’investimento generale in tecnologia dell’informazione. Infatti, solo il 17% delle Pmi prevede un budget dedicato esclusivamente alla sicurezza cibernetica.
Per quanto riguarda le misure di mitigazione del rischio, il 57% delle imprese ha implementato strumenti tecnologici per il monitoraggio delle anomalie. Il 41% si concentra sulla limitazione dell’esposizione dei dipendenti ai rischi informatici attraverso azioni basate sul comportamento umano, come policy aziendali o programmi di formazione. Infine, il 17% delle aziende ha sottoscritto una polizza assicurativa specifica per la copertura dei rischi cibernetici, mentre il 29% non è a conoscenza delle opportunità di copertura in questo settore.
“Consapevoli della nostra responsabilità sociale in qualità di primo assicuratore in Italia, vogliamo contribuire in maniera concreta a diffondere tra le imprese la cultura della cyber sicurezza, ad accrescere la consapevolezza della vulnerabilità rispetto al rischio informatico e a sottolineare l’importanza dell’adozione di adeguate soluzioni di protezione. Lo facciamo con iniziative concrete a livello nazionale e locale: oggi, infatti, presentiamo il Rapporto Cyber Index PMI 2023 e mettiamo a disposizione delle organizzazioni aziendali le nostre competenze e la nostra esperienza in tema di identificazione dei rischi cyber. Oltre a strumenti assicurativi innovativi, ci impegniamo a far sì che nel corso del tempo le PMI italiane siano sempre più consapevoli su un tema cruciale e sfidante per il nostro Paese, la nostra economia e la nostra società” ha dichiarato Giancarlo Fancel Country Manager & CEO di Generali Italia.
“I numeri dimostrano che la protezione dei dati è ormai un tema ineludibile. Dal 2018 al 2022 gli attacchi informatici a livello globale sono aumentati del 60% e, solo in Italia, nel corso del 2022, abbiamo registrato un incremento del 169% rispetto all’anno precedente. Nel settore manifatturiero abbiamo raggiunto la cifra record di +191,7% e la spesa in cybersecurity nel nostro Paese ha raggiunto 1.590 milioni di euro nel 2022, in costante crescita. È la dimostrazione di quanto stia aumentando la consapevolezza dei rischi legati alla sicurezza informatica, tanto che nella sfera imprenditoriale ormai è considerata un fattore strategico di competitività. Per questo Confindustria si è impegnata a sensibilizzare il proprio Sistema associativo sulla cybersecurity, con particolare attenzione alle PMI. Si tratta di un tema che l’attuale fase di transizione digitale ha reso ancora più urgente e, per gestire l’implementazione dei nuovi processi, va affrontato lavorando sulle competenze del capitale umano” ha detto Agostino Santoni, Vice Presidente di Confindustria per il Digitale.
“Promuovere l’innovazione e favorire la trasformazione digitale delle PMI italiane significa anche metterle in condizione di saper gestire il rischio derivante dagli incidenti informatici. A ciò si aggiunge anche la sfida posta dall’affermarsi di tecnologie dirompenti come l’Intelligenza Artificiale e il quantum computing, con tutte le opportunità e rischi che ne conseguono. Il rapporto presentato oggi, a cui ACN ha fornito pieno supporto, fotografa una realtà ben nota del proliferarsi e inasprirsi delle insidie digitali. Ecco perché è fondamentale fornire alle aziende italiane strumenti di autovalutazione come il “Cyber index PMI” per comprendere il grado di maturità nell’affrontare la minaccia cyber e predisporre quindi opportune misure tecnologiche e organizzative per alzare il livello di protezione e stimare il cosiddetto rischio residuo” ha commentato Bruno Frattasi, Direttore Generale dell’Agenzia per la cybersicurezza nazionale.