Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano e con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale, hanno realizzato il primo Rapporto Cyber Index PMI, l’indice che misura lo stato di consapevolezza delle PMI in materia di rischi di sicurezza informatica.

Il report, presentato ieri a Roma, fa emergere la necessità di una maggior diffusione e promozione della cultura dei rischi cyber tra le piccole e medie imprese. Le 708 PMI coinvolte nello studio, rappresentative dell’intera popolazione di PMI italiane, raggiungono un valore di medio di Cyber Index di 51 su 100 (il livello di sufficienza è 60 su 100), dato non proprio esaltante.

Cyber Index PMI è derivato da una valutazione su tre diverse dimensioni: l’approccio strategico, la capacità di comprendere il fenomeno e le minacce (identificazione) e l’introduzione di leve per mitigare il rischio (attuazione).

Il rapporto evidenzia – nonostante una crescente attenzione sulla materia – la mancanza di un vero e proprio approccio strategico con definizione di investimenti e formalizzazione di responsabilità (punteggio medio 54 su 100). Le leve di attuazione risultano più sviluppate (56 su 100), ma le PMI hanno difficoltà nello stabilire priorità, perché mancano le azioni di identificazione corrette (punteggio medio 43 su 100) per approcciare il tema in maniera più oculata e consapevole.

Cyber Index PMI, i 4 livelli di maturità

I rispondenti possono essere raggruppati in 4 livelli di maturità:

dl sicurezza

  • Il 14% è considerato maturo: ha un approccio strategico alla materia, è pienamente consapevole dei rischi ed è in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie
  • Il 31% è definito consapevole: è in grado di comprendere le implicazioni dei rischi cyber, ma con una capacità operativa spesso ridotta per poter mettere in campo le corrette azioni
  • Il 35% è informato: non pienamente consapevole del rischio cyber e degli strumenti da mettere in atto, si approccia al rischio cyber in modo «artigianale»
  • Il 20% può essere definito principiante: poco consapevole dei rischi cyber e con una quasi nulla implementazione delle misure di protezione.

Solo il 17% ha un budget dedicato alla cybersecurity

Dal Cyber Index PMI emerge che il 58% delle PMI manifesta un’attenzione concreta attraverso un budget stanziato per la sicurezza informatica della propria azienda: tuttavia, nella maggior parte dei casi rientra nel più ampio investimento destinato all’IT, mentre solo il 17% ne prevede uno ad hoc.

In termini di mitigazione del rischio, il 57% ha una dotazione tecnologica per il monitoraggio delle anomalie e il 41% prevede contromisure per limitare l’esposizione degli utenti aziendali a rischi informatici, attraverso policy comportamentali o iniziative di formazione degli utenti. Infine, il 17% delle aziende intervistate ha già sottoscritto una soluzione assicurativa dedicata, mentre il 29% non è a conoscenza delle possibilità di copertura del rischio cyber.

“Spesso l’approccio al rischio cyber è solo artigianale”

“Il Rapporto Cyber Index PMI evidenzia una situazione di scarsa consapevolezza dei rischi cyber, in uno scenario dove le PMI rappresentano il motore dell’economia del nostro Paese e sono partner strategici di grandi imprese in filiere di rilevanza nazionale e internazionale. Le difficoltà a stanziare fondi e a internalizzare figure professionali dedicate rendono complesso identificare minacce e priorità di azione e spesso l’approccio al rischio cyber è solo artigianale. Solo il 14% delle organizzazioni si può considerare maturo, con un approccio strategico alla materia e in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie” ha dichiarato Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano.

Agostino Santoni, Vice Presidente di Confindustria per il Digitale, ha aggiunto: “Dal 2018 al 2022 gli attacchi informatici a livello globale sono aumentati del 60% e, solo in Italia, nel 2022, abbiamo registrato un incremento del 169% rispetto all’anno precedente. La spesa in cybersecurity nel nostro Paese ha raggiunto 1.590 milioni di euro nel 2022, in costante crescita. È la dimostrazione di quanto stia aumentando la consapevolezza dei rischi legati alla sicurezza informatica, tanto che nella sfera imprenditoriale ormai è considerata un fattore strategico di competitività. Per questo Confindustria si è impegnata a sensibilizzare il proprio Sistema associativo sulla cybersecurity, con particolare attenzione alle PMI”.