Sicurezza dei dati, a che punto siamo?
Cybersecurity: il mercato cresce, anche in Italia, ma il nostro Paese continua a pagare un ritardo evidente. Un gap colmabile solo, forse, avendo in primis ben chiara la rotta da intraprendere.
«Dal punto di vista del mercato - interviene Gabriele Faggioli, responsabile scientifico dell'Osservatorio Cybersecurity & Data Protection del Politecnico di Milano e Presidente del Clusit, associazione italiana per la sicurezza informatica - indiscutibilmente la spesa per la cybersecurity sta aumentando sia nelle pubbliche amministrazioni che nel settore privato. Il tasso è del 10-12% l’anno, tranne che nel 2020 anno in cui per ovvi motivi legati alla contrazione del Pil, l’incremento è stato del 4% ma a fronte di un crollo del Pil dell’8% e, quindi, il differenziale Pil/spesa in cybersicurezza è rimasto costante.
Oggi questo mercato vale circa un miliardo e mezzo, una cifra largamente inferiore rispetto ad altri paesi europei. In Italia, infatti, la spesa in cybersecurity rappresenta lo 0,08% del Pil (il dato più basso all’interno del G7, ndr), mentre in Francia, Germania e UK la percentuale è da due a tre volte più elevata, senza dimenticare che poiché il Pil di tali nazioni è più alto, in valore assoluto la spesa in cybersecurity di questi stati è molto più alta della nostra.
Parliamo quindi di un’Italia ancora fortemente sottodimensionata in termini di capacità di spesa e quindi di capacità di difesa e tutto ciò è reso più evidente dal fatto che colossi come Google e Microsoft hanno annunciato al Presidente Biden ad agosto 2021 un piano di investimenti in sicurezza informatica da 30 miliardi in cinque anni».
Il nostro «è un Paese caratterizzato da una forte disgregazione imprenditoriale e della pubblica amministrazione. Questo elemento, dal punto di vista della sicurezza informatica, rappresenta un problema. Per fare un esempio concreto, cento piccole aziende da dieci addetti non investono sommato tutto, tanto quanto spende in sicurezza informatica una grande realtà da mille dipendenti. Si tratta, in Italia, di un panorama fatto di tante piccolissime aziende tutte difese pochissimo. È vero, e possiamo registrarlo come un dato positivo, che l’attenzione e la sensibilità sul tema è cresciuta anche tra le Pmi».
Ma se l'interesse delle imprese verso la cybersecurity è ai massimi storici - prosegue Faggioli - «non è detto che automaticamente si facciano gli investimenti adeguati. L’Italia resta debole a livello strutturale, e i criminali non fanno altro che attaccare là dove trovano una debolezza». Lo stesso Osservatorio del Politecnico insieme al Clusit, attraverso una nota di poche settimane fa, ha presentato numero chiari relativi alla crescita costante delle minacce: si sono registrati 2.049 attacchi gravi nel corso del 2021, con un +15% circa rispetto all’anno precedente, secondo i dati Clusit, e ben il 31% delle grandi imprese italiane ha rilevato un ulteriore aumento degli attacchi informatici nell'ultimo anno.
Attenzione che deve restare alta, perciò, ma soprattutto investimenti da sostenere: «Tuttavia - afferma ancora Faggioli - è inutile illudersi che le aziende possano investire più di quanto facciano ora, se le risorse non ci sono c’è poco da fare. Non ci sarà una maggiore spesa solo perché questo sarebbe auspicabile, è bene essere chiari e realisti. Sono convinto che le imprese più piccole debbano iniziare a ragionare in funzione di un percorso di avvicinamento al Cloud, puntando quindi su un’economia di scala e mettendo insieme le forze. Ritengo non ci siano molte alternative, alla luce del contesto attuale. Ma siccome, chiaramente, non tutto può essere affidato al Cloud, permane l’importanza di una formazione interna all’azienda».
In tal senso, in conclusione, l’Osservatorio precisa che nel 2021 «il 58% delle imprese ha definito un piano di formazione strutturato sulle tematiche di cybersecurity e data protection rivolto a tutti i dipendenti, mentre l'11% si è focalizzato sulla formazione di specifiche funzioni più a rischio. Nel 30% dei casi sono state realizzate azioni di sensibilizzazione meno strutturate e sporadiche», e solamente nell'1% non sono state previste attività di formazione.
La strada è tracciata, quindi, ma il traguardo resta lontano.