Rischi cyber: il 40% delle aziende italiane non ha i requisiti minimi per stipulare una polizza assicurativa
Si è tenuto lo scorso 21 giugno, presso Palazzo Edison, il convegno “La tutela dei dati in azienda: tra cyber security e compliance” (sopra, il panel dei relatori), organizzato da ASSITECA, il più grande Gruppo italiano nella gestione dei rischi d’impresa e nel brokeraggio assicurativo, in collaborazione con The Adam Smith Society.
Durante l’incontro si sono confrontati alcuni dei più autorevoli rappresentanti del mondo delle istituzioni e dell’economia per affrontare il tema della cyber security e della compliance normativa. Partendo dai risultati del Rapporto Clusit 2022, secondo cui nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente così come ne è aumentata la gravità, è emerso che le aziende italiane sottovalutano la necessità di adottare iniziative strutturali di prevenzione e gestione del rischio cyber. È perciò necessario un profondo cambiamento organizzativo – oltre che tecnologico – da parte delle imprese rispetto al tema della sicurezza cyber, attraverso l’attuazione di una strategia preventiva di risk management e il trasferimento del rischio cyber al mercato assicurativo.
Il convegno si è aperto con i saluti di Lorenzo Mottura, Deputy Director della Divisione Strategy, Corporate Development & Innovation di Edison SpA. Ha moderato l’evento Alessandro De Nicola, Presidente di The Adam Smith Society.
Sono intervenuti, in qualità di relatori, Gabriele Faggioli, Presidente Clusit – Associazione Italiana per la Sicurezza Informatica, Francesco Pizzetti, Professore Ordinario di Diritto Costituzionale presso l’Università degli Studi di Torino e già Presidente dell’Autorità Garante per la Privacy, Eugenio Fusco, Procuratore Aggiunto del Tribunale di Milano, Stefano Mele, Partner dello studio legale Gianni & Origoni e Responsabile del Dipartimento Cybersecurity, Ottorino Capparelli, Responsabile Governance, Risk & Compliance di Assiteca e Marianna Vintiadis, Founder e CEO di 36Brains.
Ottorino Capparelli, Responsabile Governance, Risk & Compliance di Assiteca, si è focalizzato sulla vulnerabilità delle imprese italiane agli attacchi cyber: “Le statistiche a nostra disposizione ci consegnano un dato allarmante sul fronte della cyber security. Le aziende sono consapevoli dei rischi legati alla sicurezza dei propri dati, ma solo il 27% è coperto da una polizza assicurativa contro questo genere di rischi. La criticità del dato diventa ancora più evidente se confrontato con un’altra statistica, derivante dalle nostre ricerche: il 40% delle aziende italiane semplicemente non è in condizione di stipulare alcuna polizza assicurativa contro i rischi cyber. Questo accade perché i sistemi informatici da proteggere sono talmente sottodimensionati o obsoleti da non rendere l’assicurazione di questo rischio appetibile per le compagnie assicurative. Tale dinamica è inoltre riflessa dall’andamento dei premi: nel 2021, a fronte di un numero stabile di aziende assicurate contro il rischio cibernetico, sono cresciuti in modo evidente i premi – sintomo del fatto che questo genere di protezione, sebbene sia oggi più che mai necessaria, rischia di non essere sostenibile dal punto di vista economico a causa della scarsa attività di prevenzione delle aziende.”
Stefano Mele, Partner dello studio legale Gianni & Origoni, ove è il Responsabile del Dipartimento Cybersecurity e co-Responsabile del Dipartimento Privacy, ha esplorato il rapporto tra cyber security e geopolitica, collegandolo all’attuale conflitto Russia-Ucraina: “A dispetto dei proclami giornalistici che quotidianamente leggiamo, il conflitto armato che da oltre due mesi la Russia sta conducendo contro l’Ucraina ha visto il cyberspazio come un campo di battaglia scarsamente utilizzato. Infatti, se prima dell’invasione, la Russia ha sicuramente sfruttato Internet e le tecnologie per attività di propaganda e disinformazione al fine di provare a vincere la guerra nella mente dei cittadini ucraini e questo piano – come sappiamo – non ha funzionato, durante il conflitto convenzionale attualmente in atto il cyberspazio non è stato il territorio prediletto dal governo di Mosca. Ciononostante, siamo di fronte ad un attore statale che nel corso degli ultimi anni ha sviluppato buone capacità all’interno di questo ambiente operativo e che non ha esitato più volte a dimostrarlo. Occorre, pertanto, che le PA e le aziende italiane che erogano servizi essenziali per i cittadini e per la nostra sicurezza nazionale mantengano alta l’attenzione verso gli attacchi cibernetici di matrice russa soprattutto successivamente alla conclusione del conflitto convenzionale, quando, con il perdurare delle sanzioni contro la Russia e degli aiuti nei confronti dell’Ucraina, Putin potrebbe utilizzare proprio gli attacchi cibernetici come il principale strumento ritorsivo nei confronti dell’Italia, dell’Unione europea e più in generale di tutti i Paesi appartenenti all’Alleanza Atlantica.”
Eugenio Fusco, Procuratore aggiunto del Tribunale di Milano, si è concentrato sui risvolti penali del reato di cyber crime: “Purtroppo ci troviamo davanti ad una gamma di crimini caratterizzata da un elevato livello di impunità, legata principalmente alla difficoltà di attribuire i singoli reati a soggetti identificabili. Per questo motivo, è sempre più importante concentrarsi sulla prevenzione del reato. Le aziende colpite da attacchi cyber sono restie a denunciare, anche per il connesso danno reputazionale. In questo contesto, potrebbe essere l’assicurazione contro il rischio cyber a permettere alle imprese di arginare i danni.”