Nel primo episodio di questo nostro viaggio nel mondo della cybersecurity, fatto con l’idea di capirla e raccontarla con chiarezza e semplicità, abbiamo detto che la sicurezza informatica è come l’acqua: non se ne può fare a meno. Sì, ok: non l’abbiamo detto noi ma Buki Carmeli, l’ex responsabile dell’Agenzia nazionale israeliana dedicata a questo tema, e sappiamo quanto in Israele la parola “sicurezza” sia considerata a tutti i livelli. Insomma, Carmeli è uno che ne sa.

Tuttavia, un metodo efficace per capire l’importanza di una questione è metterla sul piano dei soldi: se un problema ti costa tanto, allora è importante. Bene, la cybersecurity lo è. O meglio, la cybersecurity è importante perché altrettanto lo è il cybercrime, i reati informatici: il loro impatto in termini economici è – per usare un eufemismo – notevole.

I costi del cybercrime: i numeri

Ancora una volta sono i numeri a darci una mano per comprendere la dimensione del fenomeno. E quindi:

2015 – nel mondo si sono persi 445 miliardi di dollari per la tutela della proprietà intellettuale, per quanto è stato distrutto dall’azione dei criminali e per cercare un rimedio ai danni da loro inferti. Sempre quell’anno – secondo Warren Singer, direttore del Centro per la Sicurezza del 21 secolo, istituito presso la Brookings Institution – il 97% delle aziende che la rivista Fortune elenca come le più capitalizzate ha subito almeno un attacco.

2016 – i danni del cybercrime sono valutati a livello globale in 650 miliardi di dollari. Le stime per il futuro sono discordanti ma in ogni casi preoccupanti: da un lato abbiamo l’IDC, l’International Data Corporation, che prevede entro il 2020 danni per 1000 miliardi di dollari; da un altro lato, Juniper Research ritiene che l’ammontare sarà di 2000 miliardi di dollari, ed entro la fine di quest’anno. 

Quest’ultima cifra corrisponde più o meno al PIL di un paese come il nostro; ma attenzione, guardiamo all’impatto che proprio sul PIL ha il Cybercrime. Prendiamo il Stati Uniti, che sono ancora il paese leader dell’IT mondiale, e vediamo che subisce una perdita compresa tra i 57 e i 109 miliardi di dollari all’anno. Si parla, in percentuale, di una forbice compresa tra lo 0,3% e lo 0,6% del PIL. Ora, se pensiamo che le previsioni di crescita del prodotto interno lordo Negli States sono del 3,2%, si capisce quanto il cybercrime tolga alla ricchezza nazionale. 

I costi del cybercrime: l’Italia

E l’Italia? Uno potrebbe pensare: beh, gli Stati Uniti sono il leader mondiale dell’IT, e quindi è ovvio che l’azione criminale si concentri su di loro.

L’Italia è, come spesso accade, provincia dell’Impero e quindi sarà molto meno esposta. Ecco, non è un pensiero corretto. Gli Stati Uniti hanno una cultura informatica molto più diffusa che da noi, dove i rigurgiti di tecnofobia sono piuttosto frequenti impediscono l’affermazione di una consapevolezza matura sulle tecnologie, sul loro ruolo e sulla loro importanza. E allora non è un caso che il Clusit, cioè il punto di riferimento nazionale sulla cybersecurity, che dal 2011 redige un rapporto considerato un po’ la bibbia del settore per capirne lo stato dell’arte, ci dica che tra il 2015 e il 2016 gli attacchi informatici compiuti mediante Phishing e Social Engineering sono cresciuti del 1.166% (tra il 2014 e il 2015 l’incremento era solo del 30%). E il rapporto Clusit 2018 rileva che il 45% delle aziende è stata colpita da attacchi, che il valore del cybercrime è di circa 10 miliardi di euro e che quella cifra corriponde allo 0,5% del nostro PIL.

Ora, tutti leggiamo le notizie. E sappiamo quanto viene detto e scritto sull’Italia che cresce poco, sempre nell’ordine dello “zero virgola”. Ebbene, è così: previsioni di crescita del nostro PIL per il 2019 sono dello 0,2%. Facciamo il confronto: crescita, 0,2%, danni da crimine informatico 0,5% del PIL. E’ chiaro, ora, quanto in Italia il crimine informatico sia ancor più dannoso che altrove.

I costi del cybercrime: la buona notizia

Ok, lo scenario è fosco. Ma c’è qualche buona notizia? Sì, una: le aziende investono di più in cybersecurity di quanto facciano in passato. Per esempio, ci dice sempre il clusit, nel 2017 l’incremento di spesa è stato del 12% rispetto al 2016, cioè ben di più del tasso da 4-6% che ha caratterizzato per anni l’andamento medio. Tuttavia, in termini assoluti, i livelli non sono ancora adeguati, perché sempre nel 2017, a fronte di investimenti totali in IT per 76 miliardi di euro, solo 1 miliardo (pper la precisione, 1 miliardo e 90 milioni) sono stati destinati alla sicurezza informatica.

Secondo la Banca d’Italia, l’anno prima – 2016 – le aziende italiane hanno fatto un investimento medio di 4.530 euro l’una. Ripetiamo: 4.530 euro. Questo, come precisa lo studio di Bankitalia, significa una cosa: finché non si è colpiti, non si agisce. Per decenni la pubblicità di un noto dentifricio ci ha detto che “prevenire è meglio che curare”: evidentemente, ciò è valido solo per il cavo orale.

Insomma, c’è da lavorare. C’è da prevenire, c’è da essere più consapevoli del rischio. C’è da capire – per tornare a Buki Carmeli – che senza acqua non si vive. E c’è da capire che quando parliamo di cybersecurity il tema è trasversale. Cosa vuol dire? Vuol dire che la competenza, in azienda, non è solo del reparto IT. Da lì, piuttosto, deve partire un’opera di divulgazione dei concetti base della materia, così che anche l’impiegato più a digiuno di informatica sappia in ogni caso che il suo cellulare e il suo computer non solo sono gadget o strumenti di lavoro, ma sono porte dalle quali transitano i malintenzionati. E che quindi vanno tenute chiuse.