Nel corso degli anni è cresciuta in modo continuativo il rischio cyber per le imprese, in modo ancora più accentuato negli anni successivi alla pandemia Covid-19, che ha visto un incremento dell’utilizzo delle nuove tencologie per gestire l’operatività a distanza e garantire la continuità dei processi produttivi durante i lockdown. Basandosi su dati della Banca d’Italia, l’ANIA ha analizzato la percezione del rischio cyber tra le aziende, i danni subiti e la spesa sostenuta per prevenire e mitigare il rischio.
L’indagine rivela una grande discrepanza a livello territoriale sul rischio percepito: mentre il 25,9% delle imprese del nord est ritiene che ci sia un rischio cyber elevato, solo il 18,7% delle imprese del Sud e delle Isole ha la stessa opinione. In questa area del Paese il 18% delle imprese ritiene che l’esposizione sia pressoché nulla, contro il 12% nella media nazionale e l’8% tra le imprese del Nord-Est.
Considerando la dimensione delle imprese, sono per lo più a le imprese più piccole (20-49 addetti) a ritenere il rischio poco importante, con una percentuale del 14,4%, percentuale che diminuisce progressivamente all’aumentare della classe dimensionale, fino ad arrivare al 3,4% tra le imprese con più di 200 addetti.
Passando al settore di attività, le imprese operanti nei settori minerale e tessile ritengono di essere meno esposte (32,0% e 23,4%), mentre tra le aziende dei comparti delle comunicazioni e chimico diminuisce vistosamente la percentuale di quelle che si sentono poco esposte (7,8% e 4,8%).
La relazione tra la percezione del rischio cyber e il grado di impiego di modalità di lavoro da remoto è prima decrescente e poi crescente con percentuale di addetti che usufruiscono di questa possibilità. Il 14% delle imprese che non hanno nessun addetto che lavora da remoto dichiara di non essere esposta alla minaccia, contro il 12% del totale. La percentuale scende a meno del 4% tra le imprese con una quota di lavoratori da remoto tra l’1% e il 50% e risale al 15% tra quelle con oltre la metà degli addetti che esegue la prestazione lavorativa in tutto o in parte fuori dalla sede di lavoro principale.
In linea generale, la maggioranza delle imprese (circa il 60%) considera l’esposizione
al rischio cyber moderata, indipendentemente da caratteristiche specifiche quali la collocazione geografica, la dimensione, il settore di attività e l’adozione di modalità di prestazione di lavoro di tipo “agile”.
Per valutare l’impatto dei danni subiti, è stato chiesto se negli ultimi 5 anni, l’azienda ha subìto un danno patrimoniale a seguito di un attacco cibernetico.
La frequenza degli attacchi cyber per le imprese del Nord-Est e del Centro è pressoché in linea con la media nazionale del 24% (di cui 5% con danno patrimoniale), mentre la frequenza scende nelle imprese operanti nel Sud e nelle Isole (18,6%; 5,5% con conseguenze) ed è più alta nel Nord-Ovest (27,8%; 5,7% con conseguenze).
Emerge una chiara relazione crescente tra incidenza di eventi cyber e dimensione di impresa. Infatti, circa un quinto delle imprese con meno di 50 addetti dichiarano di aver subito un attacco cyber tra il 2017 e il 2022, del quale nel 5% dei casi ha determinato perdita patrimoniali. La frequenza cresce in modo progressivo con l’aumentare del numero di addetti, fino a giungere a oltre il 40% tra le imprese con oltre 200 dipendenti.
Dall’analisi emerge che i comparti energetico e dei servizi hanno subito più attacchi cyber nel periodo in esame con frequenze pari a 40,9% e 33,3%, rispettivamente (4,8% e 9,0% con conseguenze economiche). I meno colpiti sono stati il settore minerale e quello ricettivo (8,0% e 2,4%; 1,0% e 0,1% con danno). La classe di imprese che adottano modalità di lavoro agile per una percentuale di lavoratori che va dall’1% al 49% è quella che dichiara di gran lunga la frequenza di incidenti cyber più alta, il 41%, di cui quasi il 9% con conseguenze patrimoniali.
Alle imprese è stato anche chiesto quante risorse finanziarie sono state allocate nei due anni precedenti alla rilevazione con lo scopo di proteggersi dalla minaccia cyber, includendo tutti i costi sostenuti, anche in outsourcing per campagne di sensibilizzazione sui rischi cibernetici; iniziative di formazione del personale sull’utilizzo sicuro dei sistemi informatici; presidi di sicurezza specifici (es. cifratura dei dati) in relazione alla criticità dei processi, sistemi e informazioni aziendali; identificazione e gestione delle vulnerabilità dei processi, sistemi e applicazioni aziendali; piani di continuità operativa e di disaster recovery (inclusi quelli in risposta ad attacchi cibernetici); assicurazione contro i rischi cibernetici e (vii) ogni altra attività volta a prevenire gli incidenti IT (operativi e di sicurezza sia di natura accidentale sia malevola).
Le imprese del Sud e delle Isole sono quelle che hanno speso meno in investimenti per proteggersi dagli eventi cyber. Circa tre quarti di esse hanno speso meno di 5.000 euro nel biennio in esame e meno del 10% ne ha spesi più di 10.000. Le imprese del Nord-Est invece sono quelle più impegnate finanziariamente per la protezione contro gli attacchi informatici, con oltre un quarto di esse che spendono più di 10.000 euro.
Considerando le dimensioni aziendali, non soprende che il 12% delle imprese con meno di 50 dipendenti spenda più di 10.000 euro, percentuale che cresce fino a oltre il 60% per le imprese con un organico formato da più di 200 persone.
Tra i vari settori, il settore minerale, con oltre il 75% delle imprese che spendono meno di 5.000 euro, è quello che si posiziona più in basso per livello di questa tipologia di spesa. All’altro estremo dello spettro si trovano i settori delle comunicazioni e dei servizi con circa il 45% delle imprese che destina così poche risorse per questo scopo.