Minacce alle aziende: il cyberattacco fa più paura del terremoto

ROMA. Davvero non mancano i disastri meteo che, con il cambiamento climatico, hanno accentuato gli eventi estremi in grado di mettere in ginocchio interi territori. Eppure se andate a chieder ai professionisti della sicurezza il timore di una minaccia ai beni aziendali lo vedono non tanto in una alluvione o un terremoto quanto semmai nei cyberattacchi “ransomware” o in qualcosa che faccia saltare la catena logistica in entrata e in uscita dalla fabbrica. Con una sottolineatura da fare: nelle medie imprese aumenta la preoccupazione per gli attacchi ma, a dirla tutta, invece non crescono le contromisure messe in campo. «Un anno fa ridurre dell’1% il rischio di un attacco “ransomware” determinava un beneficio di 79mila euro, oggi la cifra è salita a quasi 100mila euro: segno che il danno prodotto sarebbe maggiore». Al contrario, fra le multinazionali migliora la prevenzione del rischio: «nel 2024 ridurre del 10% il rischio di un attacco alla catena logistica si traduceva in un beneficio da 30 milioni di euro, oggi siamo grossomodo alla metà e non si superano i 16 milioni».

Sono questi alcuni aspetti della “fotografia” che salta fuori dall’edizione 2025 dell’ “Osservatorio Security Risk” promosso da Aipsa, l’organizzazione di categoria che raggruppa i professionisti della security aziendale (e curato da The European House Ambrosetti). È un dossier sullo stato di salute della sicurezza nelle imprese del nostro Paese per come appare agli occhi dei manager della sicurezza: è stato presentato nella sede Enel di Villa Lazzaroni a Roma, alla presenza di Valerio Giardina (responsabile sicurezza di Enel), del generale Franco Federici (consigliere militare della presidente del consiglio), di Bruno Frattasi (direttore generale dell’Agenzia per la Cybersicurezza Nazionale), di Fabio Ciciliano (capo dipartimento della Protezione civile nazionale) e di Licia Ronzulli (vicepresidente del Senato).

Al tirar della riga del totale, emerge una realtà duplice: da un lato, sta finalmente crescendo la consapevolezza delle imprese italiane di esser «sempre più esposte alle minacce fisiche e cibernetiche»; dall’altro, la corsa alle contromisure è a due velocità,  on le grandi aziende che stanno provvedendo a dovere, le piccole e medie aziende invece no. Ad esempio, fra le medie realtà aziendali con fatturati compresi tra 10 e 250 milioni di euro annui, il danno stimato prodotto da un singolo attacco arriva «fino a 1,8 milioni di euro».

Non è tutto: secondo quest’indagine, «il 59% delle imprese non ha un piano personalizzato di “management della crisi”, anche se «affronta i singoli incidenti in maniera integrata». Lo scorso anno non più del 50% delle realtà gestiva insieme sicurezza fisica e cibernetica, in dodici mesi è stato fatto un balzo in avanti e ora «siamo al 61%». È da segnalare un aspetto curioso nell’identikit del professionista della security: le donne sono la maggioranza (57%) nei settori “governance”, “compliance” e “legal”, se invece parliamo di sicurezza fisica ecco che scendono a meno della metà (22%).

Nello studio è stata analizzata anche la fragilità della catena di approvvigionamento e delle minacce che possono rischiare di farla saltare. La consapevolezza della fragilità del sistema «non è uguale per tutti», viene sottolineato. Se le multinazionali con fatturati superiori ai 10 miliardi di euro sono state in grado, nel giro di un anno, di ridurre l’impatto di un eventuale attacco praticamente dimezzandolo (meno 51%), per le medie imprese è tutta un’altra musica: guardando a una situazione-tipo con fatturato attirno a circa 500 milioni di euro l’anno, nel 2024 un attacco alla catena di fornitura poteva creare un danno di portata inferiore ai 6 milioni di euro, adesso «siamo saliti a oltre 9 milioni».

Queste le parole di Alessandro Manfredini, presidente dell’organizzazione di categoria (Aipsa): «È fondamentale che si cominci a guardare alla sicurezza come un prodotto complessivo, in cui ogni attore ha un ruolo decisivo. C’è stato un passo avanti nell’ultimo anno, anche in ragione dei provvedimenti del governo e dell’Ue. Il 61% delle realtà oggi ha un sistema che integra sicurezza logica e sicurezza fisica, ovvero il livello minimo per i tempi che viviamo. Quello che manca, nel 59% dei casi, però, è un piano complessivo di gestione delle crisi». Manfredini mette l’accento sul fatto che la professione del manager della sicurezza si sta aprendo sempre più alle donne: sono mediamente più giovani e ricoprono ruoli chiave nelle aree governance e di coordinamento. Un passo avanti importante, in direzione di un approccio sistemico, ragionato e integrato alla sicurezza».

Ecco cosa dice Isabella Gabbiani, amministratrice delegata di Cybrain, società partecipata di Teha Group, che ha curato la ricerca: «Le aziende, anche quelle piccole, si stanno attrezzando: il 70% delle assunzioni programmate dalle imprese interesserà i professionisti cyber, ma anche il “risk management” e la “governance”. Per un’azienda su due, tuttavia, si tratterà di consulenze esterne. A dimostrazione che la security viene ancora vissuta come una “commodity” per troppe realtà».