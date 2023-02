Lo si apprende in maniera molto chiara dalle parole del Direttore dell'Agenzia per la Cybersicurezza Nazionale (ACN), Roberto Baldoni. Lo si tocca quasi con mano nello scenario fotografato dai recentissimi dati diffusi dalla Polizia Postale e delle Comunicazioni, guidata da Ivano Gabrielli, in cui viene mostrato un 2022 caratterizzato da un incremento di ben il 138% degli attacchi cibernetici alle infrastrutture critiche nazionali, ai sistemi finanziari e alle aziende operanti in settori strategici, come ad esempio, quelle delle telecomunicazioni e della difesa. Si è passati, infatti, da circa 5.400 attacchi informatici nel 2021 a quasi 13.000 nel 2022.

Una situazione di tale gravità non riguarda ovviamente solo l'Italia. Simili statistiche – in alcuni casi anche peggiori – si possono riscontrare nei dati ufficiali di ogni Stato.

Proprio per questo, ad esempio, il governo degli Stati Uniti, attraverso l'azione della Securities and Exchange Commission (SEC), un organo simile alla CONSOB italiana, presto obbligherà i consigli di amministrazione delle società quotate a dare il giusto peso al tema della cybersecurity. Nello specifico, in base alle regole che dovrebbero essere finalizzate già il prossimo aprile, si richiederà a tali società di condividere con la SEC le informazioni sugli incidenti informatici considerati – singolarmente o nel loro complesso – come “rilevanti” e di comunicare a tale autorità le competenze dei membri del consiglio di amministrazione in materia di cybersecurity, nonché le loro azioni più significative a sostegno della governance della sicurezza (e.g., le attività svolte in fase di supervisione dei rischi informatici). Nei piani della SEC queste richieste dovrebbero far sì che i consigli di amministrazione delle società quotate vedano finalmente la cybersecurity come un asset capace di creare valore e non come una questione puramente tecnico-informatica.

Non è un caso che alcune tra le più importanti aziende quotate italiane abbiano riscontrato, già dallo scorso anno, un'elevata attenzione da parte delle principali società americane di rating verso le competenze in materia di cybersecurity dei membri dei loro consigli di amministrazione, così come delle attività svolte durante l'anno per governare il c.d. rischio cyber.

L'attenzione verso questi temi, quindi, non potrà che crescere e consolidarsi nel corso dei prossimi anni, espandendosi inevitabilmente anche oltre il confine delle società quotate. Questo, almeno, non può che essere l'auspicio. Consapevoli del fatto che, oggigiorno, parlare di cybersecurity non significa – e non può più significare – parlare solo ed esclusivamente degli aspetti tecnici della materia. Occorre comprendere, invece, che la cybersecurity è oggi più che mai un tema legato alla crescita e alla stabilità economica, ai piani strategici, alla governance e alla gestione dei rischi, allo sviluppo del business, alla continuità operativa, così come ai posti di lavoro e alla reputazione delle società. Per alcune tipologie di società è anche un tema di partecipazione alla sicurezza nazionale. In una parola, almeno nel mondo dell'industria, la cybersecurity è uno dei temi principali per i board e deve essere urgentemente affidato a dei professionisti.