Societa

Incentivi e sgravi fiscali che servono alle Pmi per resistere agli attacchi

di Alessandro Curioni

(AdobeStock)

4' di lettura

Il costo medio per un’azienda vittima di un violazione ha raggiunto la cifra record di 4,24 milioni di dollari con una crescita del 10% nel giro di dodici mesi. Il dato emerge da una ricerca commissionata da IBM su un campione di 500 aziende e resa nota a fine luglio di quest’anno.

In particolare, emergono tre aspetti interessanti. Il primo riguarda una differenza sostanziale in termini di danno subito tra gli incidenti in cui lo smart working ha giocato un ruolo e quelli in cui non è stato indicato come elemento significativo. Nella prima circostanza il costo ha raggiunto i 4,96 milioni di dollari, nella seconda, invece, scende a 3,89 milioni. Sembra dunque che le organizzazioni abbiano fatto molta fatica a adattare la propria gestione della cybersecurity alle mutate condizioni lavorative. Evidentemente, nel momento in cui l’incidente è fuori dal perimetro fisico dell’azienda i tempi di reazioni sono più lenti e la capacità di riconoscere tempestivamente l’attacco risulta compromessa.

Loading...

Il secondo aspetto significativo riguarda gli effetti sugli operatori del settore sanitario per i quali una violazione comporta un livello di danno che si attesta a 9,23 milioni di dollari, oltre il doppio rispetto a qualsiasi altra organizzazione. Questo dato è allineato a quanto comunicato dalla Commissione Europea che, nel segnalare come gli attacchi informatici su larga scala in Europa sono stati 756 nel 2020 contro i 432 del 2019, ha confermato che le strutture sanitarie sono risultate le più colpite.

Il terzo elemento è l’ennesima conferma di come il fattore umano sia ancora l’anello debole della catena. Il furto di credenziali-utente è ancora la causa più comune di incidenti e allo stesso modo i dati personali dei clienti (come nome e cognome, e-mail e password) sono coinvolti nel 44% dei casi. La combinazione di questi due fattori finisce per produrre un circolo vizioso perché offre ai criminali i mezzi per ulteriori futuri attacchi. Quest’ultimo dato conferma quanto riportato nel report Verizon dello scorso maggio dal quale emergeva che nell’85% delle violazioni è coinvolto il fattore umano sfruttato dai criminali attraverso diverse forme di social engineering, in particolare tramite phishing, presente nel 36% dei casi, oppure con la compromissione di email lavorative.

In questo scenario si inserisce la progressiva difficoltà delle aziende specializzate nel fare fronte alle richieste di supporto che arrivano dalle vittime degli attacchi. A questo proposito è emblematico il recente caso delle tre principali società di cybersecurity olandesi (Eye, Hunt & Hackett e Northwave) che hanno chiesto un intervento governativo in quanto non più in grado di soddisfare le richieste. Forse è tempo che i governi si attivino concretamente e questo non implica soltanto legiferare, ma anche assumere iniziative “pratiche”. Un primo intervento potrebbe riguardare agevolazioni fiscali per investimenti e spese sostenuti dalle organizzazioni per elevare il livello di cybersecurity, in particolare per le PMI che del nostro tessuto economico sono la spina dorsale. Purtroppo, la piccola e media azienda italiana spende poco o niente per limiti culturali che la spingono a considerare la sicurezza informatica un costo evitabile se non superfluo. In realtà proprio le PMI rischiano di diventare la testa di ponte per i criminali quando puntano a colpire obiettivi più significativi: l’oscuro fornitore diventa un inconsapevole cavallo di Troia. Per questo un piano di rilevanti agevolazioni fiscali potrebbe essere un passo importante per convincerla ad affrontare la questione.

Una seconda azione, di respiro più ampio, potrebbe riguardare la formazione delle professionalità necessarie all’erogazione dei servizi. Una grande occasione potrebbe essere rappresentata dal piano annunciato dal governo per gli ITS. Gli istituti tecnici dovrebbero ricevere fondi di una certa entità, ma dovrebbero anche essere incentivati a orientarne la spesa nella preparazione di figure che non soltanto sono richieste dal mercato, ma hanno una rilevanza strategica nel sistema Paese e i numeri di cui sopra rendono evidente come professionisti della cybersecurity oggi rientrino in questa categoria. In parallelo rendere in via definitiva l’educazione digitale una vera e propria materia di studio, perché una popolazione consapevole dei rischi connessi alle nuove tecnologie rappresenta la prima linea di difesa. Un discorso molto particolare riguarda poi una gestione evoluta del rischio cyber.

In questo senso un tema non trascurabile è quello delle assicurazioni. In questo senso gli operatori di settore fanno molta fatica perché vorrebbero approcciare il rischio cyber in modo tradizionale cercando poi di realizzare polizze essenzialmente tecnologiche quando probabilmente dovrebbero trattarlo come fosse il rischio incendio, furto, rapina. Tanto per fare un esempio, in futuro una buona polizza auto comprenderà anche il rischio cyber.

Per quale ragione? La maggior parte degli autoveicoli sono iper-informatizzati (una vettura conta tra le cinque e le nove possibilità di connessione). In futuro le abitazioni saranno invase da oggetti smart, suscettibili di rischi non diversi da quelli delle auto. Abbiamo detto che l’ostacolo è rappresentato dall’impossibilità di applicare le normali tecniche attuariali alla valutazione del rischio cyber, quindi è essenziale trovare nuove forme.

La soluzione nel breve termine può essere quella di costruire delle partnership. Creare accordi con aziende specializzate da un lato e sfruttare il canale rappresentato dagli stessi produttori per veicolare la propria proposta. In fondo un produttore di auto potrebbe considerare una buona pubblicità quella di proporre la copertura cyber per le sue auto e un analogo ragionamento potrebbe essere fatto da decine di altre imprese ormai pronte a invadere le case dei consumatori con oggetti smart.

Sul mercato aziendale, invece, outsourcer di servizi informatici potrebbero essere i primi ad aggiungere al loro portafoglio di offerta un’assicurazione specifica. Dal punto di vista dell’assicurazione si tratterebbe di valutare un singolo operatore (il cloud provider o l’outsourcer), operazione più semplice. Ovviamente non si tratterebbe di coperture globali, ma “qualcosa” è sempre meglio di “niente”.

Molto resta da fare e in diversi ambiti, purtroppo gli anni passati a fare dichiarazioni non seguite da azioni concrete sono un fardello che in futuro costerà molti più soldi di quanto immaginiamo.

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti