L’80 per cento degli attacchi ha interessato attività con un fatturato inferiore a 250 milioni di euro. E il 51 per cento delle organizzazioni colpite ha meno di 100 dipendenti

L’acciaio italiano, le costruzioni, il caffè. Persino i giocattoli. La Sanità: ospedali, Asl. L’Italia si è scoperta in balia del cybercrime mondiale. I criminali informatici entrano con relativa facilità nei computer delle aziende, paralizzano per giorni linee produttive e pronti soccorsi. Rubano dati preziosi per il business e personali di pazienti, clienti. Ed estorcono poi riscatti milionari alle vittime.

 

Solo negli ultimi tre mesi hanno subito danni da attacchi informatici: Trudi (Peluche), Bianchi Industry (macchine da caffè), le acciaierie Beltrame, Cospec (costruzioni); l’Asl 1 dell’Aquila, gli ospedali di San Giuseppe e Sesto San Giovanni (Milano), quello di Alessandria e il Niguarda di Milano (tra gli altri).

 

Certo, gli attacchi sono diventati molto comuni dagli anni della pandemia, ma adesso gli esperti sono convinti che in Italia sta succedendo qualcosa di nuovo. Grave e allarmante. Cioè che il cybercrime mondiale se la stia prendendo in particolare con le nostre aziende, soprattutto le pmi, piccole e medie imprese, considerandole facile preda; a causa di decenni di scarsi investimenti in difese e competenze di cyber security e una storica indifferenza della politica al problema.

 

Nel 2022 per la prima volta gli attacchi all’Italia sono aumentati di ben il 169 per cento, rispetto al più 21 per cento della media mondiale. Secondo le analisi del Clusit, l’Associazione italiana per la sicurezza informatica nel 2022 gli attacchi italiani sono stati il 7,6 per cento del totale ed erano il 3,4 per cento nel 2021. Eppure l’Italia ha solo lo 0,75 per cento della popolazione globale e il 2,2 per cento del Pil globale. La conferma anche nell’ultimo rapporto di Yarix (di maggio): l’Italia è il quinto Paese al mondo per numero di attacchi cyber subiti. «Secondo i dati forniti dalla Polizia postale e delle comunicazioni ad essere colpite soprattutto aziende e infrastrutture strategiche, con un incremento del 138 per cento rispetto al 2021 e del 220 per cento rispetto al 2020», aggiunge l’esperto di sicurezza informatica Pierluigi Paganini. «Vittime principali nel 2022 le pmi; si stima che circa l’80 per cento degli attacchi ha interessato aziende con un fatturato inferiore a 250 milioni di euro, mentre il 51 per cento ha meno di 100 dipendenti», continua Paganini. «Nel mirino soprattutto il settore manifatturiero», storico motore della nostra economia. «Circa il 40 per cento degli attacchi contro le pmi ha successo», continua Paganini. I dati «sono sicuramente preoccupanti, perché non vediamo nessun cambio di direzione», dice Gabriele Faggioli, presidente del Clusit. Faggioli riconosce che negli ultimi anni ci sono stati passi avanti negli investimenti e nella strategia nazionale sulla cyber (con la nascita della prima Agenzia pubblica dedicata, anni dopo quella degli altri Paesi europei). «Tuttavia il tempo perso sul fronte della carenza di competenze, è un fardello difficile da lasciarsi alle spalle», dice.

 

La maggioranza delle pmi italiane ha una difesa informatica inadeguata, nota Paganini; «sono considerate bersagli facili dai cyber criminali», conferma Giorgia Dragoni, degli osservatori Digital innovation del Politecnico di Milano. Sfortuna vuole che le pmi siano anche l’ossatura del nostro tessuto industriale, più che in altri Paesi. Un rapporto del Politecnico di Milano, di prossima uscita, rileva che le pmi stanno (finalmente) aumentando gli investimenti in sicurezza informatica. «Oltre la metà delle pmi afferma di destinare fondi alle difese cyber», dice Dragoni. «Si rileva anche un forte aumento del livello di consapevolezza sulla materia, almeno teorica», aggiunge. Purtroppo, solo le medie imprese sono davvero passate alla pratica – rileva il Politecnico; «stanno iniziano a investire in cybersecurity, contribuendo alla crescita complessiva del mercato (+18 per cento tra 2021 e 2022)».

 

Meglio tardi che mai? Sì, ma significa che per piccole aziende e aziende sanitarie si annuncia una strage, man mano che le altre tipologie si rafforzano. Le medie imprese soffriranno ancora a lungo, comunque, perché – come nota il Clusit – ci vuole tempo prima che gli investimenti si traducano in maggiori difese e competenze. Lo stesso vale per le politiche pubbliche: troppo tardi si sono ricordate della cybersecurity e ora deve passare tempo perché il nuovo impegno dia frutti. Dal governo (Dipartimento per la trasformazione digitale) riferiscono di avere speso circa la metà, 333 milioni di euro, dei 623 milioni del Pnrr destinati alla cyber security (comunque troppo pochi per colmare il ritardo italiano, secondo alcuni esperti, come Paganini). La spesa è servita per lanciare l’Agenzia per la cybersecurity – ancora in gran parte da costruire, nel personale – e una prima rete di servizi e attività utili ad aumentare le difese del Paese. L’Italia ha centrato – secondo il governo – tutti gli obiettivi 2022 per la cyber previsti dal Pnrr, che però non ne contempla nessuno per il 2023. Nel 2024 invece il Pnrr prevede il completamento delle attività lanciate nel 2022, come il «dispiego integrale dei servizi nazionali di cybersecurity» e il «completamento della rete dei laboratori e dei centri di valutazione e certificazione della cybersecurity».

 

Obiettivi del Pnrr a parte, tutti i dati e gli esperti dicono che un vero cambio di passo non c’è ancora stato. Elemento che traspare anche dalle mosse del governo: a marzo ha nominato Bruno Frattasi, ex prefetto di Roma a direttore dell’Agenzia. Il precedente era sopravvissuto a quattro governi.