Il prezzo della cyber insicurezza: ecco i costi per le aziende italiane

scritto da il 01 Dicembre 2017

Gli autori di questo post sono Claudia Biancotti e Riccardo Cristadoro, Senior Economist e Senior Director del Dipartimento di Economia e Statistica della Banca d’Italia* –

Negli ultimi mesi la Banca d’Italia ha ulteriormente approfondito lo studio delle dimensioni economiche della cybersecurity nel settore privato non finanziario italiano. Nell’ultima edizione dell’Indagine sulle imprese industriali e dei servizi, che copre le imprese con 20 addetti e oltre, sono state inserite domande relative alle misure difensive adottate, all’investimento in sicurezza informatica e ai danni subiti in conseguenza degli attacchi.

I dati, presentati nell’occasional paperThe price of cyber (in)security: evidence from the Italian private sector”, mostrano che nel 2016 per prevenire gli attacchi informatici l’impresa mediana spendeva una somma modesta (4.530 euro), pari al 15 per cento della retribuzione annuale lorda di un lavoratore rappresentativo. Esistevano però significative differenze settoriali: nel comparto ICT la cifra saliva a 19.080 euro, mentre era di soli 3.420 euro per le imprese a bassa intensità tecnologica. Nel Sud, dove le imprese sono in media più piccole e più concentrate nei settori tradizionali, si spendeva la metà rispetto al Nord.

schermata-2017-12-01-alle-01-59-49

Quasi tutti i rispondenti dichiarano di fare uso di un anti-virus, anche se non sappiamo quanto spesso aggiornato. Due terzi formano i dipendenti ai comportamenti informatici sicuri. Poco diffusa è, invece, la cifratura dei dati: la impiega quasi l’80 per cento delle imprese ICT, ma tra le altre non si arriva a un terzo. Questo risultato è importante. Da una parte mostra che le imprese talvolta sono vulnerabili più per scarsa consapevolezza del rischio che per riluttanza a spendere (si può cifrare gratis in tutta sicurezza). Dall’altra sembra confermare quanto più volte affermato dalla letteratura economica: nel mercato della cybersecurity, considerata la complessità tecnica della materia, i venditori di sistemi difensivi hanno un vantaggio informativo sui clienti, e possono talvolta spingerli a scegliere soluzioni costose a scapito di altre più economiche ma altrettanto efficaci.

Aver subito un attacco in passato è un incentivo all’investimento in sicurezza. La grande maggioranza delle imprese che ha individuato un’intrusione nel 2016 ha rinforzato le proprie difese subito dopo; la percentuale di imprese che non ha sperimentato – o non ha individuato – attacchi è massima tra chi non destina alcuna risorsa alla cybersecurity e si riduce all’aumentare della spesa.

schermata-2017-12-01-alle-02-00-06

Ma quali danni discendono dagli attacchi? Circa il 70 per cento delle imprese colpite ha segnalato l’interruzione delle attività ordinarie e la necessità di aumentare il numero di ore lavorate per ripristinare i sistemi compromessi. Non è altrettanto frequente la perdita o il furto di dati, riportati solo dal 5 per cento delle vittime nel settore ICT e dal 16 per cento nel resto dell’economia. Si tratta probabilmente di una sottostima; le intrusioni orientate all’esfiltrazione di informazioni sono studiate per essere invisibili, e spesso sono scoperte con ritardi di mesi o anni. Quantificare i costi monetari è complesso, per le ragioni già discusse precedentemente in questo post. Le imprese intervistate hanno per lo più riportato un impatto diretto inferiore ai 10.000 euro; nello 0,1% dei casi è stato superiore ai 200.000.

schermata-2017-12-01-alle-02-00-16

I dati finora disponibili non sono sufficienti per stimare il costo complessivo dell’insicurezza cyber sull’economia; in particolare mancano informazioni sugli effetti indiretti e, soprattutto, notizie di maggior dettaglio sui grandi incidenti, di cui pure conosciamo l’esistenza da altre fonti. Per acquisire un quadro più completo occorre modificare lo schema di campionamento e condurre ulteriori analisi; un progetto in tal senso è già in corso presso la Banca d’Italia.

È possibile in ogni caso trarre alcune conclusioni preliminari. Come mostrato anche dall’indagine britannica Cyber Security Breaches Survey, nella maggioranza dei casi un’intrusione informatica non impone costi significativi alle vittime. Esiste una piccola quota di eventi rari (c.d. “di coda”), appunto i grandi incidenti, che possono arrecare più danni di tutti gli altri attacchi combinati, anche per le loro possibili implicazioni sistemiche. Non si deve però cadere nell’errore di trascurare i piccoli attacchi: essi possono diventare un veicolo per quelli più importanti, poiché le vulnerabilità informatiche hanno esternalità negative.

*Le opinioni espresse dagli autori nell’articolo sono personali e non impegnano in alcun modo l’istituzione di appartenenza

 

Articoli di questa stessa serie:

Le cause economiche dell’insicurezza informatica

Prova a prenderli. Hacker, cybersecurity e politiche economiche (parte 1) 

Prova a prenderli. Hacker, cybersecurity e politiche economiche (parte 2)