Rapporto di Confindustria e Generali
Nel terzo anno di analisi, le piccole e medie imprese italiane raggiungono un grado di conoscenza riguardo la sicurezza informatica di 55 su 100, con un incremento di 3 punti rispetto al 2024 e di 4 punti rispetto al 2023, basandosi su un campione di oltre 1.500 aziende. Questa informazione proviene dal Rapporto di Confindustria e Generali, Cyber index PMI.
È un cammino di crescita che, anche se non tocca la soglia di sufficienza fissata a 60 su 100, mette in luce una netta distinzione tra un gruppo ristretto di imprese più avanzate e una vasta maggioranza ancora a rischio.
“Il report mostra un miglioramento significativo nella strategia, che raggiunge il punteggio di sufficienza grazie a una maggiore considerazione della governance del rischio e alla pianificazione degli investimenti da parte delle PMI italiane, segnando una media di 62 su 100 (+6 punti percentuali rispetto al 2024),” si legge nell’analisi.
Tuttavia, persistono alcune problematiche nelle fasi successive del percorso. Nonostante una maggiore consapevolezza del rischio, molte PMI hanno difficoltà a tradurre la strategia in azioni operative, principalmente a causa di una carenza di attività di identificazione, che registrano una media di 47 su 100 (+2 punti rispetto al 2024). L’aspetto dell’attuazione si ferma a 57 su 100, un dato stabile rispetto all’anno precedente, indicando che l’adozione di misure di protezione concrete avviene più lentamente rispetto alla formulazione delle strategie.
I rispondenti, rappresentativi dell’intero insieme delle PMI italiane, sono suddivisibili in quattro livelli di maturità: il 16% viene considerato maturo, possiede un approccio strategico al tema, è pienamente consapevole dei rischi e sa attuare le leve corrette attraverso iniziative riguardanti persone, processi e tecnologie.
Il 32% è considerato consapevole: è in grado di comprendere quanto i rischi informatici possano influenzare, ma spesso ha capacità operative limitate per reagire in modo efficace. Il 38% è informato: non ha una piena consapevolezza dei pericoli informatici e degli strumenti necessari da utilizzare, e ha un approccio “artigianale”. Il 14% è considerato principiante: ha una scarsa consapevolezza dei rischi informatici e quasi nessuna attuazione delle misure di protezione.
È di rilievo notare che per la prima volta, le imprese mature superano in numero quelle principianti, con queste ultime che mostrano un calo di 6 punti rispetto al primo rilevamento, ma il 70% delle PMI rimane concentrato nei livelli intermedi, caratterizzati da una consapevolezza del rischio che non si traduce ancora in una difesa efficiente.
Il quadro che si presenta è complesso. Da un lato, alcune piccole e medie imprese italiane hanno realizzato l’importanza della protezione informatica e stanno effettuando investimenti per affrontare un contesto in costante cambiamento. Dall’altro, ci sono realtà che faticano a seguire il ritmo, ostacolando così il progresso generale del sistema. Ancora oggi, è consistente il numero di imprese che gestisce il rischio informatico in maniera non sistematica o che non riconosce i potenziali effetti sul funzionamento, sulla competitività e sull’immagine aziendale.
“Di conseguenza, è fondamentale un cambio di mentalità: la gestione dei rischi informatici dovrebbe essere vista non come un semplice obbligo, ma come un elemento che facilita la trasformazione digitale. Considerando il ruolo sempre più centrale della cybersecurity nel panorama economico, sociale e geopolitico contemporaneo, e mirando a rafforzare la resilienza dell’economia nazionale, risulta evidente l’esigenza di un approccio sistemico, che includa anche le istituzioni nella creazione di opportunità di investimento collettive e nel potenziamento delle infrastrutture aziendali,” evidenzia il Rapporto.
Ciro Di Pietro
