Le piccole e medie imprese sono consapevoli dei rischi informatici ma solo il 19% ha attivato strategie IT di difesa. Mancano i budget e queste realtà preferiscono utilizzare le poche risorse per aumentare le vendite.

Secondo le stime di IDC, esistono circa 80 milioni di imprese in tutto il mondo che operano con meno di 10 dipendenti. Molte di queste imprese pensano che sicurezza voglia dire segretezza e che essendo troppo piccole non rischiano di essere prese di mira dai criminali informatici e, inoltre, di non avere dati sufficientemente interessanti per i criminali informatici. In realtà questo non è vero. Infatti, una recente ricerca condotta da Verizon ha evidenziato che dei 621 episodi di violazione dei dati, più del 30% (193) riguardano proprio aziende con meno di 100 impiegati. È quindi ragionevole supporre che le PMI costituiscano una parte considerevole delle organizzazioni violate.

Queste ipotesi sono inoltre avvalorate da uno studio Kaspersky, secondo il quale le piccole medie imprese con meno di 25 dipendenti sono quelle maggiormente a rischio perché poco propense a considerare la “strategia IT” fondamentale per il proprio business. Solo il 19% delle PMI a livello mondiale ha indicato la strategia IT (in cui rientrano anche le politiche legate a Internet e alla sicurezza dei dati) come una delle due principali preoccupazioni a livello strategico, rispetto al 30% delle imprese con più di 100 dipendenti e il 35% delle imprese con più di 5.000 dipendenti.

Gli imprenditori devono anche tener conto del fatto che quando effettuano i pagamenti con carta di credito, archiviano le informazioni del cliente o elaborano piani per la creazione di nuovi prodotti, sono in possesso di informazioni preziosissime per i criminali informatici. In effetti, alcuni cyber criminali preferiscono i “bersagli facili” noti per non avere una protezione IT. Il guadagno ottenuto da ciascuna vittima sarà sicuramente minimo ma richiede uno sforzo minore per i criminali che riusciranno ad attaccare con successo numerose PMI piuttosto che tentare di colpire un’unica azienda più grande. Inoltre, le grandi aziende generalmente hanno le risorse necessarie per far fronte alle perdite derivanti da un attacco informatico, che possono ammontare anche a migliaia di dollari a seconda del tipo di attacco, in termini di costi relativi ai dati persi dei clienti, tempo trascorso offline e spese necessarie alla pulitura dell’infrastruttura. Per le piccole imprese, invece, un attacco di questo tipo e i conseguenti danni economici possono essere sufficienti a causare un fallimento.

Dalla ricerca condotta da Kaspersky emerge però che più che un disinteresse / “ignoranza” da parte delle PMI, il problema è legato alla disponibilità di budget. Le piccole e medie imprese sono infatti consapevoli che la strategia IT svolga un ruolo fondamentale nella protezione dei dati sensibili, così come la protezione dei device mobili non può essere lasciata al caso, ma non hanno i soldi per poter concretizzare una difesa contro le minacce informatiche. Quello che accade è che le PMI, che sono spesso start-up che lottano per affermarsi, spesso non hanno il budget o le competenze IT necessarie per implementare correttamente i componenti IT vitali come ad esempio i software di sicurezza. Coloro che si trovano a gestire un nuovo business probabilmente preferiscono investire le proprie risorse nell’aumento delle vendite, dal momento che gli investimenti in infrastrutture sarebbero privi di significato se l’impresa fallisse.