Secondo la polizia nel 2021 in Svizzera sono stati denunciati oltre 30 000 reati nell’ambito della criminalità digitale
BERNA - La digitalizzazione ottimizza i processi rendendoli più rapidi e convenienti, ma al contempo accresce anche il rischio di cadere vittima di episodi di cybercriminalità. La consapevolezza dei rischi relativi ai pericoli informatici presso le piccole medie imprese (PMI) si riconferma esigua, come evidenziato da uno studio condotto da AXA. Allo stesso modo, ben poca attenzione viene rivolta dalle PMI alla nuova Legge sulla protezione dei dati.
Secondo la statistica criminale di polizia, nel 2021 in Svizzera sono stati denunciati oltre 30 000 reati nell’ambito della criminalità digitale, cioè il 24 per cento in più rispetto al 2020. Come evidenziato da uno studio rappresentativo di AXA, le PMI svizzere continuano tuttavia ad avere una consapevolezza estremamente esigua dei rischi per quanto riguarda i potenziali cyberattacchi.
Il 15 per cento delle imprese interpellate ha indicato di essere stata vittima negli ultimi anni di un cyberattacco in occasione del quale soggetti esterni hanno cercato di accedere alla rete aziendale per carpire dati riservati (14% delle PMI di dimensioni minori, 29% delle PMI più grandi; un caso su dieci addirittura con tentativi multipli). Ciononostante, le aziende svizzere ritengono improbabile di poter diventare il bersaglio di episodi di cybercriminalità. Ben il 62 per cento delle PMI interpellate ritiene infatti che il rischio di subire in futuro un attacco informatico sia esiguo. Solo il 12 per cento delle aziende stima che il rischio sia elevato. Ma la tranquillità in cui si cullano molte aziende è una falsa convinzione, come spiega Andrea Rothenbühler, responsabile dell’assicurazione Cyber di AXA: «Gli attacchi ai sistemi IT delle aziende svizzere aumentano di anno in anno. A essere prese di mira dai criminali informatici sono soprattutto le PMI dato che, a differenza delle grandi aziende, hanno meno risorse da investire nella sicurezza IT».
Per le imprese, un accesso indesiderato alla rete aziendale si traduce non soltanto in costi diretti, ma può comportare anche un blocco della produzione o danni reputazione duraturi. Eppure le PMI interpellate ritengono piuttosto ridotta la possibilità che un cyberattacco possa recare loro danni materiali e immateriali considerevoli. I costi attesi con maggiore frequenza (comunque dal 36 per cento delle aziende intervistate) sono quelli per il ripristino della sicurezza IT. Il 29 per cento prevede una forte compromissione della propria capacità operativa e circa una PMI su cinque si aspetta perdite finanziarie elevate a causa dell’interruzione d’esercizio oppure un danno reputazionale di notevole portata. Tranne per quanto riguarda gli elevati costi per il ripristino della sicurezza IT, è tuttavia preponderante la stima che questi eventi siano piuttosto o addirittura molto improbabili. A tale riguardo, la cyberesperta Andrea Rothenbühler afferma: «Per un’azienda di ingegneria meccanica di medie dimensioni, già una settimana d’interruzione dell’attività può comportare dolorose perdite di fatturato. Devono essere inoltre sostenuti costi elevati per il ripristino dei dati, la gestione della situazione di crisi e l’assistenza da parte dei fornitori di servizi IT e degli specialisti di cybersicurezza. In caso di violazione delle norme sulla protezione dei dati, una PMI può essere altresì chiamata a fare fronte a multe e richieste di risarcimento danni da parte dei clienti».
Soltanto due PMI su cinque sensibilizzano il proprio personale sul tema dei cyberattacchi
Come evidenziato dai risultati del sondaggio, il 60 per cento delle PMI si sente sufficientemente protetto da attacchi ai propri dati aziendali mediante l’impiego di firewall e programmi antivirus. Il 17 per cento di tutti gli intervistati ritiene tuttavia che le misure di sicurezza IT adottate non siano sufficienti, mentre circa un quarto delle PMI consultate non è stato in grado di giudicare l’effettiva adeguatezza del proprio dispositivo di sicurezza.
E anche sul versante delle ulteriori misure di protezione tecniche vi sono differenze: il 73 per cento di tutte le PMI intervistate effettua un backup dei dati con cadenza regolare e un po’ più di due terzi di esse hanno installato un software antivirus. Il 55 per cento delle PMI interpellate ha predisposto un firewall per proteggere la propria rete aziendale e soltanto il 46 per cento ha definito delle linee guida specifiche in materia di password.
In un’ottica di miglioramento della sicurezza IT, scarsa attenzione è posta anche nei confronti del proprio personale, in quanto soltanto due PMI su cinque sensibilizzano i dipendenti in merito ai potenziali cyber-rischi in agguato. A tale riguardo si evidenziano notevoli differenze a seconda delle dimensioni dell’azienda: mentre il 74 per cento delle grandi PMI con un organico compreso tra 50 e 250 unità sensibilizza il personale in merito ai possibili rischi IT, a fare altrettanto è solo il 51 per cento delle PMI di medie dimensioni con 10-49 occupati e solo il 38 per cento delle piccole PMI con 2-9 collaboratori.
Eppure è proprio in questo ambito che le PMI dovrebbero investire: «In circa il 70 per cento dei cyberattacchi sono i dipendenti l’anello debole della catena che consente ai software nocivi di insinuarsi. Occorre quindi investire soprattutto nella formazione del personale. Non solo è necessario aggiornare con regolarità i software, ma anche e soprattutto i propri collaboratori. Solo in questo modo è possibile complicare la vita ai criminali informatici e, se malauguratamente i computer dovessero essere comunque infettati, collaboratori ben preparati sapranno come reagire», spiega Andrea Rothenbühler.
Oltre un quinto degli intervistati non si sente direttamente interessato dalla nuova Legge sulla protezione dei dati
Le PMI rivolgono un’attenzione ancora scarsa alla nuova Legge sulla protezione dei dati (LPD). I risultati dello studio indicano che oltre un quinto delle PMI interpellate non crede che tale legge le riguardi. E anche tra le aziende che ritengono di rientrare nell’ambito di applicazione della LPD, finora solo una PMI su due si è attivata in questo senso. Soltanto un modesto 16 per cento si è già informato in merito, e solo circa una PMI su dieci ha già adottato misure di attuazione concrete. Brigitte Imbach, avvocata e Data Privacy Officer di AXA-ARAG, mette in guardia dalla tentazione di sottostimare gli effetti della nuova Legge sulla protezione dei dati: «Con la revisione totale della Legge federale sulla protezione dei dati, a partire da settembre 2023 cambieranno alcune importanti disposizioni sul trattamento dei dati personali e anche le piccole e medie imprese ne sono direttamente interessate».
Le violazioni intenzionali della nuova Legge sulla protezione dei dati, come l’inosservanza degli obblighi di informazione, di notifica, di collaborazione o di diligenza, possono essere sanzionate con multe fino a 250 000 franchi. In linea di principio la multa viene comminata alla persona fisica direttamente responsabile; adesso però può essere sanzionata anche l’impresa di appartenenza con un’ammenda fino a 50 000 franchi laddove le indagini a carico del trasgressore facente capo all’azienda comportino un onere investigativo estremamente elevato. «Per le PMI è quindi opportuno recepire e attuare per tempo i nuovi requisiti di legge in materia di protezione dei dati, nonché verificare e ove opportuno adeguare le proprie dichiarazioni e linee guida per la protezione dei dati. Le PMI che non possiedono al loro interno le competenze necessarie dovrebbero fare ricorso a un’assistenza esterna e avvalersi assolutamente di una consulenza specialistica», consiglia l’esperta.