È stato presentato oggi a Roma il primo Rapporto Cyber Index PMI, indice che misura lo stato di consapevolezza in materia di rischi cyber delle aziende di piccole e medie dimensioni: il rapporto è stato realizzato da Generali e Confindustria, grazie al supporto scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano e alla partecipazione dell’Agenzia per la Cybersicurezza Nazionale.
L'analisi monitora ed evidenzia l'evoluzione nel tempo del livello di conoscenza dei rischi cyber nelle organizzazioni aziendali, oltre che le modalità di approccio adottate per la gestione dei rischi a essi legati. evidenzia e monitora nel tempo il livello di conoscenza dei rischi cyber all’interno delle organizzazioni aziendali e le modalità di approccio adottate dalle stesse per la gestione di tali rischi.
Generali e Confindustria presentano il Cyber Index PMI, rapporto sullo stato di consapevolezza dei rischi cyber per le PMI
Il rapporto evidenza con grande forza la necessità di una maggiore diffusione e promozione della cultura dei rischi fra imprese di piccole e medie dimensioni: il valore medio dell'indice delle 708 PMI coinvolte ammonta infatti 51 su 100, con il livello di sufficienza che è 60 su 100.
L'indice deriva dalla valutazioni dell'approccio strategico dell'azienda, dalla capacità di identificare fenomeno e minacce, oltre che dell'attuazione di misure per mitigare il rischio. Secondo il rapporto, nonostante sia stata registrata una crescita dell'attenzione a riguardo, manca un approccio strategico che preveda la definizione di investimenti e la formalizzazione di responsabilità da parte della popolazione aziendale del nostro Paese (punteggio medio di 54 su 100).
Leggermente più sviluppate le leve di attuazione (56/100), dato che però non permette alle PMI di superare le difficoltà nello stabilire le proprie priorità, data la mancanza di azioni di identificazione adeguate ad approcciare il tema in maniera adeguata (43/100 di media).
Il Rapporto ha poi raggruppato il campione di PMI italiane in 4 diversi livelli di maturità: Mature (14% dei rispondenti, con approccio strategico alla materia, consapevolezza dei rischi e capacità di attuare misure di attuazione adeguate); Consapevoli (31%, in grado di comprendere le implicazioni dei rischi ma con ridotta capacità operativa); Informate (35%, non pienamente consapevoli del rischio e degli strumenti da usare, con un approccio "artigianale" al rischio cyber); Principianti (20%, poco consapevoli dei rischi e con un'implementazione di misure di protezione quasi nulla).
Non ci sono differenze rilevanti per quanto riguarda la distribuzione a livello territoriale, pesa invece la dimensione (valore medio di 43 per le micro-imprese, di 53 per le piccole, di 61 per le medie).
Il 58% delle PMI manifesta un’attenzione concreta attraverso un budget stanziato per la sicurezza informatica della propria azienda: tuttavia, nella maggior parte dei casi rientra nel più ampio investimento destinato all’IT, solo il 17% ne prevede uno ad hoc. In termini di mitigazione del rischio, il 57% ha una dotazione tecnologica per il monitoraggio delle anomalie; il 41% prevede contromisure per limitare l'esposizione degli utenti aziendali a rischi informatici, attraverso un’azione sul fattore umano, ovvero tramite policy comportamentali o iniziative di formazione degli utenti; infine, il 17% delle aziende intervistate ha già sottoscritto una soluzione assicurativa dedicata, mentre il 29% non è a conoscenza delle possibilità di copertura del rischio cyber.
L'analisi si pone come strumento per le imprese, in modo da avere una visione più completa dello scenario italiano. Ma per migliorare la situazione ci sarà bisogno di una svolta a livello di cultura legata alla gestione dei rischi cibernetici. Generali, come sempre, è in prima linea con incontri di formazione e workshop su base territoriale previsti per aumentare la conoscenza sul tema, durante i quali gli esperti e la rete agenziale coinvolgeranno aziende associante a Confindustria per garantire una maggiore consapevolezza: dopo il primo appuntamento di Venezia Mestre, toccherà a Parma il 26 ottobre, in un tour che toccherà nei prossimi mesi Firenze, Torino, Genova, Milano, Perugia e Bologna.
Giancarlo Fancel Country Manager & CEO di Generali Italia, ha dichiarato: “Consapevoli della nostra responsabilità sociale in qualità di primo assicuratore in Italia, vogliamo contribuire in maniera concreta a diffondere tra le imprese la cultura della cyber sicurezza, ad accrescere la consapevolezza della vulnerabilità rispetto al rischio informatico e a sottolineare l’importanza dell’adozione di adeguate soluzioni di protezione. Lo facciamo con iniziative concrete a livello nazionale e locale: oggi, infatti, presentiamo il Rapporto Cyber Index PMI 2023 e mettiamo a disposizione delle organizzazioni aziendali le nostre competenze e la nostra esperienza in tema di identificazione dei rischi cyber. Oltre a strumenti assicurativi innovativi, ci impegniamo a far sì che nel corso del tempo le PMI italiane siano sempre più consapevoli su un tema cruciale e sfidante per il nostro Paese, la nostra economia e la nostra società”.
Bruno Frattasi, Direttore Generale dell’Agenzia per la cybersicurezza nazionale, ha aggiunto: “Promuovere l’innovazione e favorire la trasformazione digitale delle PMI italiane significa anche metterle in condizione di saper gestire il rischio derivante dagli incidenti informatici. A ciò si aggiunge anche la sfida posta dall’affermarsi di tecnologie dirompenti come l’Intelligenza Artificiale e il quantum computing, con tutte le opportunità e rischi che ne conseguono. Il rapporto presentato oggi, a cui ACN ha fornito pieno supporto, fotografa una realtà ben nota del proliferarsi e inasprirsi delle insidie digitali. Ecco perché è fondamentale fornire alle aziende italiane strumenti di autovalutazione come il “Cyber index PMI” per comprendere il grado di maturità nell’affrontare la minaccia cyber e predisporre quindi opportune misure tecnologiche e organizzative per alzare il livello di protezione e stimare il cosiddetto rischio residuo”.
Agostino Santoni, Vice Presidente di Confindustria per il Digitale, ha dichiarato: "I numeri dimostrano che la protezione dei dati è ormai un tema ineludibile. Dal 2018 al 2022 gli attacchi informatici a livello globale sono aumentati del 60% e, solo in Italia, nel corso del 2022, abbiamo registrato un incremento del 169% rispetto all'anno precedente. Nel settore manifatturiero abbiamo raggiunto la cifra record di +191,7% e la spesa in cybersecurity nel nostro Paese ha raggiunto 1.590 milioni di euro nel 2022, in costante crescita. È la dimostrazione di quanto stia aumentando la consapevolezza dei rischi legati alla sicurezza informatica, tanto che nella sfera imprenditoriale ormai è considerata un fattore strategico di competitività. Per questo Confindustria si è impegnata a sensibilizzare il proprio Sistema associativo sulla cybersecurity, con particolare attenzione alle PMI. Si tratta di un tema che l’attuale fase di transizione digitale ha reso ancora più urgente e, per gestire l’implementazione dei nuovi processi, va affrontato lavorando sulle competenze del capitale umano".
Remo Marini, Group Head of IT & Operations Risk & Security di Assicurazioni Generali, ha spiegato: “Da anni assistiamo ad una crescita rilevante degli attacchi informatici e mai come oggi, il panorama delle minacce cyber, ulteriormente aggravato dal contesto geopolitico, rende ancora più urgente la necessità per le imprese di individuare le possibili fonti di rischio cyber, stimarne l’entità e, infine, lavorare alla loro mitigazione. In particolare, proprio le piccole e medie imprese risultano essere dei soggetti particolarmente vulnerabili e per questo occorre supportarle da subito: aumentando la loro consapevolezza in materia di rischi cyber, accrescendo il loro livello di maturità e di protezione e, fornendo loro gli strumenti assicurativi utili a mitigare il rischio residuo. In questa direzione si sta muovendo da anni il Gruppo Generali e il Cyber Index PMI ne è la prova tangibile”.
Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, ha concluso ha affermato: “Il Rapporto Cyber Index PMI evidenzia complessivamente una situazione di scarsa consapevolezza dei rischi cyber, in uno scenario dove le PMI rappresentano il motore dell’economia del nostro Paese e sono partner strategici di grandi imprese in filiere di rilevanza nazionale ed internazionale. Le difficoltà a stanziare fondi e a internalizzare figure professionali dedicate rendono complesso identificare minacce e priorità di azione e spesso l’approccio al rischio cyber è solo di tipo artigianale. Solo il 14% dele organizzazioni si può considerare maturo, con un approccio strategico alla materia e in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie.”