I risultati di una ricerca condotta da Grenke Italia, società specializzata nel noleggio operativo di beni e servizi strumentali per le imprese, mostra come il 72,7% delle aziende italiane non abbia mai svolto attività di formazione in materia di cybersecurity. Il 73,3% invece delle imprese non sanno cosa sia un attacco ransomware e si mostrano impreparate a qualsiasi rischio, mentre il 43% non ha un responsabile della sicurezza informatica. Il 26% è quasi sprovvisto di sistemi di protezione e, per coronare il tutto, solo 1 azienda su 4 (22%) ha una rete “segmentata” cioè più sicura.
L’indagine, realizzata in collaborazione con Cerved Group e Clio Security, tratteggia una certa “superficialità” delle piccole e medie imprese italiane che pensano di essere al sicuro o esenti da possibili attacchi informatici ma che spesso non adottano comportamenti virtuosi e sanno poco e niente dei pericoli a cui vanno incontro. La ricerca ha riguardato un campione rappresentativo di più di 800 imprese con un fatturato compreso fra 1 e 50 milioni di euro e tra 5 e 250 dipendenti.
“Sosteniamo da sempre – afferma Aurelio Agnusdei, country manager di GRENKE Italia – il percorso di trasformazione digitale delle PMI, e il tema della cybersecurity è una parte importante di questo percorso che, se non gestito adeguatamente, può impattare negativamente sul business dell’impresa; perciò nell’ottica di ascolto e supporto concreto ai nostri clienti abbiamo commissionato questa ricerca a Cerved con il supporto di Clio Security, affidandone la direzione scientifica ad Alessandro Curioni”.
“Sembra paradossale – commenta il direttore scientifico della ricerca e fondatore di DI.GI. Academy Alessandro Curioni – ma c’è una certa confusione tra cybersecurity e protezione dei dati personali dettata dal regolamento europeo in materia. Da un lato il 60% delle imprese che non considerano la cybersecurity rilevante affermano che la ragione risiede nel fatto che non trattano dati sensibili, dall’altro il 75,1% ritiene adeguate le misure adottate dalla sua azienda per la protezione dei dati personali. E’ evidente l’errore per cui si pensa che cyber security e protezione dei dati siano la stessa cosa”.
“Non è plausibile – afferma Michael Clemente presidente di Clio Security – che il peso della cybersecurity del sistema Paese debba ricadere solo sulle grandi realtà produttive, e alcune PA, che hanno i budget e la forza contrattuale per poter a loro volta imporre sulla propria catena di fornitura gli adempimenti e investimenti necessari. Gli investimenti in sicurezza devono crescere e adeguarsi al livello dei nostri partner e competitor europei per mettere al passo anche le aziende digitalmente più arretrate e impreparate, che sono in una situazione francamente già drammatica”.
Cybersicurezza necessaria ma sconosciuta
La cybersecurity, per un’azienda intervistata su 5, è poco rilevante nella gestione della sua attività, e la grande maggioranza (61%) di questi lo afferma perché non ritiene di trattare dati sensibili. Quasi il 73% delle imprese intervistate non organizza per i dipendenti momenti di formazione sui rischi informatici e sulle precauzioni da adottare. In questo contesto non stupisce che quasi 3 PMI su 4 (73%) affermano di non sapere cosa sia un attacco “ransomware”. Meno della metà degli intervistati (48%) conosce il phishing anche se risulta l’attacco informatico più subito dalle PMI italiane (il 12% ha dichiarato di averlo subito).
Tra il dire e il fare c’è di mezzo… l’ignoranza
Passando dal livello di conoscenza alle azioni concrete emerge ancora di più l’impreparazione delle piccole e medie aziende del nostro Paese sul fronte della cybersicurezza. La maggioranza relativa delle aziende intervistate (45%) non ha effettuato verifiche sulla sicurezza informatica aziendale in passato e non prevede di farne in futuro. Il 43% delle PMI non è dotato di un responsabile della sicurezza informatica (interno o esterno) in grado di comprendere potenziali minacce cyber. Nel loro insieme