Nell’anno in corso, secondo l’indagine 2024 Global Digital Trust Insights di PwC, il numero di imprese che ha subito una violazione dei dati, con un costo superiore ad 1 milione di dollari, è aumentata significativamente passando dal 27% al 36%. Il sondaggio, che ha coinvolto 3.800 dirigenti d’impresa e leader di aziende tecnologiche in 71 paesi diversi, rileva inoltre che le aziende guardano all’incremento di utilizzo delle tecnologie emergenti come l’AI generativa con una combinazione tra scetticismo ed entusiasmo. In molti casi decidono di aumentare gli investimenti in cybersecurity per proteggersi da eventuali cyberattacchi.
Nel 2024, secondo otto intervistati su dieci (80%), è previsto un aumento significativo dei budget aziendali dedicati alla gestione dei rischi informatici, con un tasso di crescita in aumento rispetto al sondaggio del 2023 (65%). Le organizzazioni con una maggiore maturità in iniziative e strumenti di cybersecurity registrano oggi maggiori benefici e una minore incidenza di violazioni informatiche.
Il settore sanitario è il più minacciato dai rischi informatici
L’indagine riflette una forte tendenza all’aumento delle aziende colpite da una violazione dei dati rispetto allo stesso sondaggio di PwC del 2023. Tra i settori considerati, il settore sanitario risulta essere quello più colpito dall’aumento degli attacchi informatici. Il costo medio globale derivante da un attacco informatico è pari a 4,4 milioni di dollari, dato che aumenta del 25% nel settore sanitario (5,3 milioni di dollari). Circa la metà (47%) di tutte le organizzazioni sanitarie intervistate ha dichiarato di aver subito una violazione dei dati pari o superiore a 1 milione di dollari. Con l’aumento delle dimensioni aziendali, inoltre, aumenta anche il costo medio della violazione: le aziende con un fatturato oltre i 10 miliardi di dollari denunciano danni per 7,2 milioni di dollari, rispetto ai 1,9 milioni di dollari di danni per le aziende con un fatturato inferiore al miliardo di dollari.
L’indagine di PwC registra l’ascesa della “DefenseGPT”
Cresce dunque la preoccupazione per l’ascesa della AI generativa in relazione alla cybersecurity. Leader aziendali e tecnologici evidenziano il rischio maggiore nelle minacce informatiche al cloud aziendale e alla compromissione della posta elettronica su larga scala. Secondo l’analisi PwC, il 52% delle aziende prevede che la GenAI porterà ad attacchi informatici catastrofici nei prossimi 12 mesi, mentre quasi otto su dieci (77%) concordano sull’importanza di utilizzarla in modo etico e responsabile. Il sentiment diffuso all’interno dell’analisi mette in evidenza la necessità da parte dei responsabili della cybersicurezza (CISO) e dei responsabili del sistema informativo (CIO) di incrementare l’attenzione per prevenire questi rischi.
Il 75% dei leader aziendali e tecnologici ha espresso comunque entusiasmo per il potenziale della AI generativa, in particolare:
- Secondo il 77%, la “AI generativa aiuterà la propria organizzazione a sviluppare nuove linee di business nei prossimi tre anni”;
- Secondo il 74%, “l’uso personale della AI generativa da parte dei dipendenti porterà ad aumenti significativi nella produttività dell’azienda entro i prossimi 12 mesi”;
- Secondo il 75%, inoltre, “i processi aziendali guidati dalla AI generativa aumenteranno la produttività stessa dei dipendenti già entro i prossimi 12 mesi”.
La GenAI si rivela di fondamentale importanza soprattutto nell’elaborazione di dati complessi relativi alle violazioni informatiche, provenienti da diverse fonti e sistemi, con la potenzialità di assistere il management nella comprensione degli eventi, semplificando le minacce complesse in un linguaggio accessibile e suggerendo le strategie di mitigazione dei rischi attraverso un supporto nello sviluppo delle indagini e nella risoluzione della violazione.
“La nostra survey a livello mondiale mostra come la cybersecurity rimanga al centro dell’attenzione dei business leader, oggi più che mai. Il top management deve essere agile e adattarsi all’evoluzione del mercato: con gli sviluppi tecnologici emergenti che arrivano sui mercati imponendo importanti trasformazioni, diventa fondamentale reagire in modo tempestivo quando la crisi si presenta, integrando pratiche e strumenti di sicurezza informatica nel tessuto dell’azienda” ha spiegato Giuseppe D’Agostino, Partner di PwC in Italia.
I “pilastri della fiducia nel digitale”
Sono dunque più che mai necessari miglioramenti e una maggiore uniformità in termini di sicurezza informatica nelle aziende per accrescere la fiducia nel digitale. Meno del 30% delle imprese, infatti, afferma di eseguire abitualmente le adeguate pratiche informatiche legate alla cybersecurity. Per approfondire ulteriormente questo aspetto, PwC ha sviluppato un indice per identificare le imprese che dispongono di un team di sicurezza informatica e dimostrano costantemente l’implementazione di strumenti e pratiche informatiche all’avanguardia. Tra tutti i partecipanti all’indagine, solo il 5% delle organizzazioni mostra un’implementazione adeguata di dieci pratiche informatiche difensive e orientate alla crescita, che si possono definire come “pilastri della fiducia digitale”. Più della metà degli intervistati (53%), appartenenti ad aziende con un fatturato pari o superiore ai 5 miliardi di dollari, prevedono un aumento di +10% dei ricavi nei prossimi 12 mesi (“aziende ad alta crescita”). Queste aziende sono anche le più inclini ad affermare che la violazione informatica più costosa riscontrata nell’ultimo triennio ha comportato una perdita inferiore ai 100 mila dollari (28% rispetto al 19% complessivo). Mentre il 36% delle imprese complessive ha subito una violazione informatica di oltre 1 milione di dollari, la percentuale di aziende che hanno dichiarato di aver avuto una violazione di tale portata si riduce al 29% per coloro che applicano i “pilastri della fiducia digitale”.
Queste organizzazioni sono anche le più ottimiste riguardo l’impatto potenziale della AI generativa, concordando sul fatto che svilupperà nuove linee di business (49% rispetto al 33% complessivo), e affermando che implementeranno le potenzialità della GenAI per la difesa informatica (44% rispetto al 27%). Allo stesso tempo, queste aziende sono anche meno propense a credere che la GenAI comporterà un aumento di cyberattacchi catastrofici (33% contro il 22% complessivo) e sono più caute nell’introdurre strumenti di GenAI prima di aver adottato le adeguate politiche interne di sicurezza informatica.
I leader aziendali raddoppiano gli investimenti nella cybersecurity
“Le organizzazioni devono trarre spunto dalla normativa pubblicata dalla Commissione Europea con riferimento al “AI Act”, al “Digital Operational Resilience Act (DORA)” o al “Network & Information Security Directive” (NIS 2) – dipendentemente dai settori di appartenenza – per adottare una serie di interventi per l’uso responsabile ed etico dell’intelligenza artificiale e per rafforzare la propria capacità di affrontare i rischi informatici garantendo l’erogazione dei servizi critici/vitali per la clientela. In un contesto a sempre crescente digitalizzazione e interdipendenza tecnologica, chi opera in settori critici deve vedere tali normative non tanto come un obbligo di compliance ma come uno strumento per proteggere il business da minacce concrete e che possono porre in dubbio la sopravvivenza stessa dell’organizzazione” afferma Paolo Carcano, Partner di PwC in Italia.
Persiste indubitabilmente la preoccupazione per il continuo aumento dei disastri naturali legati al cambiamento climatico e per la persistente influenza della pandemia Covid-19, ma i leader aziendali e tecnologici posizionano la mitigazione dei rischi informatici e digitali come i principali rischi a cui dare priorità per i prossimi 12 mesi. In particolare, le tre minacce informatiche che vengono segnalate sono quelle legate al cloud, agli attacchi dei dispositivi connessi e alle operazioni di hack-and-leak. Tuttavia, più di un terzo delle aziende non ha ancora implementato iniziative di gestione e mitigazione del rischio, solo una su quattro ha introdotto miglioramenti alla resilienza informatica, e solo il 2% delle organizzazioni sta ottimizzando e apportando miglioramenti costanti in sicurezza informatica. Lo studio, inoltre, sottolinea che oltre il 40% dei dirigenti evidenzia un gap di competenze per affrontare i rischi informatici legati all’implementazione di tecnologie emergenti come AI generativa, blockchain aziendale, quantum computing e realtà virtuale/realtà aumentata.
Migliorare e integrare le competenze
Se vogliono affrontare con successo le sfide delle tecnologie emergenti e sfruttare le opportunità che offrono, secondo lo studio PwC, le imprese dovranno concentrarsi sullo sviluppo di strategie di acquisizione e fidelizzazione dei talenti nel campo informatico. Le organizzazioni che hanno subito una violazione informatica superiore a 1 milione di dollari ritengono che l’aumento della competitività volta ad attirare talenti sul mercato (52%) sia tra le loro tre principali priorità. Complessivamente, le tre priorità strategiche secondo i dirigenti intervistati riguardano inoltre
- l’upskilling e il reskilling delle competenze interne esistenti, in modo tempestivo da soddisfare le esigenze di innovazione dell’organizzazione;
- la necessità di riequilibrare i servizi interni ed esternalizzati;
- e la volontà di individuare i talenti ideali per le posizioni informatiche legate all’implementazione delle tecnologie emergenti e alla sicurezza informatica.
