Per quanto “solo l’1,5 per cento delle imprese italiane non adotti alcuna misura difensiva, il 30,3 per cento – corrispondente al 35,6 per cento degli addetti – dichiara di aver subito danni a causa di un attacco informatico tra settembre 2015 e settembre 2016”.
Sono alcuni dei numeri contenuti in uno studio della Banca d’Italia che presenta evidenze preliminari sul rischio cibernetico nel settore privato italiano, fondate sui dati delle indagini annuali dell’istituto sulle imprese dell’industria e dei servizi non finanziari con 20 dipendenti o più. Si tratta, spiega il paper, “delle prime informazioni di questo tipo raccolte in Italia, pur circoscritte all’incidenza degli attacchi informatici e ad alcuni aspetti della governance della sicurezza” (non si prendono invece in esame la correlazione tra il livello di vulnerabilità dell’impresa e gli investimenti in difesa cibernetica, e il costo delle violazioni informatiche).
Dallo studio, realizzato da Claudia Biancotti, emerge dunque un generale livello di consapevolezza del rischio informatico che permea l’economia, accompagnato, tuttavia, da una vulnerabilità significativa, dal momento che circa un terzo delle imprese ha riferito di aver avuto – nel periodo preso in esame – almeno qualche problema legato a offensive hacker, in termini di continuità operativa e/o integrità e riservatezza dei dati aziendali.
“Correggendo i risultati per tenere conto delle intrusioni non individuate o non dichiarate”, prosegue il report, “l’incidenza degli attacchi sale al 45,2 per cento per le imprese e al 56 per cento per gli addetti”. I tassi di attacco si sono rivelati più bassi per le imprese con sede nel Sud Italia (39,5%) e più alti per le aziende con più di 500 dipendenti. In particolare ad essere più colpite sono sia le imprese di maggiori dimensioni, sia quelle con elevato contenuto tecnologico e quelle esposte sui mercati internazionali. Questi tipi di realtà sono infatti più visibili e più attraenti per gli hacker rispetto alle altre; non solo sono più note e più presenti online rispetto alla media, ma tendono a gestire un numero maggiore di dati di valore.
Inoltre, rileva l’analisi, “il livello di rischio nel complesso dell’economia, è probabilmente ancora più alto; il settore finanziario, così come la sanità, l’istruzione e i servizi sociali sono esclusi dal campione, ma secondo altre fonti sono particolarmente attraenti per gli attaccanti”.