La cybersecurity emerge sempre di più come pilastro imprescindibile per la salvaguardia dei dati e delle infrastrutture strategiche. Questa esigenza si riflette nelle normative europee così come nelle iniziative nazionali, che pongono l’Italia in una posizione di crescente responsabilità e attenzione verso questo settore.
In questo contesto, la cybersecurity non è solo una necessità ma diventa un fattore competitivo: saper gestire e proteggere i propri dati può fare la differenza sul mercato.
Tuttavia, questa trasformazione porta con sé sfide significative che richiedono un costante lavoro di ottimizzazione del framework della cybersecurity nel nostro Paese.
Cybersecurity: pilastro della digitalizzazione
I cambiamenti abilitati dalle tecnologie digitali hanno trasformato e continuano a trasformare l’economia e la società, includendo in tale trasformazione tutti i settori di attività nonché le vite dei singoli cittadini. Ad oggi, infatti, la digitalizzazione ricopre un ruolo sempre più rilevante all’interno del sistema socio-economico.
Analizzando l’impatto della digitalizzazione sulla popolazione, emergono dati significativi.
L’85% degli italiani utilizza regolarmente internet (almeno una volta a settimana), con acquisti online che hanno raggiunto i 48,1 miliardi di euro nel 2022, registrando un aumento di 2,4 volte rispetto al 2016. La diffusione di servizi come SPID è cresciuta di 2,5 milioni nel solo 2023, raggiungendo oltre 35 milioni di Identità Digitali (erano meno di 1 milione a fine 2016). Al tempo stesso, si osserva che il 70% delle persone è preoccupato per l’uso improprio dei dati, sottolineando l’importanza di affrontare le preoccupazioni legate alla privacy e alla sicurezza.
Sul fronte aziendale, il 61% delle imprese italiane utilizza servizi di cloud computing, mentre il 37% adotta dispositivi Internet of Things (IoT). L’e-commerce rappresenta il 20% del fatturato complessivo, evidenziando un’evoluzione significativa nei modelli di business. Questi dati sottolineano la necessità crescente di garantire la sicurezza dei dati e dei processi per preservare l’integrità delle operazioni aziendali.
La digitalizzazione, alimentata da tecnologie quali Big Data, Intelligenza Artificiale e Internet of Things, crea una rete interconnessa tra dispositivi, imprese e individui. In questo contesto, emergono opportunità significative di valorizzazione nell’economia digitale. Tuttavia, si intensifica anche la necessità di proteggere questa catena di valore del dato attraverso l’implementazione di misure di cybersecurity, che si configura quindi come un elemento cruciale per garantire la sicurezza e l’operatività di dati e processi.
Cybersecurity e cyber-resilienza
Con la crescente pervasività della digitalizzazione e l’aumento dei rischi di sicurezza, diventa necessario sfruttare le tecnologie di cybersecurity per implementare approcci di cyber-resilienza: l’andamento del valore dell’economia digitale è infatti parallelo all’aumento degli attacchi informatici, che sono cresciuti del +12% annuo nel periodo 2018-2022, passando da 1.554 a 2.489.
Considerando la cybersecurity come quell’insieme dei mezzi, delle tecnologie e delle procedure tesi alla protezione dei sistemi informaticiin termini di disponibilità, confidenzialità e integrità dei beni o asset informatici, risulta fondamentale intendere la cybersecurity come un fattore abilitante per la crescita e la continuità delle attività economiche e sociali. In questo quadro, la cyber-resilienza si sostanzia dunque nella capacità di anticipare, resistere, riprendersi e adattarsi a condizioni avverse, stress, attacchi o compromissioni su sistemi che utilizzano risorse informatiche.
Il ruolo della normativa europea sulla cybersecurity
La crescente rilevanza dell’economia digitale e il ruolo strategico giocato dalla cybersecurity nel garantirne i processi e le funzioni hanno posto l’accento sulla necessità da parte dei Governi di adottare un quadro normativo che tenga conto di questi cambiamenti, cercando di governare e regolamentare questo fenomeno.
Il quadro normativo europeo sulla cybersecurity riflette la crescente attenzione dell’Unione Europea verso i temi di sicurezza informatica e digitalizzazione, presentando ancora oggi alcuni punti di attenzione legati soprattutto alla capacità delle imprese di implementare le misure richieste, con ricadute importanti sulla loro competitività. I fattori di costi, i tempi e lo scopo di azione delle misure messe in campo dall’Unione Europea rappresentano i principali temi da gestire per assicurare l’applicazione della normativa e, al tempo stesso, non gravare eccessivamente sulle funzioni e sui processi delle imprese.
La recente entrata in vigore della Direttiva NIS2 mira a mitigare le criticità riscontrate nella sua precedente versione. L’ampliamento dei soggetti destinatari, passando da “Operatori di Servizi Essenziali” e “Fornitori di Servizi Essenziali” a “Soggetti Essenziali” e “Soggetti Importanti,” crea una gerarchia di settori strategici. Tuttavia, ciò comporta nuovi oneri per le imprese (in particolare per quelle di medie e grandi dimensioni), con stime della Commissione Europea che indicano costi complessivi di circa 35 miliardi di euro a livello europeo e a 840 mila Euro in media per azienda.
L’Italia e la cybersecurity: legislazione e iniziative
L’Italia, anticipando la necessità di norme e strutture per garantire la sicurezza informatica, ha introdotto diverse iniziative. Tra queste, il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), emanato nel 2019, mira a elevare la sicurezza dei sistemi ICT per le Pubbliche Amministrazioni e alcune imprese private selezionate. La Strategia Nazionale di Cybersicurezza (2022-2026) e il relativo Piano di Implementazione, approvati nel 2022, indicano ulteriori passi per affrontare le sfide della sicurezza informatica, includendo azioni di formazione, promozione della cultura della sicurezza cibernetica e collaborazioni pubblico-private.
L’esigenza di una riorganizzazione del quadro normativo e, più in generale, di uno sviluppo armonioso della cybersecurity in Italia risulta essere particolarmente pressante alla luce di livelli di sicurezza informatica fortemente eterogenei nei diversi settori. A tal proposito, a fronte di investimenti complessivi in ambito ICT pari a 6,2 miliardi di euro in Italia, il valore tutelato da tali settori risulta ben più elevato (195 miliardi di euro), a ulteriore testimonianza del ruolo ricoperto dalle infrastrutture critiche nell’economia del sistema-Paese.
La mancata tutela di questi asset, tramite il potenziamento di sistemi di sicurezza informatica e ICT nei settori strategici, può risultare dunque in rilevanti perdite (economiche e reputazionali) da parte delle imprese e di tutto il Paese, a seguito del blocco delle attività causati da eventuali attacchi hacker, come testimoniato dal caso dell’attacco hacker alla Colonial Pipeline (del maggio 2021) in cui, vista l’elevata strategicità degli asset detenuti dalla società, un attacco informatico ha provocato un blocco nelle funzioni di approvvigionamento di carburante in tutta la costa orientale degli Stati Uniti.
Il ruolo della cybersecurity nelle imprese italiane
Proprio per approfondire le esigenze connesse alla cybersecurity The European House – Ambrosetti ha condotto una survey a 500 imprese italiane afferenti ai settori critici (Utility ed energia; Servizi finanziari; Trasporti; Infrastrutture; TLC e digitale; Sanità; Aerospazio e difesa). La survey offre alcune evidenze interessati. Innanzitutto, emerge che oltre la metà delle imprese considera il livello di attenzione verso la cybersecurity elevato, con alcune differenze – seppure marginali – tra piccole imprese (dove il 53% reputa di avere un’attenzione alta o molto alta) e grandi (dove la percentuale sale al 65%). Connesso a questo aspetto, secondo quasi 9 aziende su 10 (87%), il modello organizzativo è adeguato a gestire le sfide attuali e prospettiche in termini di cybersecurity.
L’errore umano: principale fonte di attacchi informatici
Come ulteriore ambito di approfondimento, è stata indagata l’esposizione delle imprese appartenenti ai settori strategici verso gli attacchi informatici. L’errore umano si configura come la principale fonte di attacchi informatici, rappresentando il 42% dei casi (contrapposto al 23% delle imprese secondo cui esso sia imputabile principalmente ad un attacco forzato dei sistemi). Tale fenomeno risulta particolarmente diffuso tra le PMI, con una percentuale del 42% nelle imprese con meno di 50 addetti e del 48% in quelle con 50-249 addetti, rispetto al 33% in quelle con più di 250 addetti.
Con riferimento alla normativa, il 43% delle imprese reputano di avere una conoscenza bassa o molto bassa del quadro di riferimento, con una particolare incidenza delle piccole imprese (dove la percentuale sale al 44%); dall’altro lato, un alto (o molto alto) livello di conoscenza sulle normative è presente principalmente tra le grandi imprese, con una quota pari al 44% (rispetto, per esempio, al 13% delle piccole imprese o al 18% delle medie).
Cybersecurity come fattore competitivo: opportunità e sfide
L’importanza fondamentale di sfruttare la cybersecurity come fattore competitivo emerge dal fatto che, per un terzo delle aziende coinvolte nella survey, lo sviluppo della cybersecurity rappresenta un’opportunità per investire in nuove soluzioni digitali, sfruttando i più alti livelli di sicurezza garantiti. Il secondo ambito in cui si dispiega tale relazione positiva riguarda il fatto che la cybersecurity garantisce processi aziendali e commerciali più efficienti grazie a una maggiore resilienza, dovuta alla riduzione delle interruzioni causate dagli attacchi informatici.
Per abilitare questa relazione positiva, vi sono alcuni temi da affrontare. Per quasi la metà delle imprese, infatti, l’attuale quadro regolatorio impatta sulla capacità di innovazione e crescita, soprattutto per i fattori di costo (come oneri burocratici e amministrativi, oltre a quelli tecnologici e amministrativi): questo punto di vista è consolidato dal fatto che l’adeguamento al quadro regolatorio richiede un aumento del 20-30% del fabbisogno di forza lavoro dedicata, implicando maggiori costi (per il reperimento) e/o una minore possibilità di dedicarsi ad attività di sviluppo. Inoltre, un terzo delle realtà operanti in più Paesi riporta difficoltà nel gestire la sicurezza informatica nelle attività condotte in più Paesi europei, soprattutto per le risorse aggiuntive necessarie ad adattare i prodotti alle differenti normative.
Verso un ottimizzazione del framework della cybersecurity in Italia
Dalle analisi e dalle evidenze della survey derivano alcune considerazioni finali. Per ottimizzare il framework della cybersecurity in Italia, promuovendone allo stesso tempo uno sviluppo in chiave competitiva nelle imprese, risulta fondamentale assicurare il supporto alle imprese e alla loro capacità innovativa, sviluppando specifiche attività di accompagnando nei loro percorsi di sicurezza informatica (in primis per le piccole e medie imprese), immaginando nuovi modelli di sviluppo (come i “Chief Information Security Officer as-a-service” per le PMI oppure modelli di collaborazione di filiera).
Un ruolo chiave è svolto poi dalle competenze e dalla consapevolezza, ovvero dalla conoscenza delle sue dinamiche fondamentali e dalla capacità di un’organizzazione di definire e perseguire una chiara visione di sviluppo delle proprie strategie di sicurezza; questa esigenza è particolarmente rilevante per i vertici delle organizzazioni. Infine, considerata la natura fortemente trasversale della cybersecurity, che interconnette attori economici pubblici e privati, di piccole e grandi dimensioni, afferenti a una pluralità di settori e Paesi (quindi con esigenze diverse), i meccanismi di consultazione degli stakeholder possono rappresentare un importante strumento, come dimostrano le diverse best practice già presenti (per esempio in Regno Unito, Canada e Francia).
