PMI e Cybersecurity: perché delegare non basta più

Il conflitto di interessi che mette a rischio il 43% delle piccole imprese italiane 

Parliamo di una realtà comune a moltissime piccole e medie imprese italiane: l'infrastruttura IT è affidata a un partner esterno. Server gestiti, reti configurate, backup programmati. Un fornitore di fiducia che si occupa di tutto, dalla manutenzione ordinaria alla risoluzione dei problemi tecnici. 

Sulla carta, tutto funziona. L'azienda può concentrarsi sul proprio core business mentre qualcun altro si prende cura della tecnologia. 

Ma c'è un problema che spesso viene sottovalutato, e i numeri parlano chiaro. 

Una minaccia in crescita esponenziale 

Nel 2024 si sono registrati 55.810 casi di crimini informatici in Italia, con un incremento del 10,8% rispetto al 2023. Ma il dato più allarmante riguarda specificamente le PMI: il nostro Paese si conferma un bersaglio primario per i cybercriminali, con un aumento del 65% degli attacchi cyber in Italia rispetto al 2022, mentre il 43% degli attacchi informatici colpisce proprio le PMI. 

Ancora più preoccupante è il fatto che nel 2024 sono state 4.721 le PMI italiane colpite da ransomware, con conseguenze devastanti: il 40% delle PMI che hanno subito un cyberattacco ha sperimentato almeno otto ore di downtime, traducendosi in perdite economiche significative e, in molti casi, nell'impossibilità di riprendersi completamente. 

La responsabilità legale: un peso che rimane all'azienda 

La responsabilità legale dei dati che risiedono nei vostri sistemi informatici rimane sempre e comunque dell'azienda. Non del fornitore IT. 

Questo principio è sancito chiaramente dal GDPR (Regolamento UE 2016/679), che prevede sanzioni severe per le violazioni. Nel 2024 le sanzioni per violazione del GDPR hanno raggiunto 1,2 miliardi di euro a livello europeo, mentre in Italia dall'entrata in vigore del GDPR nel maggio 2018 sono state emesse sanzioni per 237,3 milioni di euro. 

Per le PMI, le conseguenze possono essere devastanti: le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo dell'esercizio precedente, se superiore. Non solo: quando si verifica una violazione dei dati, le conseguenze includono anche danni reputazionali e perdite economiche indirette che possono compromettere la sopravvivenza stessa dell'impresa. 

Il conflitto di interessi: il vero punto critico 

Ed ecco dove si nasconde il vero punto critico. 

Il partner IT che gestisce la vostra infrastruttura è spesso lo stesso soggetto a cui affidate anche la sicurezza informatica. In altre parole, chi amministra i sistemi è chiamato a verificare la sicurezza di ciò che lui stesso gestisce. 

È un evidente conflitto di interessi riconosciuto dagli standard internazionali. Come evidenziato dalle best practice del settore, se IT e cybersecurity ricadono nelle stesse mani, il rischio di conflitto di interessi è grande. Non deve per forza esserci malizia, semplicemente le priorità dell'IT che supporta il business possono essere differenti rispetto a quelle di chi deve garantire protezione ai dati, ai sistemi e ai dipendenti. 

Gli standard internazionali lo confermano 

I principali framework di governance IT sono chiari su questo punto: 

ISO/IEC 27001:2022 

La ISO 27001 richiede all'azienda di elencare tutti i controlli che devono essere implementati in un documento chiamato Dichiarazione di Applicabilità, con particolare attenzione al controllo 5.3 sulla separazione dei compiti (Segregation of Duties). La ISO/IEC 27002:2022 richiama esplicitamente questo principio con il controllo 5.3 sulla separazione dei compiti. 

NIST Cybersecurity Framework 

Il NIST Framework è altamente strutturato e diviso in cinque funzioni principali (Identify, Protect, Detect, Respond e Recover). Il framework enfatizza l'importanza di controlli indipendenti e della separazione tra chi implementa e chi verifica le misure di sicurezza. 

Framework Nazionale per la Cybersecurity 

Il framework nazionale italiano amplia la struttura NIST inserendo i livelli di priorità e i livelli di maturità, rendendo il framework adatto alle PMI italiane, ma mantenendo ferma la necessità di segregazione dei ruoli critici. 

La situazione delle PMI italiane: un quadro preoccupante 

I dati del Rapporto Cyber Index PMI 2024, sviluppato da Generali e Confindustria con il supporto dell'Osservatorio Cybersecurity del Politecnico di Milano e dell'Agenzia per la Cybersicurezza Nazionale (ACN), dipingono un quadro allarmante: 

Con un punteggio medio di 52 su 100 (la soglia di sufficienza è fissata a 60), solo il 15% delle PMI intervistate adotta un approccio strutturato alla cybersecurity, mentre il 56% risulta poco consapevole o totalmente impreparato. 

Ancora più critico: il 53% delle PMI che hanno subito attacchi non ha intrapreso alcuna preparazione preventiva. Persino le aziende che hanno subito attacchi non hanno implementato procedure formali di sicurezza informatica. 

L'impatto della nuova normativa NIS2 

Dal 2024, la situazione normativa si è ulteriormente evoluta con l'entrata in vigore della Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024. Entro il 28 febbraio 2025, le aziende pubbliche e private dovranno registrarsi sulla piattaforma dell'Agenzia per la Cybersicurezza Nazionale (ACN). 

La NIS2 introduce obblighi ancora più stringenti: 

• Le imprese devono segnalare ogni attacco all'ACN, una prassi che mira a sensibilizzare i Consigli di amministrazione sull'importanza della cybersecurity 

• Pre-notifica entro 24 ore dall'accaduto, notifica dettagliata entro 72 ore, relazione finale con analisi e misure adottate entro 30 giorni 

• Soggetti essenziali (escluse le PA): sanzioni fino a 10.000.000 € o al 2% del fatturato mondiale annuo. Soggetti importanti: fino a 7.000.000 € o all'1,4% del fatturato mondiale annuo.

Le PMI hanno bisogno di un approccio diverso 

Serve un presidio dedicato alla cybersecurity, indipendente dal fornitore IT. Un partner specializzato che affianchi l'azienda con un unico obiettivo: garantire la sicurezza dei sistemi e la protezione dei dati. 

Questo approccio è supportato non solo dalle normative, ma anche dai numeri: nel 2023 il CSIRT Italia è intervenuto su ben 1.411 eventi cyber, segnando un incremento del 30% rispetto all'anno precedente, con l'84% delle imprese private italiane che ha subito attacchi hacker con richieste di riscatto. 

Cosa deve garantire un presidio di cybersecurity indipendente 

Un presidio dedicato e indipendente deve essere in grado di: 

1. Verificare in modo indipendente lo stato reale di sicurezza 

Analizzare configurazioni, policy e procedure senza conflitti di interesse. Come sottolineato dalle linee guida internazionali, la segregazione dei ruoli abilita meccanismi atti a prevenire conflitti di interesse, reali o apparenti, frodi, abusi ed errori. 

2. Implementare un monitoraggio continuo H24 

I dati mostrano che nel 2023 il 72,4% delle aziende italiane ha subito attacchi informatici. Un Security Operations Center (SOC) dedicato può rilevare e rispondere tempestivamente alle minacce. 

3. Gestire gli incidenti secondo le normative 

Con la NIS2, la gestione degli incidenti diventa cruciale. Le tempistiche stringenti richiedono procedure consolidate e personale formato specificamente. 

4. Formare il personale 

La crescita dell'87% degli attacchi di phishing ed ingegneria sociale registrata nel 2023 testimonia che quanto fatto fino ad oggi non è ancora sufficiente. La formazione continua è essenziale. 

5. Effettuare audit periodici indipendenti 

La verifica indipendente dell'efficacia delle misure di sicurezza è un requisito fondamentale di tutti i framework di riferimento (ISO 27001, NIST CSF, Framework Nazionale). 

Il ruolo di Vigilia Cyber 

In questo contesto, Vigilia Cyber si posiziona come partner strategico per le PMI italiane, offrendo: 

• Presidio di cybersecurity completamente indipendente dal vostro fornitore IT 

• Security Operations Center (SOC) attivo H24 per il monitoraggio continuo delle minacce 

• Team di esperti certificati in conformità agli standard ISO 27001 e NIST 

• Gestione completa della compliance normativa (GDPR, NIS2, normative di settore) 

• Programmi di formazione personalizzati per aumentare la consapevolezza del personale 

• Audit periodici e vulnerability assessment per identificare proattivamente le vulnerabilità 

Per maggiori informazioni su come Vigilia Cyber può proteggere la vostra azienda, contattateci per un assessment gratuito della vostra postura di sicurezza.