Vulnerabili, più esposte al rischio di attacchi informatici contro la supply chain, ma al tempo stesso con un livello di consapevolezza e di preparazione inferiore alla media nazionale: è il quadro (preoccupante) delle piccole e medie imprese disegnato dal Rapporto Cyber Index Pmi Toscana presentato oggi a Firenze nella tappa toscana del roadshow promosso da Generali e Confindustria, che hanno realizzato il Cyber Index con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano e con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale.
Solo il 2% delle Pmi in Toscana è pronto alla sfida
Poco meno della metà – il 49% – delle Pmi intervistate in Toscana ha dichiarato di fare ricorso all’utilizzo di strumenti digitali per supportare la propria attività produttiva, e il 10% ha subito violazioni negli ultimi 4 anni. Dal Rapporto emerge come le Pmi toscane siano maggiormente esposte a rischi legati alle terze parti, ovvero gli attacchi informatici che prendono di mira la catena di fornitura dell’impresa, rispetto alla media nazionale. Ma al tempo stesso le Pmi in Toscana hanno un livello “molto basso” di consapevolezza e preparazione, con un punteggio medio di 32 su 100, inferiore sia alla media del Centro Italia (41 su 100), sia alla media nazionale (51 su 100).
Oltre a mancare un vero e proprio approccio strategico che preveda la definizione di investimenti e la formalizzazione di responsabilità da parte della popolazione aziendale toscana (44/100), si registra uno scarso livello rispetto alle leve di attuazione (36/100) e la mancanza di azioni di identificazione corrette (17/100). In una valutazione sul grado di consapevolezza, solo il 2% delle Pmi toscane (14% in Italia) può essere considerato maturo, pienamente consapevole dei rischi e in grado di mettere in campo le giuste contromisure, mentre il 10% (31% nazionale) può essere definito come consapevole. Il 33% delle Pmi (35% nazionale) è informato, e il 55% (20% nazionale) può essere definito principiante: poco consapevole dei rischi cyber e con una quasi nulla implementazione delle misure di protezione.
“Dati deludenti, bisogna capire che si rischia molto”
“Non voglio fare allarmismo, ma ovviamente i dati sono un po’ deludenti”, afferma Alessandro Sordi, vicepresidente di Confindustria Firenze, osservando che “la digitalizzazione ha aperto nuove opportunità, ma ha anche esposto le imprese a una maggiore vulnerabilità”. Da qui, sostiene, la necessità di “adottare pratiche avanzate di prevenzione e sicurezza informatica per proteggere non solo i dati aziendali ma anche la fiducia dei clienti e la reputazione del brand”.
Tuttavia ancora oggi, secondo il vicepresidente di Confindustria Firenze, “la cybersecurity è vista come un tema riservato all’Ict – osserva -, una cosa che risolve il tecnico della situazione, ma non è più così: oggi bisogna avere un approccio olistico, totalitario, da tanti punti di vista, e quindi si tratta proprio di un tema di cultura generale delle imprese. Se gli imprenditori non comprendono a fondo quale sia la potenzialità del rischio, non prenderanno nemmeno le contromisure”.
Dunque, secondo Sordi, “se tu comprendi che il danno che ci può arrivare da un attacco di cybersecurity può essere irreversibile, comprendi che non puoi semplicemente risolvere il problema una volta che si è verificato: lo devi anticipare. Quindi parliamo di una cultura della prevenzione. Confindustria a Firenze, e anche a livello toscano, ha pensato di aprire una serie di sportelli dedicati alle aziende proprio per poter fare assessment e cultura sul tema. Supporta gli Its nella formazione di nuove competenze che sono necessarie all’interno delle aziende. Supporta le startup, perché molte delle soluzioni di cui stiamo parlando sono generate da nuove società di giovani ingegneri e sviluppatori che ‘ricambieranno’ il tessuto imprenditoriale, dando questo tipo di innovazione”.
Ci sono fondi Ue (ma le aziende non li usano)
Per la sicurezza informatica delle imprese “ci sono anche a disposizione fondi Ue”, ma “l’Italia purtroppo non è tra le migliori utilizzatrici di questi fondi”, ha ammesso Luca Nicoletti, direttore del servizio Programmi industriali, tecnologici, di ricerca e formazione presso l’Agenzia per la Cybersicurezza Nazionale. “Uno dei messaggi che vogliamo portare oggi è quello di fare molta attenzione alle opportunità che esistono per farsi finanziare in maniera anche importante, si può arrivare al 75%, con fondi che provengono dall’Europa”, ha spiegato Nicoletti, citando il Digital Europe Programme che “da qui al 2027 mette a disposizione oltre 1,5 miliardi di euro, quindi sono fondi importanti e significativi”.
L’Acn è centro nazionale di coordinamento verso il centro di competenza europeo Eccc, che gestisce proprio i fondi europei dedicati alla cybersecurity. “Un’ulteriore opportunità per le imprese italiane per irrobustire la loro postura cyber”, ha sottolineato Nicoletti, spiegando che “la nostra missione è quella di favorire la resilienza del Paese: e in un contesto dove le Pmi rappresentano il tessuto connettivo dell’economia nazionale, il contributo che vogliamo dare al roadshow, in aggiunta alla preparazione e alla valutazione del Cyber Index, è proprio quello di favorire la disseminazione delle opportunità di finanziamento attualmente disponibili per rendere le nostre imprese sempre più robuste e quindi più competitive nello scenario europeo e internazionale”.
Leonardo Testai