La strada che porta le nostre Pmi verso la cyber security non è lunga, ma lunghissima, non difficile, ma difficilissima. I numeri non lasciano dubbi. Il 72,7 % non ha mai svolto attività di formazione in materia; il 79% non adotta l’autenticazione a due fattori per tutti i suoi dipendenti, il 65,3 % non ha mai effettuato verifiche sulla sicurezza dei propri sistemi, per esempio attraverso un penetration test, il 73,3 % non sa cosa sia un attacco ransomware e il 51,9 % degli intervistati ammette di non sapere cosa sia il phishing.

I dati sono significativi non soltanto perché il campione è di

oltre 800 aziende, ma anche per i player convolti, molto vicini allo specifico mercato: Grenke, azienda di leasing operativo leader proprio nel segmento Pmi, e Clio Security, che opera come società

di consulenza nel medesimo ambito, che hanno affidato a Cerved, forte di una base dati consolidata di circa 700 mila imprese,

la raccolta delle informazioni.

I numeri sono senza dubbio rappresentativi e presi singolarmente ci dicono quanto sia grande la distanza che separa la spina dorsale della nostra economia da un corretto approccio alla cyber security, ma è dalla loro analisi che scopriamo perché questa via sia anche difficilissima. In questo senso una prima indicazione arriva da quel 59,7% di rispondenti che dichiara come il tema della cyber security rivesta un’elevata importanza per la propria organizzazione. Apparentemente sembra del tutto incongruo rispetto alle desolanti percentuali di cui sopra. In realtà una spiegazione esiste ed emerge se prendiamo in considerazione altri dati. Il primo si rileva dalle ragioni per cui il 40,3 % delle imprese non considera la cyber security rilevante. Nel 60 % dei casi affermano che la motivazione risiede nel fatto di non trattare dati sensibili, con un riferimento indiretto al mondo della privacy, elemento che viene confermato da quel 75,1 % di rispondenti che ritiene adeguate le misure adottate dalla sua azienda per la protezione dei dati personali. Aggiungiamo infine che quel 37,3 % di aziende che ritiene di avere svolto attività di formazione per i suoi dipendenti, nel 60 % dei casi l’ha affidata al Data Protection Officer, figura prevista dal Regolamento Europeo per la Protezione dei Dati.

Tali dati segnalano piuttosto chiaramente che le nostre Pmi, nella stragrande maggioranza dei casi, si sono create un’immagine mentale per cui la cyber security si riduce alla conformità rispetto alle normative in materia di protezione dei dati, ignorando completamente che si tratta di due temi molto diversi. Questa situazione produce effetti deleteri perché da un lato stabilisce un senso di falsa di sicurezza, dall’altro determina una resistenza psicologica a investire su problematiche che si ritiene di avere risolto. In questo senso un’indicazione indiretta, che peraltro sfata un diffuso luogo comune, ci arriva dal fatto che appena il 2,4 % del 40,3% delle aziende che non considera la cyber security una priorità (parliamo quindi di una percentuale ridicola) dichiara di non avere denaro da investire sul tema. In buona sostanza quello che si pensava fosse un problema di risorse è invece diventato culturale: e purtroppo, in quanto tale, ha il difetto di appartenere alla categoria di quelli più difficili da risolvere.

Il fatto che il tema della cultura sia una criticità lo dimostra un’altra evidenza. Nello specifico è necessaria una premessa. Precisiamo subito che il rispondente alle interviste è stata la persona che all’interno dell’azienda prende le decisioni in materia di cyber security. Nel 32 % dei casi è risultato essere il titolare, nel 53,5% un altro soggetto con mansioni diverse all’interno dell’organizzazione, nel 9,6 % il Chief information officer e solo nel 4,6 % il responsabile della sicurezza che poteva essere il Chief security officer o Chief information security officer. La carenza di personale specialistico o comunque con competenze adeguate produce una conoscenza pressoché nulla sia delle tecnologie di cyber security sia delle forme più diffuse di attacco informatico.