Le piccole e medie imprese italiane ed europee si sentono pronte ad affrontare un attacco informatico. I numeri, però, raccontano che solo una minoranza ha davvero testato la propria capacità di reagire a una violazione, mentre la maggior parte delle organizzazioni continua a confondere la fiducia con la preparazione effettiva.
È un equivoco pericoloso, perché la cyber readiness – la capacità reale di un’organizzazione di prepararsi, resistere e recuperare da un attacco informatico – non si misura dalla sensazione di sicurezza percepita ma dall’efficacia delle misure messe in campo, dal patching quotidiano alla formazione del personale.
Michal Jankech, Vice President of Enterprise, SMB & MSP di ESET, e Jake Moore, Global Cybersecurity Advisor di ESET, offrono due prospettive complementari per spiegare su questo scollamento. Uno parla di numeri, budget e priorità delle piccole e medie imprese, l’altro di comportamenti, abitudini e psicologia degli attaccanti.
Messe insieme, le due testimonianze compongono un quadro coerente in cui la cyber readiness non coincide quasi mai con la fiducia che le PMI dichiarano di avere in se stesse e nell’efficacia delle proprie contromisure.
Il paradosso della fiducia
Prima di entrare nel merito delle priorità tecniche, vale la pena fermarsi su un’evidenza che entrambi gli intervistati sottolineano, pur partendo da prospettive diverse: la distanza tra ciò che le PMI dicono di vivere quotidianamente e ciò che i dati raccontano davvero.
La resilienza cyber percepita e il divario rispetto a quella effettiva
ESET ha condotto una ricerca sulla sicurezza, il 2026 Cyber Readiness Index Report, realizzato su un campione di 4.400 realtà appartenenti a 13 geografie, con un’organizzazione che spazia dalle 25 alle 1.000 postazioni utente.
Dai risultati emerge un dato che ha sorpreso lo stesso manager: «Il 45% delle PMI ha subito almeno un incidente di sicurezza nel corso dell’ultimo anno, ma 3/4 degli interpellati si sentono confidenti rispetto alla capacità di resilienza della propria organizzazione».
Un divario enorme tra il percepito e la realtà, che Jankech smonta pezzo per pezzo nel corso dell’intervista. «Quando si restringe il campione alle organizzazioni più piccole, quelle che hanno al massimo 250 postazioni, l’incidenza degli attacchi scende e solo un quarto del campione ammette di averne subito uno. Le aziende più piccole, semplicemente, sono bersagli meno appetibili per i cybercriminali O, perlomeno, lo erano. Sì, perché l’avvento dell’AI generativa ha cambiato tutto».
Il ruolo della GenAI, che rende più appetibili gli attacchi cyber alle PMI
L’intelligenza artificiale generativa ha abbattuto le barriere tecniche che fino a poco tempo fa rendevano le piccole imprese obiettivi marginali per i cybercriminali. E-mail di phishing scritte in un italiano impeccabile, deepfake capaci di imitare la voce di un amministratore delegato per autorizzare un bonifico urgente, video sintetici utilizzati in finte videochiamate di conferma… Strumenti che un tempo richiedevano competenze linguistiche o tecniche specifiche oggi sono accessibili a chiunque con un abbonamento a basso costo. «Questo significa – osserva Jankech – che c’è forse più convenienza a colpire una PMI rispetto a una grande azienda, perché il costo di produzione di un attacco mirato e credibile è crollato, mentre il potenziale ritorno resta comunque interessante per i criminali, anche in virtù del fatto che la cyber readiness di una piccola e media impresa è solitamente inferiore a quello di una grande azienda».
Le piccole organizzazioni, che fino a ieri potevano contare su una sorta di “sicurezza per disinteresse”, si trovano quindi esposte a tecniche di ingegneria sociale sempre più sofisticate, capaci di superare i controlli umani basati sul riconoscimento di errori grammaticali o di voci familiari, che per anni hanno costituito una linea di difesa informale ma efficace.
I tre fattori che favoriscono il falso senso di sicurezza
Il punto più interessante, secondo Jankech, riguarda la definizione stessa di resilienza. Una PMI a cui viene chiesto “ti senti sicuro della tua resilienza cyber?” risponde in base a un’idea di sopravvivenza, non di prevenzione.
«La domanda vera da porsi non è se l’azienda sarà nella condizione di riuscire a evitare un attacco, ma se sarà in grado di rialzarsi dopo averlo subito».
Jankech individua i tre fattori che spingono in alto la self-confidence delle organizzazioni rispetto alla propria postura di sicurezza: «La presenza di coperture assicurative che garantiscono un risarcimento economico in caso di violazione; il peso degli investimenti già fatti in passato in sistemi di backup e piani operativi che permettono un recupero rapido e, infine, una soglia di percezione dell’attacco che, inconsciamente o volutamente, esclude gli episodi bloccati dalle tecnologie di protezione, anche se si tratta a conti fatti di eventi tecnicamente rilevanti».
Per spiegare la differenza tra rischio di un incidente cyber e probabilità di sopravvivenza all’attacco, Jankech ricorre a un paragone automobilistico: «La probabilità di un sinistro non cambia significativamente tra un’auto di trent’anni fa e un modello moderno, ma le probabilità di sopravvivenza con gli airbag di oggi sono molto più alte. Lo stesso vale per le aziende. Gli attacchi continueranno a susseguirsi a ritmi sempre più serrati in futuro, ma una PMI con i fondamentali in ordine ha più chance di uscirne senza un’interruzione operativa che, come sappiamo, può costare davvero cara».
I cybercriminali sono pigri
Jake Moore arriva a una conclusione molto simile pur partendo da un punto di osservazione diverso, quello del comportamento criminale piuttosto che della percezione aziendale.
Alla domanda sulle minacce più rilevanti per i prossimi 12-24 mesi, la risposta è, per certi versi, spiazzante: «I problemi restano gli stessi da anni, perché i criminali sono pigri e l’intelligenza artificiale serve loro più per scalare gli attacchi già noti che per inventarne di nuovi».
Per Moore i pericoli principali rimangono le vulnerabilità della Supply Chain e il ransomware, vettori che permettono ai gruppi criminali di muoversi indisturbati all’interno dei sistemi informativi aziendali colpendo i punti più deboli della catena di fornitura, tipicamente tramite phishing o furto di credenziali.
Le basi della Cyber Hygiene per le PMI
Una volta chiarito il divario tra percezione e realtà, la domanda dirimente sotto il profilo operativo diventa “Da dove deve partire concretamente una PMI con risorse limitate?”.
Il modello “casa, allarme, squadra di risposta”
Jankech, per rispondere alla questione, costruisce un’analogia immobiliare che ricorre più volte nell’intervista, ispirata, come racconta lui stesso, alla classificazione “Core, Premium, Ultimate” usata internamente in ESET per descrivere i livelli di sicurezza implementati in azienda.
Al primo livello (Core) c’è la casa con porte e finestre chiuse: patching costante, autenticazione a due fattori su tutti gli asset e igiene informatica di base.
Solo dopo aver coperto questo livello ha senso passare al secondo (Premium), che trasposto alla casa è rappresentato dall’impianto d’allarme. Jankech sconsiglia esplicitamente alle PMI di fermarsi qui «perché installare un sistema di questo tipo senza prevedere che ci sia qualcuno deputato a rispondere alle notifiche genera solo falsi positivi e frustrazione».
Meglio, quindi, saltare direttamente al terzo livello (Ultime), quello della supervisione esterna – il termine con cui ESET ha sostituito la sigla MDR (Managed Detection and Response) perché, come rivela la ricerca, il 75% delle PMI intervistate non conosce o non comprende questo acronimo tecnico.
Il principio di fondo, ribadito più volte da Jankech, è che l’investimento in tecnologia senza le persone che lo gestiscono è denaro sprecato, soprattutto quando si tratta di garantire una copertura copertura continuativa sulle 24 ore che è, oggi, assolutamente necessaria. Statistiche interne di ESET confermano che la maggior parte degli incidenti avviene, infatti, al di fuori dell’orario lavorativo o nei weekend.
Prima di tutto, aggiornare
Invitato a suggerire alle PMI le misure di sicurezza da adottare con urgenza, Moore non ha dubbi: patching. Gli aggiornamenti di sicurezza, spiega, «lavorano costantemente dietro le quinte per rafforzare la protezione dei dispositivi. Ignorarli è come installare un sistema d’allarme e poi lasciare la porta d’ingresso della propria abitazione spalancata».
Ma la tecnologia, da sola, non basta. La seconda priorità riguarda le persone e il modo in cui vengono preparate ad affrontare le minacce informatiche. Secondo il manager, infatti, i tradizionali corsi di formazione sono spesso percepiti come semplici adempimenti burocratici, da completare rapidamente senza un reale coinvolgimento.
La soluzione è puntare su approcci più immersivi, come la gamification e le simulazioni di attacco realistiche: «Scenari che coinvolgano l’intera organizzazione, dall’addetto alle pulizie al CEO, perché durante un attacco reale nessuno può chiamarsi fuori dal proprio ruolo. Solo l’allenamento consente, infatti, di reagire nel modo corretto quando conta davvero».
Il prezzo della sicurezza: quanto sono disposte a pagare le PMI (e quanto costa davvero)
Una volta definite le priorità tecnologiche e organizzative, emerge però la sfida che molte aziende considerano la più complessa da affrontare: quella delle risorse economiche.
Rafforzare la sicurezza informatica e la cyber readiness richiede investimenti continui in tecnologie, aggiornamenti, formazione e competenze specialistiche, ma non sempre i budget disponibili crescono allo stesso ritmo delle minacce.
È proprio su questo tema che Jankech porta alla luce uno degli aspetti più critici e, per certi versi, più scomodi emersi dalla ricerca ESET: la distanza tra la crescente consapevolezza dei rischi cyber e le risorse che le organizzazioni sono disposte a destinare alla loro mitigazione.
Il divario tra disponibilità a pagare e costo reale di un servizio MDR
Alla domanda su quanto le PMI sarebbero disposte a investire in sicurezza avanzata, la maggioranza degli intervistati nella survey ha indicato una cifra attorno ai 62 euro per dispositivo all’anno. Un budget insufficiente, visto che «qualsiasi MDR oggi costa più del doppio – osserva Jankech – e che un servizio MSP completo costerebbe una somma equivalente, ma calcolata su base mensile e non annuale».
Un divario che, secondo Jankech, conferma come la sicurezza sia spesso una priorità dichiarata a parole ma non sostenuta da un budget coerente. Questo finché un incidente reale non cambia le carte in tavola. I dati della ricerca mostrano, infatti, che le aziende già colpite in passato investono in media il doppio rispetto a quelle che non hanno ancora subito un attacco.
Il rischio nascosto nell’uso non governato dell’intelligenza artificiale
Un ultimo dato della ricerca ESET riguarda l’intelligenza artificiale generativa: il 73% delle PMI intervistate dichiara di utilizzarla e la maggioranza la percepisce come potenzialmente pericolosa. Tuttavia, solo una minima parte (40%) degli intervistati ha strutturato una governance interna ad hoc sul suo utilizzo.
Jankech sottolinea che «il rischio principale non riguarda l’AI in sé, ma l’esfiltrazione involontaria di dati sensibili verso modelli pubblici perché ogni informazione condivisa con un chatbot di terze parti rischia di diventare proprietà del fornitore del modello».
Scam bot e attacchi multilivello
Per Moore, la vera sfida nei prossimi 24 mesi sarà la diffusione crescente di attacchi multilivello – un messaggio di testo seguito da una chiamata e poi da un’email – costruiti con l’AI per insinuarsi facilmente nella mente della vittima più che nei sistemi tecnici, resi ancora più subdoli dall’arrivo di scam bot agentici in grado di automatizzare l’inganno su scala.
Un fenomeno che rende ancora più urgente l’applicazione del principio “casa, allarme, squadra di risposta” illustrato da Jankech. Se l’attacco non punta più a violare un singolo sistema ma a manipolare progressivamente la psicologia di chi lo subisce, la difesa non può ridursi a un singolo strumento tecnologico, per quanto avanzato. Serve una combinazione di igiene informatica di base, capacità di rilevamento e, soprattutto, persone allenate a riconoscere pattern sospetti anche quando arrivano da canali diversi e apparentemente scollegati tra loro.
Un dipendente che riceve un SMS, poi una telefonata e infine un messaggio di posta elettronica coerenti tra loro nel racconto difficilmente alzerà le difese se non è stato già esposto in precedenza a simulazioni realistiche di questo tipo di inganno.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Annalisa Casali
Source link
