Gli impatti economici della cybersecurity non hanno conseguenze solo su aziende e PA, ma su tutto il sistema Paese. Avere una buona postura, implementare un’adeguata strategia di protezione dei dati e sicurezza dei propri sistemi, adottare piani di backup e disaster recovery non rappresentano solo voci di budget o meri adempimenti per essere compliant alle normative di settore. Al contrario sono fondamentali leve per il business che supportano la competitivà di aziende private e pubbliche.
Del resto, lo scenario è molto complesso, tra rischi crescenti, norme e necessità di mercato. I dati dell’ultimo rapporto Clusit indicano che nei primi sei mesi del 2024 le cyber minacce sono cresciute del 23 per cento rispetto al semestre precedente, per cui è fondamentale adottare le giuste soluzioni di sicurezza per tutelarsi al meglio, inoltre è indispensabile svolgere le azioni necessarie a garantire la compliance alla normativa, come la direttiva NIS2 e il regolamento Dora. Sostenere i costi però a volte è avvertito come un fardello: “Bisogna avere consapevolezza dell’importanza della cybersecurity, soprattutto in ottica di prevenzione degli incidenti, per la propria competitività e la buona reputazione con gli stakeholder”, spiega Stefano da Empoli, founder e presidente di I-Com, Istituto per la competitività, che da tre anni ha costituito un Osservatorio sulla Cybersicurezza che riunisce i principali attori pubblici, accademici e player privati.
Il tema non può essere considerato opzionale, ma è una priorità. Il rapporto Clusit evidenza che nei primi sei mesi dell’anno il 7,6 per cento degli eventi di sicurezza ha riguardato l’Italia e nessun settore produttivo è al sicuro. La crescente cultura su questa materia ha portato le autorità europee e nazionali ad adottare misure normative atte ad alzare gli standard di sicurezza, come la direttiva NIS2, che tra le proprie novità introduce l’importanza della cybersecurity nella supply chain, o il regolamento Dora. Tuttavia, “le PA, in particolare quelle territoriali, sono state recentemente chiamate a nuovi adeguamenti con l’approvazione della legge n.90/2024, recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, ma non sono stati previsti finanziamenti. Sul fronte delle aziende private per esempio il piano Transizione 5.0 è orientato soprattutto alla trasformazione green e non contempla incentivi ad hoc in questo campo – precisa da Empoli -. Questa mancanza di misure adeguate e facilmente accessibili in materia di cybersecurity rappresenta un ostacolo all’introduzione di strategie ad hoc”. Questo emerge dalla survey I-Com relativa alla “percezione delle imprese sul Perimetro di Sicurezza Nazionale Cibernetica” in fase di pubblicazione, in cui le imprese indicano come uno degli elementi più urgenti sia il bisogno di un sostegno statale per implementare strategie di cybersecurity, sia considerando le tecnologie che la formazione e le competenze”, sottolinea da Empoli.
Questo fenomeno ha risvolti negativi soprattutto per le piccole e medie imprese, le quali faticano di più a destinare risorse per le soluzioni di sicurezza e data protection, “tuttavia bisogna considerare che anche queste realtà sono minacciate dal cyber crime e prese di mira e gli impatti di un incidente di sicurezza sul piano economico potrebbero essere devastanti -, aggiunge da Empoli -. La mancata attenzione alla cybersecurity di fatto danneggia le aziende, mentre attrezzarsi in maniera adeguata consente di ridurre i rischi e migliorare il business”. Gli attacchi cyber costituiscono un coacervo di costi importanti per le imprese: “Dunque, adottare una strategia di protezione è una misura di competitività“, commenta da Empoli.
I benefici sono riassumibili in:
Tutti elementi che comportano una maggiore competitività sul mercato.
Va precisato che questo approccio non ha ripercussioni solo sul microcosmo aziendale. Gli impatti economici della cybersecurity sul sistema Paese “sono molto importanti – afferma da Empoli -. Le best practice possono aiutare le aziende a stare al passo con l’innovazione e le normative di settore, aspetti fondamentali per il proprio sviluppo, con conseguenze positive sul PIL”. Tra gli esempi positivi, “l’Agenzia di cybersicurezza nazionale sta promuovendo tavoli con le imprese, sono soluzioni utili per avere un dialogo diretto tra tutti i soggetti privati e pubblici e rappresentano un buon canale di diffusione delle misure corrette da implementare all’interno dei contesti aziendali, dal punto di vista metodologico”.
Secondo i dati Anitec Assinform “i costi delle aziende per la cybersecurity nel 2023 era sotto i 2 miliardi di euro, un dato in aumento anche sulla scia della prevista implementazione della direttiva NIS2 e di altri provvedimenti di provenienza europea o nazionale – specifica da Empoli -. Tuttavia, rimane una spesa decisamente piccola rispetto all’entità e all’escalation delle minacce. Certamente va incrementata”. Strumenti utili, oltre agli incentivi statali, anche “la semplificazione dei processi di implementazione delle soluzioni di sicurezza in azienda, ad esempio prevedendo test singoli solo per prodotti ICT davvero nuovi immessi sul mercato (e non per i semplici aggiornamenti), per il resto affidandosi a un’estesa applicazione di certificazioni e standard nonché spostando sui fornitori eventuali responsabilità in caso di malfunzionamenti o irregolarità”, conclude da Empoli.