“Più del 60% delle imprese non dispone di difese contro attacchi informatici”

Le competenze in cyber sicurezza devono essere considerate una componente strategica fondamentale per la protezione dei dati e della reputazione aziendale, soprattutto in un contesto attuale caratterizzato da minacce sempre più sofisticate. Se ne è parlato ieri in un convegno sulla sicurezza informatica per le piccole medie imprese, organizzato dalla Chambre Valdôtaine, nell’ambito delle attività di formazione ai suoi aderenti.

Mitigare i rischi informatici diventa oggi essenziale per tutte le organizzazioni, grandi e piccole, e la sicurezza informatica deve essere vista come un investimento di tipo strategico piuttosto che essere considerata solamente come un costo aggiuntivo. Gli attacchi informatici non solo comportano danni economici, ma rappresentano anche una minaccia per l’immagine aziendale. Si ha la necessità fondamentale di promuovere la resilienza informatica, in particolare per le piccole e micro imprese. Una ricerca della Camera di Commercio e dell’Università di Modena ha rivelato come oltre il 60% delle imprese non dispone di procedure per rispondere ad attacchi informatici.

Mario Danilo Pipitone, Commissario Capo della Polizia di Stato, ha aperto i lavori sottolineando l’aumento esponenziale degli attacchi informatici andati a buon fine in Italia, con un incremento del 54%  dal 2019 al 2023. Nessun settore oggi è esente da rischi e la formazione è fondamentale per mitigare le minacce.

“Oggi il cybercrime mostra una fusione tra crimine tradizionale e crimine informatico con un’unione tra il reale ed il virtuale. Il grosso degli attacchi è legato al cybercrimine, mentre la parte restante è legata all’hacktivism, forme di attivismo che utilizzano tecniche informatiche come l’ hacking per promuovere determinate cause politiche, sociali attraverso attacchi DDoS (Distributed Denial of Service) ossia tentativi di rendere un sito web o un servizio online non disponibile sovraccaricandolo con un’enorme quantità di traffico.”

Nessun settore è esente da rischi informatici: “In Italia disponiamo di strumenti avanzati per la cyber sicurezza. Tuttavia, l’elemento più vulnerabile, o per meglio dire l’anello debole, rimane l’uomo, perché spesso inconsapevole dei rischi. Questo rende la formazione fondamentale per evitare di cadere vittime di tecniche di truffa attraverso le diverse tipologie di attacco messe in atto, che diventano sempre più creative anche grazie all’uso odierno della diffusione dell’intelligenza artificiale”.

Cristiano Revil, membro della Giunta Camerale, ha analizzato i dati relativi al contesto delle aziende valdostane. “Su 11126 imprese presenti nella nostra regione, di cui la maggioranza sono microimprese, l’investimento per la sicurezza informatica è bassissimo. Le imprese investono poco perché convinte che la loro dimensione ed valore d’affari non le metta a rischio da attacchi o semplicemente perché al loro interno non hanno figure competenti nel settore IT”. Esiste dunque una scarsa sensibilità sulla tematica e sul danno che si può subire da questo genere di attacchi, ed è emerso come aziende investano molto sulla formazione nell’ambito della sicurezza mentre sottovalutino la prevenzione contro gli attacchi informatici che possono avere impatti altrettanto devastanti. 

Le iniziative che possono e devono essere messe in campo per migliorare la cyber sicurezza sono date dalle agevolazioni come i voucher digitali PID, per l’acquisto di servizi di consulenza, formazione e tecnologie in ambito informatico e che offrono sostegno tangibile a favore della digitalizzazione. La Legge regionale 6 del 2003 prevede inoltre fondi per investimenti alle imprese imprese artigiane e industriali, utili anche per l’acquisto di attrezzature informatiche.

L’intervento forse più atteso era quello di Raoul Chiesa, già intervenuto in Valle d’Aosta anni fa, con un passato passato da hacker negli anni ’90 e che si occupa oggi di contrastare attività illecite nel deep e dark web.  “L’idea del “ragazzo hacker” che buca le reti oggi è superata perché abbiamo a che fare con organizzazioni puramente criminali di esperti informatici che lavorano e operano come vere e proprie imprese”.

Essere una piccola impresa non rende immuni dagli attacchi. Spesso è il contrario, perché, ben sapendo che queste non dispongono di fondi da investire in sicurezza e di conoscenze informatiche di base, possono risultare più vulnerabili. “Quello che conta e che fa gola a queste organizzazioni è il dato e nel cybercrime ogni informazione che si riesce ad ottenere è importante. Il detto che si usa per il maiale, “non si butta via niente”, si applica anche ai dati nel contesto della cyber sicurezza. Ogni informazione, anche quella che sembra insignificante, può avere valore per qualcuno e può essere sfruttata dai criminali informatici”. Con questo Chiesa ha sottolineato l’importanza di pratiche per la protezione di tutti i dati, poiché anche le informazioni minori possono essere utilizzate in modi dannosi. “Sul dark web sono presenti quantità enormi di dati trafugati che vengono venduti e spesso contegno anche nostre informazioni senza che nemmeno ne siamo a conoscenza”

“Nel caso di furto di dati, o data breaching, il tempo di risposta è fondamentale per agire in modo tempestivo. Va quindi messo in atto un cambiamento culturale perché la sottrazione di informazioni è un settore che non andrà mai in crisi ed anzi è sempre in continua crescita.” La sicurezza informatica non rappresenta solo un obbligo normativo, ma è un prezioso investimento strategico per la protezione sia della reputazione sia della continuità operativa delle PMI, che deve partire da buone pratiche individuali che trasformino il singolo utente in un vero e proprio “firewall umano”.