Il punto di partenza è chiaro: un attacco informatico oggi non produce soltanto danni reputazionali o disservizi temporanei, ma può tradursi in stop operativi, blocco dei sistemi, rallentamento della produzione e perdita di fatturato. Un impatto che, nella prospettiva della vigilanza e del sistema bancario, diventa direttamente collegato al rischio di credito: se un’azienda non riesce a garantire la propria operatività, aumenta anche la probabilità di difficoltà finanziarie.
Nel lavoro, Bankitalia propone un indicatore di vulnerabilità al rischio cyber dedicato alle imprese non finanziarie italiane, costruito con un approccio innovativo: tecniche di elaborazione del linguaggio naturale (NLP) e modelli avanzati di intelligenza artificiale applicati a bilanci, notizie di stampa e rapporti di settore sulla sicurezza informatica. Un modo per trasformare segnali spesso dispersi — o comunicati in modo non uniforme — in una metrica utile a leggere l’esposizione reale di un’impresa agli attacchi.
La base dell’indicatore è una tassonomia elaborata per il contesto italiano, che prova a mettere ordine in un campo dove finora mancava un quadro unitario. L’obiettivo è includere dimensioni del rischio cyber che spesso restano fuori dalle analisi tradizionali. Il modello, su un campione ampio ed eterogeneo di aziende, tiene insieme più livelli: il verificarsi di attacchi, il grado di rispetto della regolamentazione, la presenza di tecnologie di difesa e anche certificazioni specifiche di sicurezza informatica.
Il passaggio più rilevante riguarda le implicazioni economiche: secondo Bankitalia, l’opportunità di includere il rischio cyber nei modelli di merito creditizio è rafforzata dai dati sugli attacchi informatici in Italia, in aumento dal 2019. E c’è un elemento che pesa: l’effetto negativo di un incidente informatico sulla vulnerabilità dell’impresa “subito dopo” un attacco risulta superiore ai benefici generati dalle misure difensive, che richiedono tempo per produrre effetti pienamente visibili.
In altre parole, la prevenzione è decisiva ma non immediata: investire in sicurezza informatica è necessario, però i risultati non si materializzano dall’oggi al domani, mentre un attacco può produrre danni rapidi e profondi. Non solo. Bankitalia segnala anche un comportamento tipico delle aziende: molte tendono ad arricchire le informazioni sul rischio cyber nei documenti ufficiali solo dopo aver subito un attacco, quando ormai il problema è esploso e la vulnerabilità è diventata evidente.
Il tema, dunque, diventa anche di trasparenza e governance. Se la cybersicurezza entra nel merito creditizio, cambiano le regole del gioco: non sarà più solo un costo operativo, ma una variabile che può influenzare l’accesso al credito, il pricing dei finanziamenti e la percezione di solidità di un’impresa. Un passaggio che spinge il rischio cyber dentro il cuore dell’economia reale, dove continuità operativa e affidabilità finanziaria sono sempre più legate.