Nei prossimi mesi le grandi e medie imprese saranno chiamate a registrarsi su un’apposita piattaforma. Il vicepresidente di Assolombarda Alvise Biffi: gruppi di lavoro, informazione e assistenza agli associati.
La parola d’ordine è correre ai ripari. Anche perché i danni sono ingenti. In Brianza in un anno gli attacchi informatici, oltre 900 in questo 2024 non ancora terminato, hanno bruciato come minimo 10 milioni di euro. Il conto è presto fatto.
"C’è il danno economico conseguente all’estorsione. Chi ha pagato per riavere indietro i suoi dati o per non farli pubblicare, con un grave danno di immagine, ha avuto anzitutto una perdita economica – spiega il vicepresidente di Assolombarda, Alvise Biffi (nella foto in basso) –. C’è poi il danno dovuto alla mancata produzione dovuta ai sistemi danneggiati dall’attacco; infine c’è il furto dei dati e ancora la frode per esempio con la deviazione dei bonifici".
"Per poco che impatti – è la considerazione che conclude il calcolo comunque approssimativo – siamo almeno nell’ordine di 10mila euro per ogni azione".
Come possono proteggersi le aziende?
"Il punto di partenza è la pubblicazione in Gazzetta Ufficiale della Nis 2, la direttiva europea 2022/2555 che ha l’obiettivo di rafforzare la resilienza dell’Europa contro le minacce informatiche attuali e future. Circa 50mila medie e grandi aziende dovranno registrarsi fra dicembre e febbraio sul portale dell’Agenzia della cybersicurezza nazionale. Ciò rappresenta un obbligo ad avere misure di sicurezza minime".
E per tutti gli altri che cosa succede?
"Dal 2026 entra in vigore il Cyber resilience act, la legge sulla cyber resilienza, che mira a salvaguardare i consumatori e le imprese che acquistano o utilizzano prodotti o software che contengono una componente digitale. Tutti questi devono essere certificati, dalla macchina industriale al termostato di casa".
Un passo necessario, ma chi paga in un momento di crisi?
"Certamente un passo necessario, poiché il livello di sicurezza non è adeguato a rispondere alle minacce. Ora avremo norme uguali a livello europeo. Quello che come Assolombarda chiediamo sono gli incentivi. Le aziende si trovano di fronte a processi nuovi che non sono semplici e il costo di investimento non trascurabile in un momento difficile ha un impatto".
Assolombarda come si è attrezzata?
"Abbiamo un working group cyber security per tutti i nostri associati che hanno bisogno di informazioni e facciamo anche eventi divulgativi. Da dieci anni stiamo lavorando con un working group dedicato proprio alla sicurezza: l’associazione ha come obiettivo il voler essere il riferimento delle imprese, in particolare per le piccole e medie imprese, sul tema. Indirizziamo quindi l’associato partendo dal tema del processo organizzativo e poi arriviamo a quello tecnologico. Non basta un software, c’è tutta un’organizzazione interna ed esterna".
Per esempio?
"Sono stati creati strumenti come le Cyber security Tip e le Cyber News e percorsi di assistenza con i check di I e II livello). In oltre, grazie alla collaborazione con il Digital innnovation hub, le aziende possono beneficiare di finanziamenti MIMIT che, a seconda delle dimensioni aziendali, possono arrivare a coprire il 100% dei costi per realizzare un’analisi del livello di maturità dell’azienda sul fronte della sicurezza informatica. Il Cyber assessment mira a identificare gli specifici rischi cyber cui è esposta l’azienda, rilevando il livello di cybersecurity attuale e individuando i rimedi per raggiungere il livello di sicurezza auspicato".
Nell’immediato futuro saranno necessarie nuove figure e competenze.
"Avremo laboratori di prova privati che verranno accreditati al pubblico e che saranno da supporto a tutti gli interessati a questo processo. C’è un enorme fabbisogno di competenze".
Riuscirà una realtà come quella locale, fatta di piccole e medie imprese, ad adeguarsi?
"Servono le risorse perché le realtà piccole hanno bisogno di un sostegno. Se le norme sono il bastone, manca la carota che consenta la sostenibilità di questo passaggio".
C’è qualcosa che anche i piccoli possono cominciare a fare per mettersi al riparo?
"Come associazione, pensiamo che l’igiene cyber non sia un traguardo irraggiungibile. Basta partire con investimenti anche piccoli. Ormai è tutto molto semplice, come il rispetto delle normative sul’antincendio e della sicurezza sul lavoro. La stessa cosa vale per la cyber security. Siamo alla fase iniziale, bisogna soltanto fare metabolizzare le nuove norme".
Monica Guzzi