Tra maggio e luglio 2024, oltre 500 aziende italiane hanno partecipato a una survey condotta dalla Camera di Commercio di Modena e dall’Università di Modena e Reggio Emilia, in collaborazione con il Clusit, per analizzare la postura di cybersecurity delle piccole e medie imprese (Pmi) del territorio.
I risultati della ricerca offrono un quadro dettagliato e, in alcuni casi, preoccupante, in quanto è emerso che la postura di cybersecurity è insufficiente, in particolare tre le microimprese.
La provincia di Modena, pur non essendo un’area metropolitana, rappresenta un polo economico avanzato, ideale per studiare le pratiche aziendali in ambito sicurezza informatica.
La maggioranza delle imprese coinvolte sono piccole (70%, con fatturato inferiore ai 10 milioni di euro), mentre il restante 30% rientra nella categoria delle medie imprese.
La scarsa adozione di tecnologie avanzate impatta sulla postura di cybersecurity
Uno dei primi dati emersi è che, sebbene l'82% delle aziende possieda un sito web, solo il 17% utilizza piattaforme di e-commerce, suggerendo un potenziale inespresso nell'adozione di tecnologie più avanzate.
Inoltre, il personale dedicato all'IT e alla cybersecurity è fortemente influenzato dalle dimensioni aziendali: l’80% delle microimprese si affida a fornitori esterni, con deleghe informali e spesso senza formazione certificata per il personale coinvolto.
Formazione e consapevolezza tra le sfide critiche
La formazione è uno degli aspetti più critici: nelle microimprese, il 90% non offre alcun tipo di preparazione in ambito cybersecurity e privacy.
Anche nelle aziende più grandi, solo un terzo organizza formazione regolare, un dato che limita la capacità delle imprese di affrontare minacce crescenti.
Circa il 30% delle aziende ha dichiarato di aver subito almeno un attacco informatico, con oltre la metà degli eventi concentrati negli ultimi due anni.
Tuttavia, molti dichiarano di non essere mai stati attaccati, il che potrebbe riflettere una scarsa consapevolezza o strumenti inadeguati per individuare le minacce
Un quadro complessivamente insufficiente
Anche le tecnologie di protezione risultano non adeguate. Nonostante la presenza diffusa di firewall, l'adozione di tecnologie di base, come la crittografia del disco fisso, rimane limitata (20%).
Inoltre, la gestione degli accessi esterni e dei dispositivi personali presenta contraddizioni che potrebbero esporre le aziende a vulnerabilità evitabili.
La survey ha, dunque, evidenziato una postura di cybersecurity non adeguata, soprattutto nelle microimprese. Tuttavia, le normative recenti, come la Direttiva Nis2 e il Regolamento Dora, offrono un'opportunità di miglioramento della postura di cybersecurity, dovendo le aziende adegaursi alle nuove normative.
Investire in formazione, politiche formalizzate e strumenti tecnologici adeguati è, tuttavia, essenziale per proteggere i dati aziendali e costruire un futuro più sicuro.
