La Relazione annuale della Banca d’Italia dedica un capitolo al cyber risk, dove si rileva una grande eterogeneità nel sistema produttivo italiano circa la gestione e la consapevolezza del rischio cyber. La spesa mediana per impresa in misure difensive si colloca a 4.530 euro, circa il 15% della retribuzione annuale lorda di un lavoratore con mansioni non dirigenziali.
Esistono significative differenze tra settori: per le imprese a basso contenuto tecnologico tale spesa scende a 3.500 euro, mentre è più alta tra le imprese più grandi, fino a oltrepassare i 19.000 euro tra le aziende del comparto ICT.
Quanto al tipo di difesa adottato, “due imprese su tre dichiarano di istruire i dipendenti sull’uso sicuro dei dispositivi informatici, più della metà di svolgere analisi sulla vulnerabilità delle reti, mentre solo un terzo ricorre alla cifratura dei dati, una pratica meno costosa rispetto alle altre, ma assai efficace”.
Infine, “differenze importanti tra settori e classi dimensionali si riscontrano” secondo Bankitalia “sia nella predisposizione di misure difensive sia nell’incidenza degli attacchi in grado di produrre conseguenze sul funzionamento dei sistemi aziendali o sull’integrità e la riservatezza dei dati su essi custoditi. Nel primo caso i tassi di adozione di tutti i presidi difensivi sono significativamente più alti della media tra le imprese ICT e tra quelle di grande dimensione. Per queste ultime i dati per il 2017 mostrano che è più elevata anche la frequenza delle intrusioni.
La probabilità che un’impresa subisca un attacco informatico dipende sia dall’attrattiva che esercita sugli hacker, legata al valore dei dati custoditi e all’esposizione al rischio, sia dalla sua capacità di difendersi.
Nel sistema produttivo italiano i rischi sembrano attualmente più diffusi tra le imprese ad alto contenuto tecnologico non appartenenti al settore ICT, poiché, al contrario delle imprese a bassa tecnologia, attraggono gli attacchi, ma, diversamente da quelle del comparto ICT, non hanno ancora sviluppato una sufficiente capacità di difesa. Questa circostanza sembra confermata dal fatto che le aggressioni informatiche sono più frequenti tra le imprese che fanno ricorso all’e-commerce e al cloud computing, così come ai dispositivi dell’internet delle cose; sono meno frequenti tra quelle che impiegano tecnologie basate sull’intelligenza artificiale”.