La criminalità informatica e le PMI

L’Istituto Interregionale per la Ricerca sul Crimine e la Giustizia (UNICRI), con il supporto della Cassa di Risparmio di Lucca, ha condotto una ricerca su “La Criminalità informatica e i rischi per l’economia e le imprese Italiane ed europee”. Il fenomeno dei crimini informatici, che nell’ultimo decennio ha avuto una forte crescita, ha un costo per l’economia globale stimato tra i 375 e i 575 miliardi di dollari l’anno.[1]
Secondo l’Interpol il costo dei crimini informatici in Europa avrebbe raggiunto i 750 miliardi di euro all’anno. [2]

L’impatto dei crimini informatici sull’economia dei paesi è enorme e non riguarda solo le grandi imprese, ma sempre più anche le PMI. Il fenomeno ha infatti portata trasversale e colpisce indiscriminatamente tutte le imprese, non solamente quelle del settore informatico o altamente specializzate. La ricerca ha avuto lo scopo di fornire un quadro sulle conseguenze economiche di questo fenomeno ed una valutazione dei rischi e delle vulnerabilità delle piccole e medie imprese. Queste ultime sono un pilastro della struttura economica e sociale europea, rappresentando infatti il 99,9% delle imprese italiane, producendo il 68% della ricchezza nazionale totale ed offrendo impiego a 12 milioni di persone.[3] La ricerca ha preso in esame l’impatto dei crimini informatici a livello internazionale, italiano e locale, attraverso un focus specifico sul territorio, interviste mirate ed analisi di casi studio. Tali attività hanno quindi poi consentito di mettere a fuoco una strategia per una corretta definizione di programmi di prevenzione e contrasto alla criminalità informatica specificatamente indicati per le PMI.

In Italia, solo il 10 % delle aziende è al passo coi tempi nella data protection, mentre negli ultimi 12 mesi ben l’80% delle imprese ha registrato un blocco nei sistemi informatici, che ha causato per il 38% una perdita della produttività, per il 22% un decremento del fatturato e per il 36% un ritardo nello sviluppo di un prodotto. Le aziende italiane hanno così perso ben 9 miliardi di dollari a causa della perdita dei propri dati sensibili negli ultimi 12 mesi. Una cifra che sale a 14,1 miliardi di dollari se si sommano le perdite derivanti dalle interruzioni operative dei sistemi informatici.[4]

Complessivamente, è emersa l’ esigenza di investire in formazione, promuovendo una maggiore conoscenza del fenomeno e consapevolezza dei rischi, non solo tra gli informatici. Anche titolari di aziende e consigli di amministrazione dovrebbero essere informati al fine di promuovere contromisure e politiche concertate, al fine di creare network ed aumentare il dialogo e la diffusione di buone prassi. Inoltre, sono state riscontrate difficoltà per il sistema investigativo e giudiziario nel far fronte a questo tipo di crimine, a causa del suo forte carattere transnazionale. Proprio perché necessari interventi a livello sovranazionale, nel 2013 l’Unione Europea ha adottato una strategia cibernetica, invitando gli Stati Membri a fare altrettanto: nel 2014 anche l’Italia si è a sua volta dotata di un Quadro strategico nazionale per la sicurezza dello spazio cibernetico. Tuttavia, la lotta ai crimini informatici necessita, non solo di azioni legislative incisive, ma anche di azioni da parte delle forze dell’ordine, di strumenti adeguati e cooperazione.

Si è constatato inoltre come molte azioni difensive possano essere messe in atto anche a costi limitati. Oltre alle politiche di sicurezza interna, è necessario incentivare la condivisione delle informazioni a più livelli. A livello preventivo, prima che si verifichi un attacco, la condivisione di buone prassi e informazioni sulle minacce con aziende della filiera, associazioni di categoria e forze dell’ordine può consentire di mettere in atto delle contromisure.

A livello operativo, durante o dopo un attacco, la condivisione può aumentare la resilienza del sistema e le capacità di mitigare i danni subiti. Infine, le informazioni raccolte in questa ricerca hanno permesso di costruire un percorso basato sullo sviluppo di due progetti complementari. Il primo ha lo scopo di aumentare la conoscenza e la condivisione di informazioni su due diversi livelli aziendali e riguarda l’organizzazione di seminari, workshop e corsi di formazione differenziati per tutti gli attori diversamente coinvolti nel sistema produttivo. Il secondo progetto prevede la realizzazione di tavole rotonde tra diverse figure professionali, quali i rappresentanti delle PMI nel settore merceologico, le forze dell’ordine, le associazioni di categoria, le università ed esperti legali. Lo scopo di questo progetto consiste nel favorire l’individuazione di referenti delle piccole e medie imprese al fine di creare una rete che alimenti la conoscenza in questo settore e che possa diventare un esempio virtuoso per la prevenzione. Scopo finale dei progetti è quindi la creazione di network che possano promuovere una vera cultura della sicurezza ed offrire una garanzia di costante aggiornamento sulle buone prassi.

NOTE

1. Net Losses: Estimating the Global Cost of Cybercrime Economic impact of cybercrime II Center for Strategic and International Studies June 2014, in <http://www.mcafee.com/ca/resources/reports/rp-economic-impact-cybercrime2.pdf> (ultima consultazione 6-11-2014).
2. Opening Remarks by INTERPOL PRESIDENT KHOO BOON HUI. At the 41ST EUROPEAN REGIONAL CONFERENCE (ISRAEL, TEL AVIV, 8 MAY 2012), in <http://www.interpol.int/content/download/14086/99246/version/1/file/41ERCKhoo-Opening-Speech.pdf> (ultima consultazione 10-11- 2014).
3. Ricciardi Antonio (2010), Le Pmi localizzate nei distretti industriali: vantaggi competitivi, evoluzione organizzativa, prospettive future, in Quaderni di ricerca sull’artigianato N°54 Rivista di Economia, Cultura e Ricerca sociale dell’Associazione Artigiani e Piccole Imprese Mestre CGIA A cura del Centro Studi Sintesi, in <http://www.quaderniartigianato.com/wp-content/uploads/2011/05/Quaderni-N%C2%B054.pdf> (ultima consultazione 11-11-2014).
4. Emc Global Data Protection Index in <http://www.emc.com/microsites/emc-global-data-protection-index/index.htm> (ultima consultazione 8-12-2014).

A cura di Francesca Bosco, Project officer on Cyber-Crime and Cyber-security, UNICRI e Lucia Lunardi, Junior researcher

Articolo pubblicato sulla rivista ICT Security – Gennaio/Febbraio 2015