Il numero di attacchi cyber in tutto il mondo è aumentato in modo significativo nell’ultimo anno. Solo nel secondo trimestre del 2024, il numero di incidenti segnalati è aumentato di circa il 30% rispetto allo stesso periodo dell’anno precedente. I risultati attuali suggeriscono che questa tendenza si intensificherà nel corso dell’anno.
Alla luce di questa tendenza, in Svizzera il Consiglio federale ha pubblicato quest’estate un rapporto che sottolinea la necessità di coordinare la prevenzione e la repressione, chiedendo al contempo una collaborazione ancora maggiore tra i vari attori e un lavoro di prevenzione più intenso per proteggere la popolazione e le imprese.
Helvetia ha sottolineato da parte sua la necessità di una maggiore cooperazione tra imprese, scienza e governo, soprattutto per ridurre al minimo i rischi di attacchi informatici sistemici di grandi dimensioni, che richiedono un’elevata capacità di copertura e per i quali – se si verificassero – solo una frazione della perdita prevista sarebbe effettivamente assicurata.
Al fine di discutere le possibilità di ridurre al minimo questo gap assicurativo e di mostrare le possibili prospettive per lo sviluppo di una resilienza informatica sostenibile in Svizzera, noti rappresentanti del mondo economico, scientifico e governativo si sono riuniti per la seconda volta dal 2023 per un simposio intitolato “Developing Cyber Resilience – Trends and Perspectives”, su iniziativa di Helvetia.
Il CEO di Helvetia Svizzera Martin Jara lo ha detto chiaramente nel suo discorso di apertura: “Sebbene negli ultimi tempi siano stati compiuti dei progressi nella lotta contro la criminalità informatica, esistono ancora degli ostacoli che rendono difficile migliorare efficacemente la resilienza informatica”. Jara ritiene inoltre che le stesse compagnie assicurative abbiano una responsabilità: “Negli ultimi anni, il settore ha fornito offerte assicurative equilibrate per aziende e privati e ha investito molto per aumentare la resilienza, ma la penetrazione del mercato è ancora trascurabile”. Tuttavia, il maggior numero possibile di aziende assicurate sarebbe un contributo importante per ridurre al minimo i danni scoperti in caso di incidenti gravi.
Alla fine dello scorso anno, l’Associazione Svizzera di Assicurazione (ASI) ha calcolato il rischio di un grave attacco informatico sistemico per la Svizzera in collaborazione con l’agenzia di valutazione del rischio Moody’s RMS. Laurent Marescot, Senior Director ed esperto di gestione del rischio catastrofale di Moody’s, ipotizza attualmente una probabilità dell’1% di un incidente informatico in Svizzera ogni anno, che comporterebbe una perdita economica totale di oltre 2,5 miliardi di franchi. Nel calibrare un modello di rischio corrispondente, il fatto che nel caso degli incidenti informatici non si possano utilizzare eventi storici comparabili e che l’effetto di tali eventi – a differenza dei danni dovuti a catastrofi naturali – non possa essere chiaramente definito a livello geografico si è rivelato particolarmente impegnativo.
La resilienza deve essere aumentata nel lungo termine
Per ridurre l’attuale gap assicurativo, dal punto di vista dei rappresentanti delle imprese presenti è essenziale migliorare in modo sostenibile la resilienza della Svizzera come piazza economica nel lungo periodo. Tuttavia, secondo Klaus Julisch, partner di Deloitte (Svizzera) AG, la natura umana è spesso d’ostacolo. Un atteggiamento di “ciò che non può essere, non può essere” e una fiducia ingenua nella tecnologia spesso aprono la porta agli aggressori. Nella situazione attuale, tuttavia, è quasi indispensabile per la sopravvivenza verificare la sicurezza informatica di ogni progetto IT e mantenere aggiornato questo monitoraggio. I progetti che non soddisfano questi requisiti non sono più giustificabili oggi.
Marc Holitscher, National Technology Officer e membro del Consiglio di amministrazione di Microsoft Svizzera, si sofferma sulle possibilità dell’intelligenza artificiale per costruire la resilienza contro i criminali informatici: “L’intelligenza artificiale consente già una difesa coordinata su tutti i vettori di minaccia, per garantire in ultima analisi una trasparenza completa e combattere le possibili minacce”. Ma altrettanto importante, dal punto di vista di Holitscher, è il know-how relativo alle strategie e alle procedure dei criminali informatici, che oggi può essere costruito in modo molto più efficiente grazie alle soluzioni di AI generativa, che a loro volta consentono una lotta più mirata contro eventuali attacchi.
La responsabilità parte dal singolo utente IT
In definitiva, come concordano tutti i relatori, una lotta efficace contro gli attacchi informatici deve partire dagli utenti delle infrastrutture IT. Questo aspetto è stato sottolineato anche da Christoph Guntersweiler, Head Engineering Switzerland di Helvetia, che nelle sue osservazioni ha sottolineato l’importanza di continuare a sensibilizzare la forza lavoro delle PMI e delle grandi aziende: “Solo chi, oltre ad altre misure, sensibilizza regolarmente e in modo completo gli utenti interni sui rischi informatici può proteggersi in modo coerente dagli attacchi”.
Potenziale di perdita globale su larga scala
Nonostante l’elevata consapevolezza dei rischi informatici, gli attacchi sistemici da parte di attori criminali o politici alle infrastrutture critiche rimangono un rischio latente. Tenendo conto delle lacune assicurative esistenti, il potenziale di perdita netto globale risulta essere colossale. Kai-Uwe Schanz, vicedirettore generale del think tank assicurativo The Geneva Association, si concentra sulle dimensioni globali degli attacchi coordinati di malware o delle interruzioni globali del cloud, con perdite che vanno da 50 a 200 miliardi di dollari. In caso di attacchi mirati a infrastrutture critiche come la rete elettrica mondiale, le perdite conseguenti ammonterebbero a oltre 1.000 miliardi di dollari.
I partenariati pubblico-privati come potenziale soluzione
Dal punto di vista dell’Associazione di Ginevra, i partenariati pubblico-privato (PPP) sono indispensabili per tali incidenti. La pandemia COVID, in particolare, ha dimostrato che gli scenari di rischio internazionali e i relativi costi possono essere gestiti solo con il coinvolgimento del maggior numero possibile di istituzioni e organizzazioni statali e scientifiche e attraverso approcci innovativi.
Manuel Suter, vicedirettore del Centro nazionale per la sicurezza informatica (NCSC), Bernhard Maissen, direttore generale dell’Ufficio federale delle comunicazioni (UFCOM), e Vincent Lenders, direttore del Cyber Defence Campus presso l’Ufficio federale per gli acquisti della difesa, hanno dimostrato che le dimensioni delle minacce informatiche sono prese sul serio dallo Stato. Tutti gli esperti concordano: il rischio di attacchi informatici continuerà ad aumentare. I motivi sono la disponibilità sempre maggiore di hardware e software in tutto il mondo, l’aumento costante delle capacità informatiche e, di conseguenza, la crescente interconnessione. Allo stesso tempo, la misura in cui i criminali possono essere perseguiti attraverso sanzioni internazionali è ancora limitata.
Basandosi sul suo ruolo di mediatore nei conflitti internazionali, la Svizzera dovrebbe mettere Ginevra a disposizione come sede per dibattiti internazionali sulla sicurezza informatica e promuovere attivamente un cyberspazio aperto, libero e sicuro a livello operativo e strategico, nonché il riconoscimento, il rispetto e l’applicazione completi del diritto internazionale nell’arena digitale. In qualità di collegamento tra università, industria e governo federale, il Cyber Defence Campus gestisce già cinque modelli innovativi di PPP, che potrebbero servire da modello per ulteriori iniziative di questo tipo.
La tavola rotonda finale con i membri del Consiglio nazionale e i politici della sicurezza Michael Götte (SVP/SG) e Fabian Molina (SP/ZH) ha dimostrato che il tema è riconosciuto a questo livello. Nonostante le differenze nella struttura specifica, entrambi i membri del Comitato per la politica di sicurezza (CPS) del Consiglio federale hanno concordato sul fatto che la Svizzera ha urgente bisogno di recuperare il ritardo in materia di sicurezza informatica e che ora spetta ai politici creare al più presto condizioni quadro ottimali per le parti interessate.