I furti di proprietà intellettuale e di identità e le violazioni relative alla sicurezza informatica appartengono alla più ampia sfera del cybercrime, su cui annualmente riferisce il comparto intelligence italiano nell’ambito della Relazione annuale al Parlamento. Anche l’edizione del 2014 ha evidenziato come la minaccia cyber abbia continuato a essere caratterizzata da un elevato grado di priorità e attenzione. In questo scenario di rischio crescente e persistente le PMI non ne escono indenni, complice la minore consapevolezza e percezione del rischio e la cronica mancanza di adeguate risorse economiche.
=> Il Piano di Governo sulla Sicurezza Informatica
Sicurezza informatica e PMI
L’UNICRI (United Nations Interregional Crime and Justice Research Institute), Istituto Interregionale delle Nazioni Unite per la Ricerca sul Crimine e la Giustizia, ha commissionato una ricerca specifica sulle PMI dal titolo: “La sicurezza informatica nelle piccole e medie imprese in Italia“. L’UNICRI ha voluto comprendere l’entità, la diffusione e la conseguente perdita economica correlata al crimine informatico: le aziende “vittima” oltre alla perdita dei dati e/o al furto dei segreti commerciali, devono farsi carico dei costi della pulizia del malware, dell’investigazione e della gestione post-incidente, devono affrontare la perdita di credibilità e di posizionamento sul mercato fino al rischio di non riprendersi più dal danno subito. Le informazioni raccolte hanno permesso di ideare una strategia che consentirà la creazione di una rete di esperti per promuovere la cultura della sicurezza.
=> Sicurezza nelle PMI a misura di Budget IT
Lo studio ha coinvolto un numero limitato di aziende interpellando numerose figure, il Vice Questore della Polizia Postale e delle Telecomunicazioni di Firenze, Polizia di Stato presso la Procura della Repubblica, ABI Lab, Consorzio Bancomat, IBM e all’interno delle Procure di Firenze e Torino. Nella Provincia oggetto del focus (Lucca n.d.r.) sono state realizzate interviste con Assindustria Lucca e 5 aziende rappresentative dell’economia della zona. La metodologia scelta è di tipo bottom up, una ricerca “dal basso” che va ad indagare sulla reale situazione che le Piccole e Medie Imprese si trovano ogni giorno ad affrontare.
Crimini e denuncia
Flavia Zappa Leccisotti ricercatrice nel campo del cybercrime e cyberwarfare e autrice della ricerca sintetizza i risultati: in Italia non c’è obbligo di denuncia delle effrazioni informatiche e le aziende colpite sono restie a farlo sapere, pertanto i dati pubblici sul fenomeno del cybercrime sono statistiche insufficienti e frammentate. Si è potuto tuttavia stimare il flusso medio di denunce annue in regioni come il Piemonte e la Toscana, e il relativo tasso di azione penale. Dalle interviste con i magistrati delle Procure di Torino e Firenze è emerso che i crimini informatici in sensibile aumento negli ultimi anni risultano essere quelli di tipo mirato, come lo spear phishing, difficile da perseguire a causa del suo forte carattere transnazionale.
=> Sistemi Scada e sicurezza informatica in Italia
Contromisure
La lotta ai crimini informatici necessita, oltre che di azioni legislative forti, di iniziative da parte delle forze dell’ordine, di strumenti adeguati e cooperazione, ma soprattutto di una maggiore consapevolezza e conoscenza promosse non solo tra gli informatici. Anche amministratori, titolari delle aziende e consigli di amministrazione dovrebbero essere informati al fine di promuovere contromisure e politiche concertate. Quindi si suggerisce l’investimento nella formazione come aspetto primario così come la necessità di far fronte alle barriere culturali che riducono la consapevolezza dei rischi. La vulnerabilità creata dal fattore umano infatti viene considerata più pericolosa degli aspetti tecnici. Comunque l’implementazione di policy di sicurezza molto semplici, come ad esempio la verifica telefonica del cambio di dati di fatturazione, limiterebbero molto le conseguenze degli attacchi mirati.
Per il futuro
Si vuole realizzare un secondo step di questo studio, a livello nazionale, che possa approfondire altri aspetti cruciali del fenomeno cybercrime.
Per approfondimenti: Relazione del Parlamento 2014; UNICRI – La sicurezza informatica nelle piccole e medie imprese in Italia.