Solo nel 2021 in Svizzera sono stati denunciati oltre 30.000 reati nell’ambito della criminalità digitale. Eppure molte imprese sottovalutano i danni e i costi generati dai cyberattacchi.
In Svizzera ancora troppe PMI sottovalutano i rischi relativi alla cybercriminalità. Lo rivela uno studio condotto da AXA che precisa come ci sia una scarsa conoscenza della Legge sulla protezione dei dati.
Secondo la statistica criminale fornita dalla polizia, nel 2021 in Svizzera sono stati denunciati oltre 30.000 reati nell’ambito della criminalità digitale, cioè il 24 % in più rispetto al 2020. Come evidenziato da uno studio rappresentativo di AXA, le PMI svizzere continuano ad avere una consapevolezza estremamente esigua dei rischi generati dai cyberattacchi.
Qualche dato
Il 15% delle imprese interpellate da AXA ha indicato di essere stata vittima negli ultimi anni di un cyberattacco nel quale soggetti esterni hanno cercato di accedere alla rete aziendale per carpire dati riservati. Eppure, le aziende svizzere ritengono improbabile di poter diventare il bersaglio di episodi di cybercriminalità: il 62% delle PMI interpellate considera che il rischio di subire in futuro un attacco informatico sia esiguo. Solo il 12% delle aziende stima che il rischio sia elevato. Ma la tranquillità in cui si cullano molte aziende è una falsa convinzione, come spiega Andrea Rothenbühler, responsabile dell’assicurazione Cyber di AXA: «Gli attacchi ai sistemi IT delle aziende svizzere aumentano di anno in anno. A essere prese di mira dai criminali informatici sono soprattutto le PMI dato che, a differenza delle grandi aziende, hanno meno risorse da investire nella sicurezza IT».
Danni incalcolabili
Per le imprese, un accesso indesiderato alla rete aziendale si traduce non soltanto in costi diretti, ma può comportare anche un blocco della produzione o danni reputazionali duraturi. Eppure le PMI interpellate ritengono piuttosto ridotta la possibilità che un cyberattacco possa recare loro danni materiali e immateriali considerevoli.
Il 36% delle aziende intervistate ritiene che i danni maggiori possano essere riferiti al ripristino della sicurezza IT. Il 29% prevede una forte compromissione della propria capacità operativa e circa una PMI su cinque si aspetta perdite finanziarie elevate a causa dell’interruzione d’esercizio oppure un danno reputazionale di notevole portata.
La parola all’esperta
La cyberesperta Andrea Rothenbühler ha spiegato: «Per un’azienda di ingegneria meccanica di medie dimensioni, già una settimana d’interruzione dell’attività può comportare dolorose perdite di fatturato. Devono essere inoltre sostenuti costi elevati per il ripristino dei dati, la gestione della situazione di crisi e l’assistenza da parte dei fornitori di servizi IT e degli specialisti di cybersicurezza. In caso di violazione delle norme sulla protezione dei dati, una PMI può essere altresì chiamata a fare fronte a multe e richieste di risarcimento danni da parte dei clienti».
Solo 1 su 5 è attenta
Come evidenziato dai risultati del sondaggio, il 60% delle PMI si sente sufficientemente protetto da attacchi ai propri dati aziendali mediante l’impiego di firewall e programmi antivirus. Il 17% di tutti gli intervistati ritiene tuttavia che le misure di sicurezza IT adottate non siano sufficienti, mentre circa un quarto delle PMI consultate non è stato in grado di giudicare l’effettiva adeguatezza del proprio dispositivo di sicurezza.
Più del 25% non fa il backup
E anche sul versante delle ulteriori misure di protezione tecniche vi sono differenze: il 73% di tutte le PMI intervistate effettua un backup dei dati con cadenza regolare e un po’ più di due terzi di esse hanno installato un software antivirus. Il 55% delle PMI interpellate ha predisposto un firewall per proteggere la propria rete aziendale e soltanto il 46% ha definito delle linee guida specifiche in materia di password.
La formazione del personale
In un’ottica di miglioramento della sicurezza IT, scarsa attenzione è posta anche nei confronti del proprio personale, in quanto soltanto due PMI su cinque sensibilizzano i dipendenti in merito ai potenziali cyber-rischi in agguato. A tale riguardo si evidenziano notevoli differenze a seconda delle dimensioni dell’azienda: mentre il 74% delle grandi PMI con un organico compreso tra 50 e 250 unità sensibilizza il personale in merito ai possibili rischi IT, a fare altrettanto è solo il 51% delle PMI di medie dimensioni con 10-49 occupati e solo il 38% delle piccole PMI con 2-9 collaboratori. Eppure è proprio in questo ambito che le PMI dovrebbero investire: «In circa il 70% dei cyberattacchi sono i dipendenti l’anello debole della catena che consente ai software nocivi di insinuarsi. Occorre quindi investire soprattutto nella formazione del personale. Non solo è necessario aggiornare con regolarità i software, ma anche e soprattutto i propri collaboratori. Solo in questo modo è possibile complicare la vita ai criminali informatici e, se malauguratamente i computer dovessero essere comunque infettati, collaboratori ben preparati sapranno come reagire», spiega Andrea Rothenbühler.
Legge? Quale Legge?
Oltre un quinto degli intervistati non si sente direttamente interessato dalla nuova Legge sulla protezione dei dati
Le PMI rivolgono un’attenzione ancora scarsa alla nuova Legge sulla protezione dei dati (LPD). I risultati dello studio indicano che oltre un quinto delle PMI interpellate non crede che tale legge le riguardi. E anche tra le aziende che ritengono di rientrare nell’ambito di applicazione della LPD, finora solo una PMI su due si è attivata in questo senso. Soltanto un modesto 16% si è già informato in merito, e solo circa una PMI su dieci ha già adottato misure di attuazione concrete. Brigitte Imbach, avvocata e Data Privacy Officer di AXA-ARAG, mette in guardia dalla tentazione di sottostimare gli effetti della nuova Legge sulla protezione dei dati: «Con la revisione totale della Legge federale sulla protezione dei dati, a partire da settembre 2023 cambieranno alcune importanti disposizioni sul trattamento dei dati personali e anche le piccole e medie imprese ne sono direttamente interessate».
Sanzioni pesanti
Le violazioni intenzionali della nuova Legge sulla protezione dei dati, come l’inosservanza degli obblighi di informazione, di notifica, di collaborazione o di diligenza, possono essere sanzionate con multe fino a 250 000 franchi. In linea di principio la multa viene comminata alla persona fisica direttamente responsabile; adesso però può essere sanzionata anche l’impresa di appartenenza con un’ammenda fino a 50 000 franchi laddove le indagini a carico del trasgressore facente capo all’azienda comportino un onere investigativo estremamente elevato. «Per le PMI è quindi opportuno recepire e attuare per tempo i nuovi requisiti di legge in materia di protezione dei dati, nonché verificare e ove opportuno adeguare le proprie dichiarazioni e linee guida per la protezione dei dati. Le PMI che non possiedono al loro interno le competenze necessarie dovrebbero fare ricorso a un’assistenza esterna e avvalersi assolutamente di una consulenza specialistica», consiglia l’esperta.
© RIPRODUZIONE RISERVATA
Iscriviti alla newsletter
