Le PMI non superano il test sul rischio cyber

Secondo il Rapporto Cyber Index PMI le PMI italiane raggiungono complessivamente un livello di consapevolezza in materia di sicurezza digitale di 52 su 100. Il 44% delle PMI intervistate riconosce il rischio cyber ma solo il 15% ha un approccio strategico e la capacità di valutare il rischio cyber e mitigarlo; il 56% è poco consapevole, con un 18% che si può definire principiante

È stato presentato giovedì scorso presso la sede di Confindustria il secondo Rapporto Cyber Index PMI, l’indice che misura lo stato di consapevolezza in materia di gestione dei rischi cyber delle aziende italiane di piccole e medie dimensioni, realizzato da Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano e con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale, evidenzia e monitora nel tempo il livello di conoscenza dei rischi cyber all’interno delle organizzazioni aziendali e le modalità di approccio adottate dalle stesse per la gestione di tali rischi.

Le 1.005 PMI coinvolte nel Rapporto raggiungono complessivamente un valore medio di Cyber Index di 52 su 100 (il livello di sufficienza è 60 su 100), in crescita di 1 punto percentuale rispetto al 2023, il che significa che non sono ancora in grado di affrontare con approccio strategico il rischio cyber.

Il Cyber Index PMI è elaborato sulla base di tre diverse dimensioni: l’approccio strategico, la capacità di comprendere il fenomeno e le minacce (identificazione), l’introduzione di leve per mitigare il rischio (attuazione).

Seppur vi è una crescente attenzione sulla materia, manca un vero e proprio approccio strategico che preveda la definizione di investimenti e la formalizzazione di responsabilità da parte della popolazione aziendale italiana, con un punteggio medio di 54 su 100 (+ 2% vs. 2023).

Sebbene le leve di attuazione siano maggiormente sviluppate, con un valore di 57 su 100 (+1% vs. 2023) le PMI hanno difficoltà nello stabilire priorità, perché mancano le azioni di identificazione corrette che permettano di approcciare il tema in maniera più oculata e consapevole, con un punteggio medio di identificazione 45 su 100 (+ 2% vs. 2023).

I rispondenti, rappresentativi dell’intera popolazione di PMI italiane, possono essere raggruppati in 4 livelli di maturità:
• il 15% è considerato maturo: ha un approccio strategico alla materia, è pienamente consapevole dei rischi ed è in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie
• il 29% può essere definito consapevole: è in grado di comprendere le implicazioni dei rischi cyber ma con una capacità operativa spesso ridotta per poter agire correttamente
• il 38% è informato: non pienamente consapevole dei rischi cyber e degli strumenti da mettere in atto, ha un approccio «artigianale».
• il 18% può essere definito principiante: poco consapevole dei rischi cyber e con una quasi nulla implementazione delle misure di protezione

Se consideriamo che dal 2018 al 2023 gli attacchi gravi di dominio pubblico hanno subito un aumento del 79% a livello mondiale, è palese che ci sia di che preoccuparsi.

Se dal report emerge che parte delle PMI italiane hanno ben compreso l’importanza della sicurezza informatica e si stanno attrezzando per affrontare uno scenario in continua evoluzione, è vero anche in generale persiste il ritardo nella maturità delle piccole e medie imprese in ambito cybersecurity.

Diviene quindi necessario un cambio di mentalità sulla gestione dei rischi cyber. Inoltre, valutando la centralità assunta dalla materia nel contesto sociale e globale in cui viviamo e con l’obiettivo di rendere resiliente l’economia del Paese, si sente il bisogno di un approccio sistemico in cui intervengano anche le istituzioni per definire opportunità di investimento comuni e rafforzare le infrastrutture aziendali.