Il cyber exploit negativo dell’Italia

La scorsa settimana, commentando il Global Threat Report 2023 di CrowdStrike, avevo scritto della drammatica esposizione ai rischi cyber delle nostre PMI. A pochi giorni di distanza trovo una preoccupante conferma nei numeri nel Rapporto CLUSIT 2023. L’Associazione Italiana per la Sicurezza Informatica ha registrato nel nostro paese un aumento del 169 per cento degli attacchi, rispetto alla media mondiale, con un rialzo del 21 per cento. Il numero non giunge inatteso perché già la polizia postale e delle comunicazioni aveva comunicato di avere trattato 12.947 attacchi, rispetto ai 5.435 nel 2021. Questi numeri mandano un messaggio molto preciso: abbiamo poco tempo o forse è già troppo tardi. Anche ipotizzando che non sopraggiunga uno “tsunami” cyber, quell’evento di portata globale che preconizza nel suo ultimo report il World Economic Forum, basterebbe un allargamento del raggio di azione delle organizzazioni criminali per produrre conseguenze disastrose.

La scarsa digitalizzazione e la scarsa appetibilità “economica” delle nostre PMI sono senza dubbio due elementi che le hanno sempre rese prede non molto appetibili, degne soltanto di quella che potremmo definire come “una pesca a strascico”. In definitiva, per il criminale professionista che valuta sempre l’economia dello sforzo, colpire una PMI italiana significava tre cose: un lavoro lungo a causa della modesta superficie di attacco disponibile in termini di tecnologia, il rischio di non fare danni abbastanza gravi da indurla a cedere, la possibilità non remota che se anche avesse pagato si sarebbe trattato di una somma modesta. Rispetto ai primi due temi la pandemia prima e il PNRR oggi hanno cambiato la situazione visto che la stessa ISTAT ha certificato che alla fine del 2022 il 69,9 per cento delle PMI ha raggiunto un livello di digitalizzazione di base.

Non è difficile immaginare come nei prossimi anni, con il dispiegarsi di tutte le risorse del PNRR, la presenza della tecnologia aumenterà significativamente. Al nostro criminale professionista resta soltanto l’incognita di quanto alla fine gli renderà l’attacco, ma anche in questo caso si possono fare alcune considerazioni. In primo luogo, il modello di business del cybercrime è “as a service”, ovvero è possibile acquistare tutto il necessario per eseguire un attacco. Trattandosi di un mercato in forte espansione, i costi di questi servizi si stanno progressivamente riducendo. In secondo, la filiera produttiva digitale implica l’interconnessione tra i soggetti; quindi, l’attacco a un singolo operatore potrebbe coinvolgerne decine o centinaia. In terzo, se si raccordassero le modalità operative del cybercrime a quelle delle organizzazioni criminali tradizionali il costo di un attacco si ridurrebbe ulteriormente. Il rischio che a breve emerga un equivalente tecnologico del “pizzo” non è un’ipotesi da sottovalutare. La speranza è che, mentre già si parla del piano Industria 5.0, magari qualcuno accenni alla possibilità del programma Cybersecurity 1.0.