di Francesco Bertolino
Lo scorso 18 aprile un gruppo di cyber-criminali è riuscita a infiltrarsi in circa 30 sistemi digitali pubblici del Costa Rica, chiedendo un riscatto di 20 milioni di dollari. I sistemi sono rimasti bloccati per quasi due mesi, costringendo il governo a dichiarare lo stato di emergenza nazionale. Secondo alcune stime, l’incursione ha causato al Paese 30 milioni di dollari di perdite al giorno, per un totale superiore al mezzo miliardo.
Dopo lo scoppio della guerra fra Russia e Ucraina, gli attacchi informatici sono aumentanti di numero, compiendo anche un salto di qualità. In molti casi, infatti, sono diretti contro infrastrutture critiche con l’obiettivo di fermare le attività di aziende strategiche o di interi Paesi. A orchestrarli, poi, sono sempre più spesso i governi o attori da loro sostenuti economicamente e tecnologicamente. La sicurezza informatica è insomma diventata una questione di sicurezza nazionale, come dimostra l’inclusione degli attacchi hacker tra le fattispecie in grado di attivare l’articolo 5 del trattato Nato, ossia l’obbligo di difesa collettiva vigente fra i membri dell’Alleanza atlantica.
Secondo un recente report di JpMorgan, del resto, il costo del cybercrimine – di Stato o meno – ha raggiunto i 6.000 miliardi di dollari nel 2021, ma è ancora lontano dal picco. Un’analisi di Cybersecurity Ventures prevede che i danni degli attacchi hacker possano toccare i 10.500 miliardi di dollari nel 2025, registrando quindi un aumento del 75% rispetto all’anno scorso. Una marea dinanzi alla quale gli Stati non hanno eretto una barriera sufficientemente elevata.
Il bilancio federale degli Stati Uniti ha destinato quest’anno fra 14,4 e 20 miliardi alla cybersecurity. L’Europa ha sì approvato alcuni regolamenti per fissare standard minimi di sicurezza informatica per pubbliche amministrazioni e aziende strategiche, ma non ha lanciato piani di investimento dedicati. D’altra parte, anche volendo, governi e imprese faticherebbero a trovare abbastanza guardiani per le loro porte informatiche: il divario fra domanda e offerta di personale specializzato nella cybersecurity è stimato in 2,7 milioni di professionisti.
Nel frattempo, comunque, la spesa globale in cybersecurity è cresciuta del 13% nel 2021 a 172 miliardi e dovrebbe salire dell’11% sia nel 2022 sia nel 2023. Secondo McKinsey, la penetrazione delle soluzioni di cybersecurity è oggi al 10% del mercato potenziale totale che vale almeno 1.500 miliardi di dollari.
Questa sproporzione significa, certo, che le aziende di settore hanno ampie prospettive di crescita. Ma implica anche che l’ammontare degli investimenti resta lontano da quanto sarebbe necessario per rallentare la tendenza ascendente dei danni da attacco cibernetico.
La vulnerabilità informatica comporta anche elevati rischi finanziari. Un’analisi di Sustainalytics ha esaminato l’impatto sul mercato di 69 incidenti informatici ad alto rischio. Se ne desume che un grave attacco informatico influenza il prezzo di un’azione al ribasso per circa 50 sedute. Una volta risolto l’incidente, il titolo rimbalza senza tuttavia recuperare in pieno quanto perso. Le aziende che accusano attacchi informatici restano a fine anno significativamente in ritardo in borsa rispetto ai benchmark di mercato e di settore.
L’insieme di questi dati sta spingendo i vertici dei grandi gruppi a rivedere le loro politiche di investimento. Dal sondaggio condotto da JpMorgan fra 142 chief information officer, responsabili per una spesa di 114 miliardi all’anno, si evince che la voce «sicurezza informatica» è una delle poche a registrare un aumento dei budget dedicati anche nel 2022, a dispetto del contesto recessivo.
Poiché in ambito cyber il rischio zero non esiste, le aziende, oltre a prevenire, si stanno attrezzando anche per parare il danno, qualora si verifichi. Le polizze informatiche sono fra i mercati più promettenti per le assicurazioni europee: sono cresciuti in media del 27% tra 2017 e 2021 e a livello globale potrebbero raggiungere i 20 miliardi nel 2025. Secondo Beazley, una compagnia di settore, quello cyber non è più considerato solo un rischio normativo/legale, ma anche e soprattutto un rischio aziendale. (riproduzione riservata)
Fonte: