Le PMI italiane mostrano ancora una scarsa maturità rispetto ai rischi cyber, con il 38% che, pur essendo informato, non ne è pienamente consapevole e adotta un approccio “artigianale” alla sicurezza informatica, evidenziando una lacuna nella gestione strutturata di tali rischi: è quanto emerge dal Rapporto Cyber Index PMI, l’indice che misura lo stato di consapevolezza in materia di gestione dei rischi cyber delle aziende italiane di piccole e medie dimensioni.
Il rapporto – realizzato da Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano e con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale – , evidenzia e monitora nel tempo il livello di conoscenza dei rischi cyber all’interno delle organizzazioni aziendali e le modalità di approccio adottate dalle stesse per la gestione di tali rischi.
Secondo il rapporto, il 44% delle PMI intervistate riconosce il rischio cyber ma solo il 15% ha un approccio strategico e la capacità di valutare il rischio cyber e mitigarlo. Il 56% è poco consapevole, con un 18% che si può definire principiante.
Indice degli argomenti
Rischi cyber, cresce la consapevolezza nelle PMI, ma manca un approccio strategico
Il dato principale che emerge dal Rapporto è la necessità di una maggior diffusione e promozione della cultura dei rischi cyber tra le organizzazioni aziendali di piccole e medie dimensioni.
Le 1.005 PMI coinvolte nel Rapporto raggiungono complessivamente un valore medio di Cyber Index di 52 su 100 (il livello di sufficienza è 60 su 100), in crescita di 1 punto percentuale rispetto al 2023.
Cyber Index PMI è elaborato sulla base di tre diverse dimensioni: l’approccio strategico, la capacità di comprendere il fenomeno e le minacce (identificazione), l’introduzione di leve per mitigare il rischio (attuazione).
Il Rapporto evidenzia come, seppur vi sia una crescente attenzione sulla materia, manchi un vero e proprio approccio strategico che preveda la definizione di investimenti e la formalizzazione di responsabilità da parte della popolazione aziendale italiana, con un punteggio medio di 54 su 100 (+ 2% vs. 2023).
Sebbene le leve di attuazione siano maggiormente sviluppate, con un valore di 57 su 100 (+1% vs. 2023) le PMI hanno difficoltà nello stabilire priorità, perché mancano le azioni di identificazione corrette che permettano di approcciare il tema in maniera più oculata e consapevole, con un punteggio medio di identificazione 45 su 100 (+ 2% vs. 2023).
La maturità delle PMI rispetto ai rischi cyber
I rispondenti, rappresentativi dell’intera popolazione di PMI italiane, possono essere raggruppati in 4 livelli di maturità:
- il 15% è considerato maturo: ha un approccio strategico alla materia, è pienamente consapevole dei rischi ed è in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie
- il 29% può essere definito consapevole: è in grado di comprendere le implicazioni dei rischi cyber ma con una capacità operativa spesso ridotta per poter agire correttamente
- il 38% è informato: non pienamente consapevole dei rischi cyber e degli strumenti da mettere in atto, ha un approccio “artigianale”
- il 18% può essere definito principiante: poco consapevole dei rischi cyber e con una quasi nulla implementazione delle misure di protezione
Crescono le minacce informatiche in un contesto in continua evoluzione
A fronte di un panorama di riferimento per la sicurezza informatica che sta vivendo un momento delicato, dal 2018 al 2023 è stato rilevato un aumento del 79% degli attacchi gravi di dominio pubblico a livello mondiale.
L’evoluzione delle tecniche di intelligenza artificiale e l’avvento della GenAI rappresentano un fattore determinante per la cybersicurezza delle organizzazioni: miglioreranno la capacità di proteggere gli asset informatici e informativi e contribuiranno a intensificare ulteriormente la minaccia.
Inoltre, NIS2 – la direttiva europea che mira a stabilire una strategia comune di cybersecurity per tutti gli Stati membri, elevando i livelli di sicurezza dei servizi digitali su scala europea – rappresenta un nuovo strumento per sensibilizzare sul tema anche le piccole e medie imprese, contribuendo a migliorarne la postura di sicurezza.
“Il secondo rapporto Cyber Index PMI conferma il persistente ritardo nella maturità delle piccole e medie imprese in ambito cybersecurity, pur registrando una lieve crescita dell’indice rispetto al 2023. Sebbene la consapevolezza sui rischi cresca, le PMI continuano a manifestare scarsa comprensione del dominio aziendale e della propria filiera”, commenta Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano.
Piva sottolinea che il fattore umano rimane la principale vulnerabilità, anche se nel prossimo futuro gli sviluppi tecnologici, in particolare l’Intelligenza Artificiale e la Generative AI, contribuiranno ad aumentare l’incertezza sui rischi cyber, rendendo indispensabile l’adozione di misure preventive immediate.
“Diversamente, il divario tra capacità difensive e offensive è destinato ad ampliarsi, con l’aggravarsi delle minacce informatiche. Le nuove normative, in particolare la NIS2, favoriranno un processo di maturazione sistemico, identificando nuovi settori come critici. Tuttavia, è necessario un cambio di approccio culturale alla cybersecurity, considerandola non solo come un obbligo normativo, ma come un elemento distintivo”, aggiunge.
