Anche per i piccoli
Il 17 gennaio del 2023 entrava in vigore la nuova direttiva europea sulla cyber security, la NIS2 [acronimo di Network and Information Systems], che impone ai paesi dell’Unione di innalzare il livello di protezione dei sistemi informatici di ambito strategico e non solo entro il 17 gennaio di quest’anno. Il 14 dicembre del 2023, il ministro per il Made in Italy Adolfo Urso, in occasione del lancio del primo microprocessore crittografico progettato in Italia e commercializzato da Tim, ha parlato di “sovranità tecnologica”.
Sicuramente è giusto incoraggiare gli sforzi di chi si adopera per migliorare la situazione in un ambito dove di certo non siamo ancora competitivi a livello internazionale, ma parlare di sovranità tecnologica appare decisamente un’esagerazione se – al di là delle eccellenze, che indubbiamente ci sono – si osserva il dettaglio.
Lo studio sulle PMI
Ed è quello che hanno fatto Grenke, multinazionale di leasing operativo particolarmente ferrata nell’ambito delle PMI, insieme a Cerved e Clio Security, società di consulenza informatica che opera sempre nel panorama delle piccole e medie imprese: tra ottobre e novembre del 2023 hanno condotto una ricerca unica nel suo genere, che promette di fare scuola. Direttore scientifico Alessandro Curioni, esperto di cyber security e presidente del Gruppo DI.GI, azienda leader nel settore, il gruppo di studio ha intervistato 800 soggetti che – a vario titolo – nelle rispettive aziende si occupano di prendere decisioni in tema di sicurezza informatica.
Quello del rapporto tra le PMI e la cyber security non è un tema di poco conto, se consideriamo che 700.000 aziende in Italia fanno parte di questa categoria, rappresentando il tessuto economico e sociale di un’intera nazione. Il quadro che è emerso da questa ricerca offre uno spaccato inedito della situazione in cui versa l’Italia in tema di sicurezza informatica e non può che far suonare slegate dalla realtà dei fatti parole come quelle del ministro del Made in Italy.
Protezione dei dati e cyber security non sono la stessa cosa
Cos’è infatti emerso dalla ricerca? Partiamo dall’aspetto più significativo e, per certi aspetti, sconcertante: la percezione delle PMI verso i temi di cyber security. Un dato può apparire incoraggiante: il 60% delle nostre PMI ritiene la sicurezza informatica, in una scala da 1 a 10, di importanza pari a 8. Il restante 40% non la considera utile non tanto per i costi, quanto piuttosto perché ritiene di essere in regola con la normativa GDPR, ovvero il Regolamento generale sulla protezione dei dati, normativa europea entrata in vigore nel 2016. Questo secondo dato è particolarmente importante: se è vero che ormai la totalità delle PMI si è adeguata agli standard europei per la sicurezza dei dati, è altresì vero che questo ha determinato un cortocircuito nefasto, portando molti a confondere la protezione dei dati con la cyber security, ovviamente a scapito della seconda.
Un’inconsapevolezza diffusa
Se siamo stati molto bravi a recepire le direttive europee, siamo stati altrettanto miopi verso un mondo in rapido cambiamento, un mondo – quello della rete – che con la pandemia da Covid-19 ha conosciuto un’espansione senza uguali nella storia. Mentre l’Europa, ma potremmo tranquillamente dire il mondo, percepiva l’importanza strategica di comprendere a fondo il mondo oltre lo schermo, in Italia siamo rimasti a guardare, senza peraltro capire. Ancora oggi, per esempio, solo il 48% degli intervistati nell’ambito dello studio ha contezza di cosa sia la tecnica del phishing; l’85% non ha idea di cosa sia l’acronimo di DDos. E stiamo parlando di chi nelle PMI dovrebbe occuparsi di cyber security.
Insomma, per scomodare Ennio Flaiano, la situazione è grave ma non è seria. E a dimostrarlo c’è un altro dato: il 72% delle PMI non prevede per i propri dipendenti dei corsi dedicati ai rischi cyber, mentre il 60% di quelle aziende che prevedono questi corsi, li fanno tenere dal Data Protection Officer. E torniamo all’equivoco potenzialmente letale che paragona la protezione dei dati a quella dei sistemi informatici. Letale perché, in questo panorama desolante, un’azienda che viene colpita non ha scampo e gli effetti di un cyber attacco, per quanto sottovalutati, possono essere devastanti.
Una strada ancora lunga
Se infatti il 70% delle PMI non dispone delle contromisure necessarie per fronteggiare un attacco ramsonware che punti all’esfiltrazione dei dati, il 50% delle aziende non sarebbe in grado di recuperare le proprie informazioni e, quindi, di ripristinare i servizi in tempi rapidi. Questo significa la paralisi pressoché totale, che per una PMI si traduce in un danno irreparabile, se non a fronte di notevoli costi
In conclusione, cosa emerge dalla ricerca svolta da Grenke, Cerved e Clio Security? Uno scenario poco meno che desolante e la certezza che la strada verso la tanto agognata sovranità tecnologica è ancora lunga e non priva di ostacoli.
