Ecco come le imprese italiane fronteggiano i rischi informatici
Torna a mappare il fenomeno la nuova edizione del Cyber Index Pmi, il rapporto (presentato oggi a Roma) promosso da Generali e Confindustria per valutare il livello di consapevolezza su questa minaccia
Bene, ma non benissimo. Così Barbara Lucini, responsabile country sustainability & social responsibility di Generali Italia, ha sintetizzato il quadro che è emerso dal terzo rapporto Cyber Index Pmi, che ha fatto il punto sul livello di consapevolezza sui rischi cyber tra le imprese italiane. Presentato oggi a Roma, presso la sede di Generali nella capitale, il rapporto si pone l’obiettivo di monitorare nel tempo l’evoluzione della postura di sicurezza del tessuto imprenditoriale italiano, intesa come capacità di governare il rischio cyber attraverso scelte strategiche, assetti organizzativi, processi e strumenti adeguati. A promuovere il rapporto accanto al Leone di Trieste c’è Confindustria, assieme al contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la partnership istituzionale dell’Agenzia per la Cybersicurezza Nazionale (Acn).
UN RISCHIO CHE PUÓ PROVOCARE UN EFFETTO DOMINO
Bene, ma non benissimo, si diceva. Perché la foto scattata nel 2025 dal report mostra sì un livello di maggiore consapevolezza tra le imprese in materia di sicurezza digitale (55 su 100, 3 punti percentuali in più rispetto alla rilevazione 2024), ma mostra anche che soltanto il 16% delle Pmi ha un’adeguata postura di sicurezza digitale.
Come ha sottolineato, aprendo l’evento, il general manager di Generali Italia, Massimo Monacelli, “la sicurezza digitale riguarda la continuità operativa stessa e la solidità delle imprese”, e diventa una responsabilità condivisa laddove “il rischio cyber non è un tema individuale ma una vulnerabilità che si può propagare con un effetto domino su tutto il sistema”. Gli ha fatto eco Fausto Bianchi, presidente di Piccola industria–Confindustria: “è un rischio – ha detto – che interessa trasversalmente le filiere produttive, anche le realtà poco visibili ma strategiche, che se colpite possono mettere a rischio la propria continuità operativa, da quella dei committenti a quella dei fornitori”, e citando gli ultimi dati Clusit ha ricordato come l’Italia sia tra i paesi più nel mirino degli attacchi cyber con il 9,6% di tutti gli incidenti informatici mondiali.
I NUMERI DEL RAPPORTO
A entrare nel vivo e presentare i numeri emersi dal rapporto è stato Alessandro Piva, direttore dell’Osservatorio cybersecurity & data protection del Politecnico di Milano.
Nel terzo anno di rilevazione, le piccole e medie imprese italiane raggiungono un livello di consapevolezza in materia di sicurezza digitale pari a 55 punti su 100, segnando un incremento di 3 punti rispetto al 2024 e di 4 punti rispetto al 2023, su un campione di oltre 1.500 imprese. Un percorso di maturazione che, pur non raggiungendo la soglia di sufficienza fissata a 60 su 100, evidenzia una marcata polarizzazione tra un nucleo ristretto di imprese più mature e una vasta platea ancora esposta ai rischi.
Il rapporto evidenzia un progresso significativo sull’approccio strategico, che raggiunge la piena sufficienza, grazie a una maggiore attenzione alla governance del rischio e alla pianificazione degli investimenti da parte delle Pmi italiane, con un punteggio medio di 62 su 100 (+6 punti percentuali rispetto al 2024). Permangono invece alcune criticità nelle fasi successive del percorso. Nonostante una crescente consapevolezza del rischio, molte Pmi faticano a tradurre la strategia in priorità operative, soprattutto per la mancanza di adeguate attività di identificazione, che registrano un punteggio medio di 47 su 100 (+2 punti rispetto al 2024). La dimensione dell’attuazione si attesta infine su 57 su 100, un valore stabile rispetto all’anno precedente, indicando che l’introduzione di misure concrete di protezione procede più lentamente rispetto alla definizione delle strategie.
Il rapporto ha raggruppato i rispondenti (rappresentativi dell’intera popolazione di Pmi italiane) in quattro livelli di maturità. Un primo gruppo, pari al 16% del campione, è considerato maturo: ha un approccio strategico alla materia, è pienamente consapevole dei rischi ed è in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie. Il 32% del campione può essere definito consapevole: è in grado di comprendere le implicazioni dei rischi cyber ma con una capacità operativa spesso ridotta per poter agire correttamente. Il 38% delle imprese intervistate è informato: non pienamente consapevole dei rischi cyber e degli strumenti da mettere in atto, ha un approccio “artigianale”. Infine, il 14% può essere definito principiante: poco consapevole dei rischi cyber e con una quasi nulla implementazione delle misure di protezione.
Per la prima volta, evidenzia il report, le imprese mature superano numericamente le principianti, queste ultime in calo di 6 punti rispetto alla prima rilevazione, ma il 70% delle Pmi resta concentrato nei livelli intermedi, caratterizzati da una conoscenza del rischio che non si traduce ancora in una capacità di difesa efficace.
NECESSARIA UNA SOVRANITÀ DIGITALE
Le evidenze emerse dal rapporto sono state commentate all’interno di una tavola rotonda che ha messo a confronto Pietro Labriola, ceo di Tim, ma intervenuto in qualità di delegato del presidente di Confindustria per la transizione digitale; Bruno Frattasi, direttore generale Agenzia per la Cybersicurezza Nazionale; e Remo Marini, group chief security officer di Generali.
Labriola, in particolare, ha sottolineato le criticità legate alla sovranità delle infrastrutture digitali. “Quanto più aumenta la penetrazione dei servizi cloud – ha detto – tanto più aumenta l’esposizione al rischio. Il cloud non è una dimensione fisica in cui è chiaro quali regole si applicano, non si sa dove stanno andando i propri dati, e spesso i software su cui essi viaggiano sono soggetti alla giurisdizione statunitense”. In un’ottica di reciprocità e di tutela per il nostro sistema-paese in ottica di sicurezza geopolitica, Labriola ha sottolineato la necessità di riappropriarci di questo fondamentale tassello.
Non è un tema solo italiano, ma europeo: da continente colonizzatore, ha detto Labriola, siamo diventati un continente colonizzato. Il trend deve cambiare, ma l’Europa si sta muovendo, anche sul fronte normativo, come ha ricordato Bruno Frattasi, citando le iniziative messe in campo a favore delle Pmi dall’Acn, tra cui il percorso di accompagnamento nell’attuazione della direttiva Nis2, il coordinamento del progetto europeo Secure che accompagna le Pmi nella compliance verso il Cyber Resilience Act, mediante un finanziamento complessivo di 16,5 milioni di euro destinati alle Pmi europee.
Remo Marini ha invece avvertito su quanto lavoro ci sia ancora da fare: “oggi – ha detto – una gran parte delle Pmi non è in grado di capire le proprie vulnerabilità. Bisogna metterle in condizione di far capire loro i rischi cyber e di anticiparli, e per far questo nel nostro paese c’è bisogno di provider locali di servizi di sicurezza informatica che siano in grado di sintonizzarsi sulle necessità delle Pmi per accompagnarle lungo tutta la filiera del rischio”.
Ecco perché, concludendo l’incontro, il quadro sintetizzato da Barbara Lucini è stato come anticipato all’inizio: bene, ma non benissimo. “La direzione intrapresa – ha detto – è quella giusta ma siamo ancora sotto al livello di sufficienza. Trasmettere i messaggi giusti è un atto di responsabilità: non bisogna avere eccessi di ottimismo, ma nemmeno cedere alla sfiducia”.
© RIPRODUZIONE RISERVATA
.jpg?1773049355)
