Cybersecurity: sfide e rischi per le aziende

Giuseppe D'Agostino, Partner di PwC Italia

Le notizie di cronaca riportano quasi tutti giorni episodi di attacchi Cyber a tantissime aziende italiane. È veramente così diffuso il fenomeno?


Purtroppo si. Anche attraverso i nostri punti di osservazione rileviamo un continuo aumento di attacchi Cyber a livello nazionale e internazionale, per aziende di tutti i settori industriali e di tutte le dimensioni. 

Oltre a diversi Cyber incident gestiti in Italia, il nostro Cyber Threat Operation Center globale, a cui PwC Italy contribuisce con risorse dedicate e investimenti, conferma che il numero di vittime di attacchi ransomware è aumentato del 63% tra gennaio e febbraio 2023, con 250 nuove vittime che sono apparse sui siti di “leak” nel febbraio 2023, rispetto alle 153 del gennaio 2023. 


Quali sono le principali conseguenze per un’azienda che subisce un attacco?


In generale, le principali conseguenze di un attacco Cyber possono essere, oltre ai danni economici, l’interruzione della continuità operativa, il danneggiamento o la degradazione di prodotti e servizi, la perdita di contratti o di opportunità di business, la perdita di fiducia da parte dei clienti.

Questi dati sono confermati dalla nostra Digital Trust Insight Survey, studio PwC che viene condotto annualmente e a livello globale con tutti i nostri clienti.

Dall’ultima survey è emerso che per circa il 25% dei rispondenti, il costo di un “data breach” è stato maggiore di 1 milione di dollari.


Le istituzioni e gli enti regolatori cosa stanno facendo e come stanno tutelando imprese e cittadini?


Il fenomeno ha chiaramente catturato l’attenzione delle istituzioni, a cui le imprese chiedono a gran voce supporto e aiuto per il contrasto al fenomeno. In Italia infatti è stata costituita l’Autorità Nazionale per la Cybersicurezza denominata ACN (Agenzia per la Cybersicurezza Nazionale) con l’obiettivo di promuovere la realizzazione di azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese.

Anche gli enti regolatori, attraverso specifici regolamenti e normative, impongono alle aziende elevati standard di protezione a tutela dei cittadini. 

Conosciamo tutti ormai da qualche anno il GDPR (General Data Protection Regulation) che tutela gli interessati nella protezione delle proprie informazioni personali. Il settore Financial Services sta affrontando proprio in questi mesi l’introduzione di una nuova normativa legata alla resilienza operativa (DORA, Digital Resilience Operation Act).

Ultimamente anche Consob ha segnalato la necessità per le società quotate in Borsa di prepararsi ad includere le informazioni sulla cybersecurity nella rendicontazione periodica obbligatoria resa al mercato.


Come mai le aziende non riescono a contrastare in modo efficace questo fenomeno?


Il fenomeno è complesso e molto spesso le aziende hanno a disposizione meno risorse rispetto ai “Threat Actor” che devono contrastare. Oltre alle organizzazioni criminali che hanno il principale obiettivo di monetizzare gli attacchi, le aziende devono affrontare anche gli hacktivist (attivisti hacker, Anonymous è un esempio) e attacchi sponsorizzati da Stati o Nazioni che in alcuni casi hanno l’obiettivo di colpire le infrastrutture critiche nazionali, in altri casi di sottrarre proprietà intellettuale a beneficio delle imprese del proprio territorio.

È facile capire come imprese anche di grandi dimensioni, ma soprattutto piccole e medie, non abbiano spesso risorse a sufficienza per contrastare questi attaccanti quindi diventa di fondamentale importanza definire investimenti in modo sostenibile e mirati ad una efficace riduzione del rischio.

Altro tema molto rilevante nel contrasto al Cybercrime è la mancanza di risorse con adeguate competenze.


PwC come sta affrontando il problema e cosa stiamo facendo noi per il tema competenze?


Il nostro team, composto da oltre 200 risorse distribuite sul territorio italiano, supporta aziende di tutti i settori e dimensioni nel prevenire, identificare e rispondere a questo tipo di attacchi. 

Relativamente al tema risorse, anche per noi è molto complesso individuare e inserire in organico professionisti esperti in ambito Cyber.

Per questo motivo la nostra priorità è investire in risorse giovani, spesso neolaureati, con cui effettuiamo un vero e proprio percorso di incubazione che dura diversi anni e che consente a queste risorse di maturare forti competenze sia attraverso l’esperienza sul campo, sia attraverso specifici corsi di formazione e certificazione. 

Inoltre da diversi anni organizziamo insieme al Cefriel del Politecnico di Milano un Master Universitario di primo livello in Cybersecurity, della durata di 400 ore in 2 anni con una frequenza obbligatoria di circa 2/3 giorni al mese, in cui coinvolgiamo risorse PwC e dei nostri clienti.

Negli ultimi anni, grazie al supporto del team Human Capital e a questo genere di iniziative, siamo riusciti a inserire nel team oltre 100 risorse tra Intern e Associate.

Infine grazie alla collaborazione con il team di Corporate Sustainability di PwC abbiamo pianificato e in parte già eseguito diverse attività di formazione pro-bono per organizzazioni non profit e scuole superiori.


Cosa ci aspetta per il futuro?


I risultati della nostra CEO Survey confermano che il Cyber Risk resta una delle principali preoccupazioni di Amministratori Delegati e Consigli di Amministrazione.

A nostro avviso continueranno gli attacchi da parte della criminalità organizzata finalizzati all'estorsione di denaro e verranno utilizzate sempre più le nuove tecniche di Intelligenza Artificiale Generativa anche per l’esecuzione di questi attacchi.

E’ necessario quindi non abbassare la guardia e continuare a investire in risorse (umane e non) per il miglioramento del proprio livello di sicurezza.




Altre interviste
Il nostro Manifesto

Condividere esperienze, consigli utili e storie di vita