Phishing, malware e minacce interne: il report Deloitte fotografa una vulnerabilità diffusa tra le family business italiane, con strategie di difesa ancora incomplete e solo il 4% delle aziende colpite che esce indenne.
Cybersecurity e imprese familiari
Tre attacchi su cinque riusciti, danni reputazionali, operativi e finanziari, e una strategia di difesa che nella maggior parte dei casi presenta ancora lacune evidenti. È questo il ritratto che emerge dal report Family business cybersecurity di Deloitte, secondo studio della serie Deloitte Private’s Family Business Insights, basato su una ricerca internazionale condotta su circa 1.600 aziende.
I numeri dicono che a livello globale, il 74% delle imprese familiari ha dichiarato di aver subito almeno un attacco informatico negli ultimi due anni. In Italia la percentuale scende al 57%. Ma il dato non deve trarre in inganno; oltre la metà del campione nazionale ha fatto i conti con una violazione informatica, riuscita o tentata, nell’arco di appena ventiquattro mesi.
E tra queste, il 38% ha affrontato non uno ma due o più episodi, segnale di un’esposizione al rischio che non si esaurisce con il primo incidente.
Phishing e malware: come e da dove arrivano gli attacchi
Le modalità di attacco sono varie, ma alcune dominano nettamente il quadro. In Italia, circa tre imprese su cinque hanno segnalato tentativi riconducibili al phishing o al cosiddetto business email compromise, truffe via e-mail dall’aspetto autentico, difficili da distinguere da comunicazioni legittime, capaci di ingannare anche personale esperto.
Poco meno della metà del campione ha invece riferito attacchi tramite malware, mentre quasi due aziende su cinque hanno denunciato minacce originate dall’interno: dipendenti che divulgano dati riservati, oppure utilizzo di tecnologie non autorizzate che aprono varchi nei sistemi aziendali. Un dato che ricorda come il perimetro del rischio informatico non coincida solo con l’esterno, ma attraversi anche le mura dell’organizzazione. I cybercriminali, del resto, sfruttano tanto le vulnerabilità tecniche quanto il fattore umano, e spesso è proprio quest’ultimo a rivelarsi il punto più debole.
Solo il 4% esce indenne
Quando un attacco va a segno, le conseguenze si fanno sentire su più fronti. Il report evidenzia danni reputazionali, rallentamenti operativi e, con maggiore frequenza, perdite finanziarie dirette.
La statistica più significativa, però, è un’altra: appena il 4% delle imprese colpite da un attacco informatico riesce a uscirne senza conseguenze rilevanti. Tutti gli altri registrano danni concreti, di entità variabile ma raramente trascurabile. Eppure, guardando ai prossimi ventiquattro mesi, poco più della metà delle aziende italiane intervistate attribuisce un rischio moderato o alto alle minacce cyber, mentre a livello globale questa percezione sale al 70%.
Consapevolezza sì, ma ancora troppe lacune
Sul fronte della preparazione, il quadro italiano mostra luci e ombre. Un terzo delle imprese familiari afferma di disporre di una strategia di cybersecurity solida e sempre efficace. Ma quasi tre aziende su cinque ammettono che quella strategia presenta lacune, e che occorre lavorarci.
Una quota residuale (meno di una su dieci) non ha ancora un approccio strutturato, anche se dichiara di essere in fase di sviluppo. Il 55% si sente in larga misura preparato a reagire a un attacco; il restante 45% valuta la propria preparazione come parziale o moderata. Le misure di base, la cosiddetta cyber hygiene, risultano abbastanza diffuse: la protezione della rete è adottata dal 69% delle imprese, l’autenticazione multifattoriale o l’uso di password sicure dal 64%, l’aggiornamento costante dei software dal 62%.
Ma c’è un dato che stona con questo quadro apparentemente positivo: solo un’azienda su tre esegue regolarmente backup dei dati, una delle contromisure più elementari e raccomandate da qualsiasi framework di sicurezza informatica. Sul versante delle capacità più avanzate, i livelli di adozione restano bassi e non uniformi. Soltanto il 14% delle imprese effettua valutazioni strutturate di cyber maturity, quelle analisi che misurano il grado di maturità dell’organizzazione su tre dimensioni: persone, processi e tecnologie. Un numero che, più di ogni altro, indica quanta strada rimanga ancora da percorrere.
Un percorso ancora lungo
Il report Deloitte restituisce un’immagine di transizione: le imprese familiari italiane hanno iniziato a prendere sul serio la minaccia informatica, ma l’approccio è ancora frammentato.
I presidi essenziali ci sono, almeno in parte, ma mancano le strutture più sofisticate che permetterebbero di rilevare un attacco in anticipo, di rispondere in modo coordinato, di limitare i danni quando la violazione è già in corso. In un contesto in cui le normative europee stanno alzando l’asticella degli obblighi di sicurezza anche per le aziende di medie dimensioni, il margine per rimandare si restringe.
La differenza, nei prossimi anni, la farà non tanto la consapevolezza del rischio, che esiste già, quanto la capacità di tradurla in investimenti mirati e in processi realmente operativi.
© Riproduzione riservata