Politiche di password: Manca in molte PMI

La digitalizzazione ottimizza i processi, li rende più veloci e meno costosi, ma aumenta anche il rischio di diventare vittima di crimini informatici. Secondo le statistiche criminali della polizia, nel 2021 in Svizzera sono stati denunciati oltre 30.000 reati di criminalità digitale, ovvero il 24% in più rispetto al 2020. Tuttavia, come dimostra uno studio rappresentativo di AXA, le PMI svizzere hanno ancora una consapevolezza del rischio molto bassa per quanto riguarda i potenziali cyberattacchi. Questo si può notare, ad esempio, nella mancanza di linee guida per le password e nella scarsa consapevolezza dei dipendenti.

Le PMI sono meno colpite dalla criminalità informatica? Una falsità!

Il 15% delle aziende intervistate ha dichiarato di essere stato vittima di un attacco informatico negli ultimi anni, in cui persone esterne hanno tentato di accedere alla rete aziendale per ottenere dati aziendali (14 % delle PMI più piccole, 29 % delle grandi PMI, una su dieci anche ripetutamente). Tuttavia, le aziende svizzere difficilmente si aspettano di essere prese di mira dai criminali informatici: Il 62% delle PMI intervistate considera basso il rischio di essere vittima di un attacco in futuro. Solo il 12% delle aziende considera il rischio elevato. Un errore, come spiega Andrea Rothenbühler, responsabile di AXA Cyber Insurance: "Gli attacchi ai sistemi informatici delle aziende svizzere aumentano di anno in anno. Le PMI, in particolare, sono sempre più prese di mira dai criminali informatici, in quanto possono investire meno risorse nella propria sicurezza informatica rispetto alle grandi aziende".

A causa di accessi indesiderati alla rete aziendale, le aziende possono incorrere non solo in costi diretti. Tali attacchi possono anche portare all'interruzione della produzione o causare danni duraturi alla reputazione dell'azienda. Tuttavia, le PMI intervistate ritengono piuttosto bassa la probabilità che un attacco informatico possa causare danni materiali e immateriali significativi alla loro azienda. Il 36% degli intervistati prevede costi per il ripristino della sicurezza informatica. Il 29% prevede una grave compromissione della capacità operativa e circa una PMI su cinque prevede perdite finanziarie elevate a causa dell'interruzione delle attività o danni considerevoli alla reputazione.

Ad eccezione degli elevati costi di ripristino della sicurezza informatica, tuttavia, la valutazione prevalente è che questi effetti siano piuttosto improbabili. L'esperto di cyber Andrea Rothenbühler spiega: "Anche una sola settimana di interruzione dell'attività può comportare una dolorosa perdita di fatturato per un'azienda meccanica di medie dimensioni. Inoltre, si devono sostenere costi elevati per il recupero dei dati, la gestione delle crisi e il supporto dei fornitori di servizi IT e degli specialisti di sicurezza informatica. Inoltre, in caso di violazione della protezione dei dati, la PMI può incorrere in richieste di risarcimento danni da parte dei clienti e in multe".

Politiche di password solo in circa la metà delle PMI

Come dimostrano i risultati del sondaggio, il 60% delle PMI si sente sufficientemente protetto dall'accesso ai dati aziendali grazie a firewall e programmi di protezione antivirus. Dopo tutto, il 17% di tutti gli intervistati ritiene che le proprie misure di protezione informatica non siano sufficienti e circa un quarto delle PMI intervistate non è in grado di valutare se ha adottato misure di protezione sufficienti. Anche per quanto riguarda le altre misure tecniche di protezione ci sono differenze: il 73% delle PMI intervistate esegue regolarmente il backup dei propri dati e poco più di due terzi ha installato un software antivirus. Il 55% delle PMI intervistate ha installato un firewall per proteggere la rete aziendale, ma solo il 46% ha stabilito delle politiche sulle password.

L'attenzione al miglioramento della sicurezza informatica è minore anche per i dipendenti dell'azienda: solo due PMI su cinque sensibilizzano il proprio personale sui rischi informatici esistenti. Esistono chiare differenze in termini di dimensioni dell'azienda: mentre il 74% delle grandi PMI con 50-250 dipendenti sensibilizza il proprio personale sui possibili rischi informatici, solo il 51% delle medie PMI con 10-49 dipendenti e solo il 38% delle piccole PMI con 2-9 dipendenti lo fa. Ma è proprio qui che le PMI dovrebbero investire: "In circa il 70% dei cyberattacchi, i dipendenti aprono la porta per il malware. Di conseguenza, occorre investire soprattutto nella formazione del personale dell'azienda. Non solo il software deve essere regolarmente aggiornato, ma anche il personale. Questo rende più difficile l'infiltrazione dei criminali e, se si verifica un'infezione, i dipendenti ben addestrati sanno come reagire", spiega Andrea Rothenbühler.

Un buon quinto degli intervistati non si sente toccato dalla nuova legge sulla protezione dei dati personali

La nuova legge sulla protezione dei dati è ancora poco presente nel radar delle PMI. I risultati dello studio mostrano che un buon quinto delle PMI intervistate non si sente minimamente interessato dalla revisione totale. E anche tra le aziende che si considerano rientranti nel campo di applicazione della FADP, solo una PMI su due si è attivata finora. Solo il 16% ha già ottenuto informazioni sull'argomento e solo una PMI su dieci ha adottato misure concrete di attuazione. Brigitte Imbach, avvocato e Data Privacy Officer di AXA-ARAG, mette in guardia dal sottovalutare l'impatto della nuova legge sulla protezione dei dati: "Con la revisione totale della legge svizzera sulla protezione dei dati, a partire da settembre 2023 cambieranno importanti disposizioni sul trattamento dei dati personali, e anche le piccole e medie imprese ne saranno interessate".

Le violazioni intenzionali della nuova legge sulla protezione dei dati, come ad esempio le violazioni degli obblighi di informazione, di comunicazione, di collaborazione o di diligenza, possono essere sanzionate con multe fino a 250.000 franchi svizzeri. In linea di principio, la persona fisica responsabile viene multata. Tuttavia, anche l'azienda stessa può essere multata fino a 50.000 franchi svizzeri se l'identificazione del colpevole all'interno dell'azienda comporta costi di indagine sproporzionati. "Le PMI sono quindi invitate a implementare per tempo i nuovi requisiti legali in materia di protezione dei dati nella loro azienda e a rivedere le loro dichiarazioni e linee guida sulla protezione dei dati e ad adattarle di conseguenza. Chi non ha le competenze necessarie all'interno dell'azienda dovrebbe cercare un supporto e una consulenza esterna", consiglia l'esperto.

Fonte: AXA