skip to Main Content

Rischio cibernetico, la misurazione dell’incidenza e del costo nella Penisola. I dati contenuti nella Relazione annuale di Banca d’Italia

“Numerose sono le difficoltà che si incontrano nella raccolta dei dati e nella stima delle grandezze chiamate in causa, come l’incidenza degli attacchi informatici su una determinata platea di potenziali vittime e la valutazione dei costi economici diretti e indiretti degli attacchi stessi. Questi problemi possono essere almeno in parte superati con opportune tecniche statistiche”. 

È quanto si legge in un capitolo dedicato al rischio cyber nella Relazione annuale della Banca d’Italia.

“I dati”, prosegue il documento, “mostrano che il sistema produttivo nazionale è molto eterogeneo dal punto di vista della gestione e della consapevolezza del rischio cibernetico. La spesa mediana per impresa in misure difensive si colloca a 4.530 euro, circa il 15 per cento della retribuzione annuale lorda di un lavoratore con mansioni non dirigenziali. Esistono significative differenze tra settori: per le imprese a basso contenuto tecnologico tale spesa non arriva a 3.500 euro, mentre è più alta tra le imprese più grandi; nel comparto ICT oltrepassa i 19.000 euro”.

Quanto al tipo di difesa adottato, “due imprese su tre”, dice ancora la Relazione, “dichiarano di istruire i dipendenti sull’uso sicuro dei dispositivi informatici, più della metà di svolgere analisi sulla vulnerabilità delle reti, mentre solo un terzo ricorre alla cifratura dei dati, una pratica meno costosa rispetto alle altre, ma assai efficace. Quest’ultimo elemento corrobora l’ipotesi di un’asimmetria informativa che avvantaggia i venditori di servizi difensivi, i quali ne approfitterebbero per suggerire alle aziende le soluzioni più costose, anziché quelle migliori.

Differenze importanti tra settori e classi dimensionali si riscontrano sia nella predisposizione di misure difensive sia nell’incidenza degli attacchi in grado di produrre conseguenze sul funzionamento dei sistemi aziendali o sull’integrità e la riservatezza dei dati su essi custoditi. Nel primo caso i tassi di adozione di tutti i presidi difensivi sono significativamente più alti della media tra le imprese ICT e tra quelle di grande dimensione. Per queste ultime i dati per il 2017 mostrano che è più elevata anche la frequenza delle intrusioni.

La probabilità che un’impresa subisca un attacco informatico dipende sia dall’attrattiva che esercita sugli hacker, legata al valore dei dati custoditi e all’esposizione al rischio (ad es. misurata in termini di dispositivi connessi a internet, o di transazioni condotte online), sia dalla sua capacità di difendersi.

Nel sistema produttivo italiano i rischi sembrano attualmente più diffusi tra le imprese ad alto contenuto tecnologico non appartenenti al settore ICT, poiché, al contrario delle imprese a bassa tecnologia, attraggono gli attacchi, ma, diversamente da quelle del comparto ICT, non hanno ancora sviluppato una sufficiente capacità di difesa. Questa circostanza sembra confermata dal fatto che le aggressioni informatiche sono più frequenti tra le imprese che fanno ricorso all’e-commerce e al cloud computing, così come ai dispositivi dell’internet delle cose; sono meno frequenti tra quelle che impiegano tecnologie basate sull’intelligenza artificiale.

L’adozione del primo gruppo di tecnologie, che sono anche le più diffuse, non richiede nozioni tecniche avanzate ed è presumibile che molte imprese non utilizzino risorse per individuare eventuali falle nei sistemi di sicurezza e porvi rimedio. L’uso dell’intelligenza artificiale si associa invece a un livello di competenza più alto (il tasso di adozione è sette volte superiore nel comparto ICT rispetto alla media dell’economia), che è presumibilmente legato anche a una maggiore attenzione alla sicurezza informatica.

La diffusione di contratti assicurativi specifici per danni da attacchi cibernetici può rappresentare un importante fattore di mitigazione del rischio: da un lato contribuisce a individuare – anche dal punto di vista legale – il responsabile degli eventuali risarcimenti; dall’altro, attraverso un’opportuna modulazione dei premi, crea incentivi per una più attenta gestione dei sistemi aziendali, come già avviene in altri settori. Il mercato delle assicurazioni contro il rischio cibernetico è tuttavia ancora poco sviluppato.

In Italia circa un quinto delle imprese con almeno 20 addetti è assicurato contro danni da attacchi informatici, ma tra queste solo una minoranza ha una polizza autonoma e specifica, garanzia di una maggiore trasparenza nell’ampiezza della copertura e nel calcolo del premio. Come già riscontrato per altri fenomeni relativi alla minaccia cibernetica, sono soprattutto le imprese del settore ICT a ricorrere a questi strumenti assicurativi.

Il fatto di aver subito un attacco nel passato è un elemento determinante dell’interesse che le imprese hanno nel cercare una copertura assicurativa contro il rischio cibernetico, ma riduce anche la probabilità che una polizza venga effettivamente sottoscritta. Quest’ultima evidenza potrebbe essere indice di forme di razionamento da parte degli assicuratori: in assenza di dati storici sufficientemente profondi e di una casistica ragionevolmente ricca, questi potrebbero infatti sfruttare l’evento passato come principale misura di rischiosità delle imprese, che potrebbero quindi trovarsi di fronte all’indisponibilità di una copertura assicurativa o comunque a premi troppo onerosi. Questo razionamento avverrebbe nonostante i dati mostrino che quasi tutte le imprese vittime di un attacco informatico abbiano successivamente deciso di rafforzare le difese.

Per quanto riguarda i danni, in sette casi su dieci le imprese colpite devono destinare risorse aggiuntive al ripristino dei sistemi e sono costrette a rallentare l’attività, anche se i costi sostenuti sono quasi sempre modesti. In pochi casi, riguardanti in particolare le imprese dell’ICT e quelle con oltre 500 addetti, i danni subiti sono ingenti”.

 (Fonte Cyber Affairs)

 

 

Back To Top