PMI e microimprese nel mirino del cyber crime
La sicurezza informatica rappresenta ancora il tallone di Achille di molte imprese italiane.
Se le grandi imprese – in virtù della maggiore capacità di spesa – negli ultimi anni hanno creato infrastrutture in grado di elevare gli standard di sicurezza e di presidiare le possibili variabili rilevanti, la questione rimane aperta per Pmi e microimprese, nelle quali la percezione della cybersecurity si colloca essenzialmente fra due estremi: quello del costo esoso e incomprensibile o quello del problema “tecnico” riservato ai nerd dell’ufficio I.T.
La pandemia ha accelerato l’evoluzione digitale e lo smart working, oltre a ridisegnare gli spazi fisici e promuovere forme di lavoro flessibile, ha moltiplicato le condizioni di vulnerabilità delle imprese, specie di quelle di minori dimensioni, che non sempre hanno la piena consapevolezza del rischio rappresentato dal cyber crime.
Le conseguenze di un attacco ad una microimpresa sono molteplici:
interruzione del business: tanto più piccolo e competitivo è il business, tanto più problematiche ne risultano la situazione competitiva e la conduzione; l’interruzione causata da un ransomware, ad esempio, può portare al fallimento dell’azienda a causa della impossibilità di pagare il riscatto richiesto;
perdite di dati sensibili e personali di utenti, collaboratori e clienti, possono portare pesanti sanzioni amministrative;
perdita della proprietà intellettuale: spesso la proprietà intellettuale rappresenta l’asset più importante delle Pmi; nelle microimprese esso consiste nell’esperienza e nel know-how di professionisti che sono custodi di competenze molto specifiche e preziose;
danno reputazionale: la reputazione di una microimpresa è un altro asset strategico, il cui danneggiamento (ad esempio tramite attacchi di crowdturfing o astroturfing) è idoneo a minarne la rete di rapporti professionali;
scardinamento di supply chain non strutturate: spesso le microimprese sono il primo anello di una supply-chain, la cui sicurezza potrebbe essere compromessa se l’anello risultasse “debole” rispetto alle minacce del cyber crime (ad esempio, per l’assenza di norme di gestione dei servizi IT, come nel caso di terminali mobili usati per lavoro e uso privato).
L’interesse per la cybersecurity è ai massimi storici, così come l’attenzione delle istituzioni, che hanno introdotto importanti misure in tale ambito. Il PNRR ha destinato una parte consistente dei fondi (40,32 su 191,5 miliardi di Euro) all’area “Digitalizzazione, innovazione, competitività e cultura”. Nella Missione 1, esso prevede di investire 623 milioni di Euro in presidi e competenze di cybersecurity per la PA, mentre nella Missione 4 stanzia fondi per la ricerca e la creazione di partenariati su temi innovativi, come la sicurezza informatica.
Le imprese hanno accolto con favore la creazione dell’Agenzia per la Cybersicurezza Nazionale (ACN): il 53% è in attesa di linee guida e indicazioni, mentre il 22% è pronta ad approfondire il ruolo dell’Agenzia nell’ottica di individuare opportunità future.
L’allegato B del Piano Transizione 4.0 regola l’accesso delle aziende private ai fondi del PNRR, ottenuti come credito d’imposta, per beneficiare dei servizi di cyber security. Il credito d’imposta viene restituito in tre quote annuali e prevede il recuperare del 20% dell’investimento in beni immateriali se questo viene effettuato entro il 2023; la percentuale scende al 15% nel 2024 e al 10% nel 2025. Senz’altro un’opportunità da cogliere per introdurre le necessarie strategie di cybersecurity o rafforzare quelle già in atto. Il risultato sarà quello di creare valore per l’azienda, assicurando la continuità del business.
Proteggere reti, sistemi informatici e dati è una priorità urgente, che richiede un approccio consapevole, sistematico e coeso a livello nazionale come europeo. Per tale ragione, lo scorso ottobre, nell’ottica di contrastare efficacemente il cyber crime e favorire una transizione digitale sicura, Confindustria, Assicurazioni Generali e ACN hanno stipulato un Protocollo d’Intesa per diffondere la cultura della protezione digitale e contribuire a innalzare la soglia di attenzione delle PMI verso la sicurezza informatica. L’accordo prevede lo sviluppo di un Rapporto “Cyber Index PMI”, con il contributo dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano. La finalità è di accrescere il livello di conoscenza delle Pmi riguardo ai rischi “cyber”, mapparne le modalità di approccio verso questo tipo di minaccia e diffondere una loro maggiore consapevolezza sul possibile impatto sul business.
Sono le Pmi, ora, a essere chiamate a cogliere gli impulsi che l’Agenzia per la Cybersicurezza Nazionale saprà diffondere e a fare propria la cultura della protezione cibernetica. Una sfida indubbiamente alla portata del loro dinamismo e della loro competitività.
Avv.ti Alessandro Facchino ed Enzo Cardone