Nel corso degli ultimi anni, grazie anche all’evoluzione della normativa, le aziende hanno iniziato a rendersi conto che la sicurezza informatica non
Nel corso degli ultimi anni, grazie anche all’evoluzione della normativa, le aziende hanno iniziato a rendersi conto che la sicurezza informatica non è un tema solo tecnico, ma trasversale a tutte le divisioni. L’istituzione di responsabilità legali per i direttori e manager d’impresa ha portato i consigli d’amministrazione, gli imprenditori e i direttori generali ad avvicinarsi a questo difficile tema, con esiti altalenanti. Il “Global Cyber Directors and Officers Survey 2025”, condotto da Willis Global FINEX, fornisce un’analisi dettagliata delle percezioni e delle strategie adottate dai leader aziendali, mostrando quanto il loro approccio sia diverso rispetto a quello degli esperti di cybersecurity. Questo studio, basato sulle risposte di direttori, dirigenti e risk manager a livello globale, offre una visione d’insieme sulla distribuzione delle aziende intervistate per tipologia, fatturato e settore, con una forte rappresentanza di società a scopo di lucro, sia private (56%) che quotate (32%). I settori dei servizi, dei trasporti e della vendita al dettaglio, nonché della finanza e delle assicurazioni, costituiscono la quota maggiore dei partecipanti. Un terzo delle aziende interessate ha un fatturato che arriva fino a 30 milioni di dollari, un terzo hanno un fatturato compreso tra i 30milioni e il miliardo di dollari e l’ultimo terzo fattura oltre il miliardo.
Le preoccupazioni primarie: Il cyber al centro dell’attenzione
Una delle conclusioni più significative del rapporto è la conferma che i rischi legati alla sicurezza informatica continuano a essere una fonte di grande ansia per le figure apicali delle organizzazioni. In particolare, la perdita di dati e gli attacchi informatici sono stati individuati come due delle tre principali preoccupazioni, affiancando, e talvolta superando in importanza, la salute e la sicurezza sul lavoro. Questa costante classificazione ai vertici dimostra la gravità e l’impatto potenziale di tali eventi sia dal punto di vista finanziario che reputazionale.
Analizzando più a fondo queste preoccupazioni, emergono distinzioni interessanti a livello geografico e settoriale. Da una prospettiva regionale, gli attacchi informatici e/o la perdita di dati si posizionano costantemente tra le prime tre minacce in sette delle otto regioni esaminate. Ad esempio, la Gran Bretagna ha classificato l’attacco informatico come il rischio numero uno, mentre Nord America e Medio Oriente hanno visto la perdita di dati come la loro principale preoccupazione. È degno di nota che l’Africa sia stata l’unica regione in cui né l’attacco informatico né la perdita di dati sono figurati tra i primi tre rischi.
Dal punto di vista industriale, gli attacchi informatici e/o la perdita di dati sono stati classificati tra i primi tre rischi in tutti i settori. Per l’industria finanziaria e assicurativa, i servizi, i trasporti e la vendita al dettaglio, questi rischi sono stati particolarmente salienti; nel settore dell’energia e delle utilities, a differenza dell’anno precedente, la perdita di dati è ora presente tra i primi sette rischi. Queste tendenze sottolineano come la minaccia cyber sia trasversale e pervasiva, adattandosi alle specificità di ogni contesto operativo.
Quando si parla di rischi specifici legati all’esposizione cyber, il rapporto evidenzia che gli intervistati sono maggiormente preoccupati per gli attacchi di phishing e l’ingegneria sociale, i ransomware e le debolezze nei sistemi e controlli di cybersecurity. Queste tre tipologie di minacce rivelano quanto ancora sia poco diffusa la reale conoscenza della sicurezza informatica tra i manager. Infatti, il contesto attuale degli incidenti dovrebbe puntare per lo più a limitare le vulnerabilità nella catena di approvvigionamento, governare in maniera rigida l’uso dell’intelligenza artificiale e stilare i rischi connessi alle nuove tecnologie. Tutte operazioni che sono, invece, molto in basso nella classifica. Questo potrebbe indicare una percezione distorta rispetto alla realtà delle perdite subite e che sottolinea l’importanza di avere personale molto competente che si occupa della cybersecurity, in grado di gestire correttamente le minacce nonostante gli input un po’ confusi che possano arrivare dalla dirigenza.
La risposta organizzativa: strategie e preparazione
Di fronte a queste minacce, le organizzazioni non stanno con le mani in mano. Il rapporto rivela che la grande maggioranza degli intervistati (80%) ha implementato un piano di risposta agli incidenti cyber. Una cosa che TUTTE le aziende dovrebbe fare e che è alla base della resilienza del business, ma che fino a pochi anni fa era estremamente rara. Non solo, oltre i due terzi hanno condotto un’esercitazione di risposta agli incidenti negli ultimi dodici mesi. Questo livello di preparazione è un fattore chiave che ha contribuito a un aumento significativo delle organizzazioni che si sentono ben pronte a gestire efficacemente un incidente cyber (65% nel 2025 rispetto al 56% nel 2024). Le aziende di maggiori dimensioni in particolare mostrano una maggiore fiducia nella loro preparazione.
Il ruolo della leadership è indiscutibile in questo contesto. Il consiglio di amministrazione, il CEO e i team di leadership senior continuano a svolgere un ruolo centrale nella sponsorizzazione e nella supervisione della strategia di rischio cyber dell’organizzazione. Tuttavia, il rapporto rileva anche un crescente coinvolgimento di figure esterne alla leadership senior, come i CISO (Chief Information Security Officers), suggerendo una sempre maggiore necessità di coinvolgere sia gli stakeholder strategici che quelli tecnici per una gestione più efficace del rischio cyber. Interessanti variazioni regionali emergono, con l’America Latina e il Medio Oriente che mostrano un coinvolgimento significativamente più elevato del dipartimento IT nella supervisione della strategia di rischio cyber.
In termini di allocazione delle risorse, i budget per la cybersecurity sono destinati ad aumentare nel 2025, sebbene in misura inferiore rispetto all’anno precedente (56% nel 2025 contro 63% nel 2024). Nonostante ciò, i responsabili si sentono sempre meglio informati riguardo al proprio budget per la cybersecurity e alle iniziative che incidono sui livelli di rischio
Il ruolo dell’Assicurazione Cyber
L’assicurazione cyber rimane un tassello molto importante nella strategia di gestione del rischio informatico per la maggior parte degli intervistati. Più della metà delle organizzazioni (53%) ha già una copertura assicurativa cyber in atto, e un ulteriore 38% prevede di acquistarla nei prossimi due anni. La tendenza dominante è l’acquisto di una polizza cyber autonoma piuttosto che come parte di una polizza combinata. Questo evidenzia la crescente importanza e specificità di questa copertura.
Per quanto riguarda l’allocazione del premio assicurativo, il 44% degli intervistati lo include nel budget di cybersecurity, mentre il 56% lo gestisce separatamente. Questa distinzione suggerisce che l’assicurazione cyber è sempre più percepita come una componente integrante, e non separata, del programma complessivo di sicurezza informatica di un’organizzazione.
«Le soluzioni assicurative – dice Niccolò Campadello, Deputy Team Leader Placement Cyber Crime and Professional Indemnity di WTW – hanno un ruolo sempre più rilevante: si stima che le dimensioni del mercato globale delle assicurazioni per la cybersecurity passeranno da 14 miliardi di dollari nel 2023 a 29 miliardi nel 2027. In questo contesto, le aziende si stanno progressivamente organizzando per adottare strumenti di difesa a questo tipo di minaccia, in primis grazie a soluzioni ancora poco utilizzate come le polizze Cyber e le polizze Crime».
di Giancarlo Calzetta
Fonte: ilsole24ore.com
