Cyber risk: le aziende italiane non sono pronte. Il 40% delle aziende non solo non è coperta, ma non ha i requisiti minimi per stipulare una polizza assicurativa per proteggersi. A rilevarlo è una ricerca di Assiteca, Gruppo italiano attivo nella gestione dei rischi d’impresa e nel brokeraggio assicurativo, che ha lanciato l’allarme in occasione del convegno “La tutela dei dati in azienda: tra cyber security e compliance” organizzato in collaborazione con The Adam Smith Society.
Quello della mancanza di adeguate difese dagli attacchi cyber è un tema particolarmente ostico oggi che si fa uso sempre più massiccio di dati sensibili e gli attacchi informatici aumentano di anno in anno.
Partendo dai risultati del Rapporto Clusit 2022, secondo cui nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente così come ne è aumentata la gravità, è emerso che le aziende italiane sottovalutano la necessità di adottare iniziative strutturali di prevenzione e gestione del rischio cyber. È perciò necessario un profondo cambiamento organizzativo – oltre che tecnologico – da parte delle imprese rispetto al tema della sicurezza cyber, attraverso l’attuazione di una strategia preventiva di risk management e il trasferimento del rischio cyber al mercato assicurativo.
Assicurazioni cyber risk: cosa sono, come funzionano e i vantaggi per le aziende
Cyber risk: le imprese italiane sono altamente vulnerabili
Secondo i dati raccolti dalla ricerca, le aziende sono consapevoli dei rischi legati alla sicurezza dei propri dati, ma solo il 27% è coperto da una polizza assicurativa contro questo genere di rischi.
“La criticità del dato diventa ancora più evidente se confrontato con un’altra statistica, derivante dalle nostre ricerche: il 40% delle aziende italiane semplicemente non è in condizione di stipulare alcuna polizza assicurativa contro i rischi cyber” spiega Ottorino Capparelli,Responsabile Governance, Risk & Compliance di Assiteca. “Questo accade perché i sistemi informatici da proteggere sono talmente sottodimensionati o obsoleti da non rendere l’assicurazione di questo rischio appetibile per le compagnie assicurative. Tale dinamica è inoltre riflessa dall’andamento dei premi: nel 2021, a fronte di un numero stabile di aziende assicurate contro il rischio cibernetico, sono cresciuti in modo evidente i premi – sintomo del fatto che questo genere di protezione, sebbene sia oggi più che mai necessaria, rischia di non essere sostenibile dal punto di vista economico a causa della scarsa attività di prevenzione delle aziende.”
Cyber security e geopolitica, la minaccia russa
In luce dell’attuale conflitto Russo-Ucraino, la questione cybersecurity assume poi una particolare importanza prendendo in considerazione gli equilibri geopolitici e il potenziale degli attacchi informatici come arma.
“A dispetto dei proclami giornalistici che quotidianamente leggiamo, il conflitto armato che da oltre due mesi la Russia sta conducendo contro l’Ucraina ha visto il cyberspazio come un campo di battaglia scarsamente utilizzato. Infatti, se prima dell’invasione, la Russia ha sicuramente sfruttato Internet e le tecnologie per attività di propaganda e disinformazione al fine di provare a vincere la guerra nella mente dei cittadini ucraini e questo piano – come sappiamo – non ha funzionato, durante il conflitto convenzionale attualmente in atto il cyberspazio non è stato il territorio prediletto dal governo di Mosca” premette Stefano Mele, Partner dello studio legale Gianni & Origoni, ove è il Responsabile del Dipartimento Cybersecurity e co-Responsabile del Dipartimento Privacy.
“Ciononostante, siamo di fronte ad un attore statale che nel corso degli ultimi anni ha sviluppato buone capacità all’interno di questo ambiente operativo e che non ha esitato più volte a dimostrarlo. Occorre, pertanto, che le PA e le aziende italiane che erogano servizi essenziali per i cittadini e per la nostra sicurezza nazionale mantengano alta l’attenzione verso gli attacchi cibernetici di matrice russa soprattutto successivamente alla conclusione del conflitto convenzionale, quando, con il perdurare delle sanzioni contro la Russia e degli aiuti nei confronti dell’Ucraina, Putin potrebbe utilizzare proprio gli attacchi cibernetici come il principale strumento ritorsivo nei confronti dell’Italia, dell’Unione europea e più in generale di tutti i Paesi appartenenti all’Alleanza Atlantica.”
Il cyber crime è difficile da punire, bisogna prevenire
Come spiega Eugenio Fusco, Procuratore aggiunto del Tribunale di Milano: “”Purtroppo ci troviamo davanti ad una gamma di crimini caratterizzata da un elevato livello di impunità, legata principalmente alla difficoltà di attribuire i singoli reati a soggetti identificabili. Per questo motivo, è sempre più importante concentrarsi sulla prevenzione del reato. Le aziende colpite da attacchi cyber sono restie a denunciare, anche per il connesso danno reputazionale. In questo contesto, potrebbe essere l’assicurazione contro il rischio cyber a permettere alle imprese di arginare i danni.”