Lo studio attuale su cyber protezione e home office nelle PMI svizzere evidenzia che nel 2021 e nel 2022 le PMI svizzere non hanno ampliato le proprie misure a favore della cyber protezione, sebbene i cyber attacchi siano di nuovo aumentati dall’inizio della guerra in Ucraina e occupino le prime pagine dei giornali. A suo parere, quali sono i motivi? 
Sono tanti e diversi tra loro i motivi per cui le PMI si astengono dall’investire maggiormente nella propria cyber sicurezza: le priorità nel core business, il contesto difficile dal punto di vista economico, la carenza di personale qualificato ecc. Forse molti non sanno neppure come affrontare il tema, non hanno le risorse oppure pensano di essere protetti a dovere, certi che il fornitore di servizi IT sappia cosa fare nel caso di un attacco.  

Ciononostante, secondo lo studio, i dirigenti delle PMI considerano importanti le misure a favore della cyber sicurezza. 
Sì, esatto. Due terzi delle PMI ritengono che il tema sia importante, ma agiscono troppo poco. Lo studio conferma la discrepanza tra il dire e il fare. Ciò è dovuto, tra l’altro, al fatto che i cyber rischi non sono visibili a occhio nudo e possono dunque essere ignorati più facilmente rispetto ad altri rischi. È quindi maggiore la probabilità di essere interessati da un cyber evento che di subire danni da acqua in ufficio. Non esistono neppure standard minimi o controlli periodici prescritti per un IT sicuro come succede, ad esempio, per l’automobile. Spero che il tema della cyber sicurezza diventi una priorità assoluta a livello di dirigenti. 

Dallo studio emerge che più è elevato il grado di informazione percepito in materia di cyber sicurezza, maggiore è l’attuazione delle misure. Che cosa fa la Mobiliare per sensibilizzare di più i propri clienti PMI in merito alla cyber protezione? 
Sosteniamo l’acquisizione di conoscenze, illustrando i possibili pericoli e rischi e rendendoli così tangibili. Lo facciamo, ad esempio, con relazioni tecniche e guide, ma esaminiamo e sviluppiamo anche nuovi formati innovativi. Inoltre, offriamo servizi per la prevenzione degli attacchi, tra cui la valutazione breve dei cyber rischi a titolo gratuito come strumento di orientamento nonché il training di sensibilizzazione per collaboratori a pagamento. La cyber assicurazione copre finanziariamente le imprese se accade qualcosa. Nell’assicurazione rientra anche la competenza dei nostri partner in fatto di gestione delle crisi, il ripristino di dati e sistemi ecc. affinché un’impresa possa riprendere a lavorare il più rapidamente possibile.  

Le due misure «Aggiornamenti regolari del software» e «Utilizzo di un firewall» sono quelle implementate più comunemente. Queste misure permettono già di proteggersi in modo efficace dai cyber attacchi? 
Queste misure sono buone, ma adottandole siamo solo a metà dell’opera. Non da meno sono la sensibilizzazione dei collaboratori nella gestione dei rischi del mondo digitale, le regole concernenti le password, il backup regolare dei dati, la creazione di un piano di emergenza e la continua simulazione dei casi di emergenza. Un piano di sicurezza informatica deve comprendere sia misure tecniche che organizzative. Circa l’80% delle PMI fa affidamento su un fornitore di servizi IT per queste tematiche. Le responsabilità precise e la suddivisione dei compiti tra PMI e fornitore di servizi IT devono essere chiaramente definite in un contratto di collaborazione che comprenda temi tecnici, organizzativi, processuali e legali. Anche se la sicurezza IT viene esternalizzata, la relativa responsabilità spetta al direttore della PMI. 

In che modo una PMI può trovare il giusto fornitore di servizi IT, che sia pronto ad affrontare anche il tema della cyber protezione? 
Un buon valore indicativo è la certificazione ISO per la sicurezza delle informazioni (ISO27001). Inoltre, anche il marchio di qualità «CyberSeal» dell’Alleanza Sicurezza Digitale Svizzera testimonia le competenze nel settore: contraddistingue infatti i fornitori di servizi IT che dispongono del know-how necessario relativo alle misure tecniche e organizzative di cyber protezione e possono quindi sostenere in modo professionale i propri clienti. 

Come si sono evoluti negli ultimi anni i cyber sinistri segnalati? 
I sinistri di ieri non sono gli stessi di oggi o di domani. Attualmente, ad esempio, non è più possibile riconoscere a vista d’occhio le e-mail fraudolente. Al momento ci ritroviamo con maggior frequenza davanti a situazioni in cui i collaboratori cascano nei tentativi di phishing e nelle varie truffe, consentendo agli hacker di introdurre malware nei sistemi informatici. Assistiamo inoltre a tanti cyber sinistri dovuti al fatto che gli hacker sfruttano le lacune tecniche come le configurazioni errate o le lacune nei software. 

Come cambiano le strategie dei cyber criminali? 
Diventano sempre più raffinate, gli aggressori sono sempre più pazienti e professionali. Gli hacker approfittano dell’intelligenza artificiale e dell’incerta situazione politica mondiale. Agiscono più silenziosamente, si introducono nelle reti e criptano o rubano le informazioni solo in un secondo momento. Così poi non si sa esattamente quali dati siano stati rubati o alterati. I furti di dati diventano sempre più gravi e complessi, la cerchia delle imprese ricattabili aumenta di giorno in giorno. Gli stessi fornitori di servizi cloud non sono immuni dai cyber attacchi. Spesso i dati non vengono «solo» criptati, ma anche resi pubblici. E non viene ricattata soltanto l’impresa, ma sono oggetto di estorsione anche le persone di cui sono stati rubati i dati: clienti, collaboratori, partner commerciali ecc. La nuova legge federale sulla protezione dei dati entrata in vigore il 1° settembre 2023 prevede ora l’obbligo di notifica presso l’Incaricato federale della protezione dei dati e della trasparenza nel caso in cui i cyber eventi riguardino dati personali particolarmente sensibili. 

Se una PMI stipula una cyber assicurazione non ha più bisogno di adottare misure di cyber protezione?
Al contrario! Una cyber assicurazione non può evitare i cyber attacchi, ma è d’aiuto sul piano finanziario in caso di sinistro. Per poter essere stipulata, la cyber assicurazione richiede addirittura che il cliente abbia implementato certe misure di sicurezza quali, ad esempio, l’esecuzione di backup periodici, l’aggiornamento del software e l’impiego di scanner antivirus. 

In che direzione si muove la Mobiliare per quanto riguarda la cyber protezione? Quali altri servizi e offerte sono previsti?
Non sono solo le strategie degli hacker a evolversi. Anche noi perfezioniamo il sostegno per i nostri clienti. In futuro intendiamo ampliare ulteriormente la nostra offerta di cyber servizi. Al momento stiamo testando uno speciale formato di perfezionamento professionale per PMI, con il quale renderemo tangibili i cyber rischi in modo ludico. Aumenteremo così la cyber fitness delle PMI.