adv

È una voce sempre più importante all’interno dei bilanci aziendali, quella riguardante la cybersicurezza. Un attacco informatico, infatti, può costare oggi tantissimo, in termini economici, a una compagnia, in qualsiasi campo questa operi.

Si moltiplicano così, oltre agli investimenti per tutelarsi davanti a rischi di questo tipo, anche le analisi rispetto ai tempi e ai costi necessari per riparare a eventuali danni. Una, moto efficace, è quella pubblicata di recente da NTT Data (multinazionale giapponese di servizi e consulenze tecnologiche), che individua nella cifra di un milione di euro (spicciolo più, spicciolo meno) l’ammontare necessario per ripristinare la situazione antecedente a un cyber attacco. NTT specifica però che questa cifra non tiene conto dei danni di immagine e reputazione che un attacco può portare con sé, danni che naturalmente variano a seconda del tipo di azienda e delle sue mancanze in termini di investimenti sulla sicurezza.

In un contesto del genere, il dato che spaventa è quello riguardante la crescita degli attacchi. Il Clusit, associazione italiana per la sicurezza informatica, ha in più occasioni mostrato come la quantità ma anche la qualità degli attacchi sia in crescita. All’interno del suo rapporto annuale viene registrato un trend di crescita costante che durerebbe ormai da ben sette anni. Tuttavia, è negli ultimi due (biennio tra il 2016 e il 2017) che è avvenuto un vero e proprio salto di qualità, dovuto alla somma di fattori di diverso tipo. Tra questi, gli attacchi promossi o sponsorizzati da organi statali di singoli paesi, le cosiddette “infezioni globali” (vedi Wannacry e NotPetya) e un generale aumento della tendenza alla cyber criminalità. A confermare questo trend, lo scorso gennaio è stato pubblicato un rapporto del World Economic Forum, con argomento proprio il rischio, che ha identificato il fenomeno dei cyber attacchi come i terzo pericolo a livello globale, dietro solo ai disastri naturali e gli eventi climatici estremi.

Tornando al danno economico, secondo i dati di NTT, per riprendersi da un attacco è necessario un tempo medio di settantaquattro giorni. Un periodo di gestione crisi durante il quale le perdite sono chiaramente enormi, tanto che le corse contro il tempo per rimediare al disastro hanno prodotto in alcuni casi delle operazioni-record in termini di tempistica e costi. È quanto accaduto a Maersk, colosso dello shipping nordeuropeo, che dopo aver subito l’infezione NotPetya è riuscito a ripristinare i propri sistemi in soli dieci giorni, durante i quali la compagnia non ha mai chiuso i battenti, continuando le operazioni “a mano”. L’ammontare totale, tra perdite e riparazioni, è stato un costo di circa trecento milioni di dollari.

E l’Italia? I dati, purtroppo, non sono molto dettagliati. Per esempio, rispetto alle analisi effettuate dagli organi di stato americani (che hanno stimato in una cifra tra i sessanta e i cento milioni di dollari lo scotto pagato dall’economia Usa alle attività di cyber crime) nel nostro paese mancano statistiche ufficiali che possano spiegare dettagliatamente l’influenza degli attacchi e la loro incidenza sul Pil (nel caso americano, parliamo di una cifra tra lo 0,3 e lo 0,6 per cento). A tal proposito, però, vi sono iniziative messe in atto da Bankitalia e Istat che dovrebbero presto colmare la falla.

Quello che si sa è che il 45% delle aziende italiane sono state finora colpite, almeno una volta, da un attacco, nel corso di un anno. Allo stesso tempo, si sa che gli investimenti in sicurezza da parte delle aziende sono ancora assolutamente insufficienti, tanto da classificarci nelle ultime posizioni tra i paesi dall’economia avanzata. Una mancanza che rischia di condizionare non poco – come evidenzia ancora il rapporto Clusit – “lo sviluppo del paese e il benessere dei suoi cittadini per i prossimi anni”. Anche da un punto di vista legislativo, però, le iniziative sono insufficienti, se si pensa ai 150 milioni di euro messi a disposizione dalla Legge di stabilità 2016 e per ora ancora molto fumosi. “In questo senso – conclude il rapporto – l’assordante silenzio di tutte le forze politiche sulle tematiche di sicurezza cibernetica nel corso dell’ultima campagna elettorale non fa ben sperare, e anzi è sintomo di una drammatica mancanza di sensibilità in materia, che deve essere urgentemente ricondotta a dei livelli accettabili per un paese tecnologicamente avanzato come il nostro”.