Le aziende italiane sono in ritardo nelle difese contro gli hacker (ormai subiscono un’«infiltrazione» ogni 39 secondi, con una crescita del 40 per cento rispetto al 2022). Gli investimenti sono ancora inadeguati e gli effetti costosi: con realtà produttive che, causa «ignoranza digitale», arrivano a dover sborsare milioni di euro.
Assomiglia a una guerra, ma è più letale perché il nemico è ignoto, colpisce a sorpresa, quando il bersaglio si sente al sicuro. Come in ogni conflitto, le vittime sono numerose e chi si salva ne esce spesso malconcio. Chi viene colpito non si conta sul campo bensì sui bollettini economici che parlano di aziende sul lastrico o costrette a licenziamenti. Ogni 39 secondi si verifica un’«infiltrazione» di hacker, e si stima che ogni giorno vengano sottratti in modo illecito 3,8 milioni di dati. Ci sono circa 15 miliardi di dispositivi interconnessi al mondo che tra dieci anni raddoppieranno. L’interconnessione informatica, la digitalizzazione sempre più diffusa, fa sì che un azione degli hacker possa mandare in tilt un’azienda, paralizzarne la produzione e la logistica. Con l’intelligenza artificiale, gli attacchi informatici diventeranno sempre più sofisticati e difficili da individuare.
In Italia le imprese sono in ritardo sulla cyber security, non tanto per una questione economica ma per scarsa consapevolezza del rischio a causa di una cultura digitale che ancora fa fatica a diffondersi nel management aziendale. L’ultimo rapporto del Clusit, l’Associazione italiana per la sicurezza informatica, rivela che nei primi sei mesi del 2023 gli attacchi cyber nel nostro Paese sono aumentati del 40 per cento rispetto al 2022, quasi quattro volte di più che nel resto del mondo dove la crescita è stata dell’11 per cento. Le vittime italiane sono state il 9,6 per cento del totale. Tra il 2018 e il primo semestre 2023, mentre a livello globale gli incidenti sono aumentati del 61,5 per cento, in Italia si è toccato il 300 per cento. Il fenomeno in espansione è il cyber crimine, cioè gli attacchi per estorcere denaro (oltre 1.160 a livello globale contro i 2.043 nel 2022), pari all’84 per cento del totale. Oltre il 35 per cento è andato a buon fine grazie all’utilizzo di due tipi di virus – malware che insieme con i ransomware – continuano a rappresentare la principale tecnica utilizzata dai criminali anche in Italia (31 per cento), pur se in calo rispetto al 2022 (53 per cento).
Il problema riguarda le grandi realtà industriali come le piccole e medie imprese, le Pmi. Una ricerca di Grenke Italia, società specializzata nel noleggio operativo di beni e servizi strumentali per le aziende, ha messo a fuoco i motivi per cui queste imprese sono ancora impreparate di fronte al rischio di aggressioni informatiche. Il punto di partenza è una situazione che non ci si aspetterebbe. Il 72,7 per cento delle aziende italiane non ha mai svolto formazione in materia di cybersecurity, il 73,3 per cento non sa che cosa sia un attacco ransomware, mentre il 43 per cento non ha un responsabile della sicurezza informatica. Inoltre, il 26 per cento è quasi sprovvisto di sistemi di protezione e solo un’azienda su quattro (22 per cento) ha una rete «segmentata» cioè più sicura. Queste evidenze dello studio, realizzato in collaborazione con Cerved Group e Clio Security, tratteggiano una certa superficialità delle piccole e medie imprese italiane che pensano di essere al sicuro da possibili attacchi informatici e spesso non adottano comportamenti virtuosi e sanno poco dei pericoli a cui vanno incontro. I risultati dell’indagine sono significativi considerato che è stato analizzato un campione rappresentativo di oltre 800 aziende con un fatturato compreso fra 1 e 50 milioni di euro e con organico tra 5 e 250 dipendenti. Per un’attività produttiva su cinque la cyber sicurezza non è importante e chi non la ritiene rilevante, pensa di non trattare dati sensibili (il 61 per cento). Ne consegue che due terzi è dotata di requisiti minimi di sicurezza e solo il 7 per cento usa sistemi avanzati di protezione. Il sondaggio rivela poi che quasi il 50 per cento delle Pmi non verifica la sicurezza dei sistemi informatici.
Da cosa è originato questo atteggiamento superficiale delle piccole aziende, su un tema così sensibile, lo spiega il direttore scientifico della ricerca e fondatore di Di.Gi. Academy, Alessandro Curioni. «Non è una questione economica, non c’entra nulla l’investimento da affrontare. Il problema è un altro, se vogliamo più grave. Le imprese pensano che una volta proceduto nell’adeguamento alla normativa europea sulla protezione dei dati personali, siano a posto. Si ritiene, in modo errato, che cybersecurity e protezione dei dati siano la stessa cosa» afferma l’esperto. «Gran parte dei meccanismi manifatturieri ormai sono automatizzati, tutte le macchine sono gestite da sistemi digitali che soffrono gli stessi problemi e sono esposte ai medesimi pericoli di un comune computer: attacchi hacker che possono portare al blocco dell’attività. Quando viene paralizzato il sistema di spedizione e la filiera della fornitura va in tilt, per l’azienda colpita il danno economico è duplice. Oltre al blocco dell’attività c’è anche la perdita di reputazione verso il cliente che compromette future commesse». E in caso di paralisi l’azienda che cosa può fare? Su questo tema si apre uno scenario ancora più sconcertante del danno recato dall’attacco. «Gli specialisti in grado di rimettere in moto i meccanismi digitali compromessi, sono pochi e siccome sono contesi dalle aziende, costano molto» spiega Curioni.
L’attacco hacker è quasi sempre finalizzato alla richiesta di un riscatto. «Ad agire non è un singolo hacker ma gruppi organizzati che prima studiano l’azienda, fanno una mappatura delle infrastrutture e dei punti nevralgici e più fragili e poi lanciano la loro offensiva. La prima azione è di “esfiltrare” all’esterno i dati. Una volta paralizzata l’azienda chiedono il riscatto. Se l’impresa si rifiuta di pagare minacciano di riversare sul web tutte le informazioni di cui sono riusciti a entrare un possesso. Il danno di immagine e di reputazione è importante». È quanto spiega chi con questi casi ha a che fare tutti i giorni, Diego Marson, esperto in sistemi di sicurezza per Yarix, uno dei maggiori soggetti nel comparto security che fornisce servizi e soluzioni a industrie, enti governativi e militari, aziende del comparto sanitario e università. «La normativa europea sulla sicurezza informatica dà indicazioni di massima, senza entrare nel dettaglio. Le Pmi che non hanno maturità digitale trovano difficile giustificare un investimento a fronte di un rischio incerto. Si illudono che essendo piccoli, rivestano uno scarso interesse per la malavita. Così attuano sistemi minimi di cyber security».
Una volta in trappola, a quanto ammonta la richiesta di riscatto? «Si aggira sul 10 per cento del fatturato dell’azienda. Il riscatto più alto al quale abbiamo assistito è stato dell’ordine di milioni di euro» commenta Marson e sottolinea che il consiglio migliore è di non pagare. Ma chi vuole seguire invece questa strada si deve affidare a figure iper specializzate che avviano un’intermediazione per strappare il costo minore nel ripristino informatico. «La parcella è quella di un ottimo studio legale, si aggira sul migliaio di euro al giorno». Per le imprese la sicurezza digitale è l’ultima chiamata alla modernità, che ha sì tanti vantaggi ma anche numerosi – e troppo poco ponderati – rischi.