Il 40% delle aziende italiane non è in condizione di stipulare alcuna polizza assicurativa contro i rischi cyber.
Durante l’incontro si sono confrontati alcuni dei più autorevoli rappresentanti del mondo delle istituzioni e dell’economia per affrontare il tema della cyber security e della compliance normativa.
Partendo dai risultati del Rapporto Clusit 2022, secondo cui nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente così come ne è aumentata la gravità, è emerso che le aziende italiane sottovalutano la necessità di adottare iniziative strutturali di prevenzione e gestione del rischio cyber.
È perciò necessario un profondo cambiamento organizzativo – oltre che tecnologico – da parte delle imprese rispetto al tema della sicurezza cyber, attraverso l’attuazione di una strategia preventiva di risk management e il trasferimento del rischio cyber al mercato assicurativo.
La vulnerabilità delle aziende italiane
Come sottolineato da Ottorino Capparelli, Responsabile Governance, Risk & Compliance di Assiteca, «le statistiche a nostra disposizione ci consegnano un dato allarmante sul fronte della cyber security. Le aziende sono consapevoli dei rischi legati alla sicurezza dei propri dati, ma solo il 27% è coperto da una polizza assicurativa contro questo genere di rischi.
La criticità del dato diventa ancora più evidente se confrontato con un’altra statistica, derivante dalle nostre ricerche: il 40% delle aziende italiane semplicemente non è in condizione di stipulare alcuna polizza assicurativa contro i rischi cyber. Questo accade – continua Ottarino – perché i sistemi informatici da proteggere sono talmente sottodimensionati o obsoleti da non rendere l’assicurazione di questo rischio appetibile per le compagnie assicurative».
Tale dinamica è inoltre riflessa dall’andamento dei premi: nel 2021, a fronte di un numero stabile di aziende assicurate contro il rischio cibernetico, sono cresciuti in modo evidente i premi – sintomo del fatto che questo genere di protezione, sebbene sia oggi più che mai necessaria, rischia di non essere sostenibile dal punto di vista economico a causa della scarsa attività di prevenzione delle aziende.”
Guerra Ucraina-Russia, cyberspazio scarsamente utilizzato
Stefano Mele, Partner dello studio legale Gianni & Origoni, ove è il Responsabile del Dipartimento Cybersecurity e co-Responsabile del Dipartimento Privacy, ha esplorato il rapporto tra cyber security e geopolitica, collegandolo all’attuale conflitto Russia-Ucraina:
“A dispetto dei proclami giornalistici che quotidianamente leggiamo, il conflitto armato che da oltre due mesi la Russia sta conducendo contro l’Ucraina ha visto il cyberspazio come un campo di battaglia scarsamente utilizzato”.
Secondo Stefano Mele la Russia ha «sicuramente sfruttato Internet e le tecnologie per attività di propaganda e disinformazione», ma durante il conflitto convenzionale il «cyberspazio non è stato il territorio prediletto dal governo di Mosca».
Mele ha altresì posto l’accento su come «siamo di fronte a un attore statale che nel corso degli ultimi anni ha sviluppato buone capacità all’interno di questo ambiente operativo e che non ha esitato più volte a dimostrarlo, in questo contesto è importante che le «PA e le aziende italiane mantengano alta l’attenzione verso gli attacchi cibernetici di matrice russa soprattutto successivamente alla conclusione del conflitto convenzionale, quando con il perdurare delle sanzioni contro la Russia e degli aiuti nei confronti dell’Ucraina, Putin potrebbe utilizzare proprio gli attacchi cibernetici come il principale strumento ritorsivo nei confronti dell’Italia, dell’Unione europea e più in generale di tutti i Paesi appartenenti all’Alleanza Atlantica», conclude Mele.
Cyber crime: il livello di impunità è ancora alto
Eugenio Fusco, Procuratore aggiunto del Tribunale di Milano, si è concentrato sui risvolti penali del reato di cyber crime:
“Purtroppo ci troviamo davanti ad una gamma di crimini caratterizzata da un elevato livello di impunità, legata principalmente alla difficoltà di attribuire i singoli reati a soggetti identificabili. Per questo motivo, è sempre più importante concentrarsi sulla prevenzione del reato. Le aziende colpite da attacchi cyber sono restie a denunciare, anche per il connesso danno reputazionale. In questo contesto, potrebbe essere l’assicurazione contro il rischio cyber a permettere alle imprese di arginare i danni.”