Bankitalia, sotto tiro un’azienda su tre
pIn Italia un’impresa su tre è sotto attacco informatico. E a esser più colpite sono quelle di maggiori dimensioni, quelle con elevato contenuto tecnologico e quelle esposte sui mercati internazionali. A lanciare l’allarme è la Banca d’Italia che per la prima volta fa luce sul rischio cybercrime nel settore privato del nostro paese. A mettere in evidenza la vulnerabilità del sistema è l’occasional paper firmato da Claudia Biancotti che analizza i dati delle indagini annuali di via Nazionale sulle imprese dell’industria e dei servizi con più di venti dipendenti. Sono le prime informazioni di questo tipo raccolte nel nostro paese anche se circoscritte all’incidenza degli attacchi informatici e ad alcuni aspetti della governance della sicurezza. Il periodo di osservazione è quello che va tra settembre 2015 e settembre 2016.
Dallo studio emerge che sebbene solo una parte residuale delle aziende (l’1,5%) non adotta alcuna misura difensiva, il 30,3 per cento (corrispondente al 35,6 per cento degli addetti) dichiara di aver subito danni da un attacco informatico. Il quadro è ancora più allarmante se si corregge il risultato per tenere conto delle intrusioni non individuate o non dichiarate: un’operazione che fa salire l’incidenza degli attacchi al 45,2% per le imprese e al 56% per gli addetti. E spesso l’attacco si ripete. Tra le imprese nel mirino degli hacker il 37,9% è stato colpito una sola volta mentre si allarga al 44,5% la quota di chi ha subito tra i due e i cinque attacchi. La probabilità di finire nella rete dei cybercriminali aumenta proporzionalmente alla dimensione dell’azienda: ad aver subito almeno u n attacco è il 29,2% delle imprese sotto i 50 dipendenti e si sale al 36,7% per quelle tra i 200 e 500 dipendenti. Le aziende più grandi sono le più appetibili per gli hacker per una serie di fattori: gestiscono molti più dati e più importanti, sono più esposte perché sono più conosciute, hanno più apparecchiature connesse a Internet, network più ampi, e più fornitori esterni che possono avere accesso agli asset tecnologici.
A influenzare la vulnerabilità informatica è però anche il legame con il territorio. Al Sud, in tutte le classi dimensionali la probabilità di attacco è minore: colpito solo il 24,4% contro il 28,5% del Nord Ovest, il 32,5% del Nord Est e il 35,3% del Centro. Questo perché, spiega l’indagine, le imprese del Mezzogiorno «tendono ad avere minori livelli di produttività, contenuto di conoscenza e uso della tecnologia» e per questo sono meno interessanti e meno visibili agli occhi degli hacker. Mentre un discorso a parte va fatto per l’Italia centrale che ha il tasso più alto di attacchi: «un risultato spurio» visto che a Roma hanno sede le più grandi aziende pubbliche ( dalle ferrovie alle poste) che sono tra le più “bersagliate” sia perché operano in settori strategici sia per le loro dimensioni.
Ma c’è anche un legame tra cybercrime e internazionalizzazione: le i mprese che esportano tra uno e due terzi della loro produzione sono colpite più delle altre: il 34,6% ha subito almeno un attacco, quattro punti sopra la
PIÙ COLPITO CHI ESPORTA Le intrusioni si concentrano sulle realtà che vendono sui mercati esteri quote consistenti della loro produzione
media. Ancora una volta - spiega Bankitalia - a pesare è probabilmente l’esposizione: chi scambia informazioni con partner internazionali ha più probabilità di diventare bersaglio di attacchi informatici.
Certo è che per difendersi spesso ci si rivolge all’esterno e questo di per se rappresenta un fattore di vulnerabilità. Appaltare infatti a terzi la sicurezza dei propri sistemi informatici è comunque un ulteriore elemento di rischio. La cybersecurity è completamente data in outsorucing dal 31,8% delle imprese e almeno in parte dal 26,9%. Mentre ad affidarsi interamente a risorse interne è il 37,2% che preferisce avere un proprio team sulla sicurezza informatica.
Il livello di rischio resta dunque alto ma - avverte Via Nazionale - nel complesso dell’economia è probabilmente ancora più elevato: «Il settore finanziario, così come la sanità, l’istruzione e i servizi sociali sono esclusi dal campione, ma secondo altre fonti sono particolarmente attraenti per gli attaccanti».