A quanto possono ammontare, non solo dal punto di vista economico, i danni derivanti da una scarsa protezione dei sistemi informatici da attacchi esterni (cybercrimes) o da attacchi interni (furti di dati, fuga di informazioni riservate o segreti industriali da parte di personale interno)?

Un attacco diretto può avere conseguenze più o meno gravi, a seconda delle protezioni che difendono le informazioni dell’azienda colpita e dell’intensità dell’offensiva: se questa ha successo anche solo in minima parte, la ditta bersagliata dovrà affrontare dei costi e delle problematiche non indifferenti.

Come sono organizzate le aziende italiane? 

Innanzitutto, va detto che in Italia il problema degli attacchi informatici è meno pressante che in altri Stati, come per esempio in Germania o Gran Bretagna, ma forse anche per questo motivo le aziende sono generalmente meno preparate a tentativi di furto di dati: è vero che, secondo i dati raccolti dalla Banca d’Italia, quasi tutti i responsabili alla sicurezza dichiarano che la loro azienda utilizza un antivirus e più della metà prepara i suoi dipendenti sulle norme della sicurezza informatica, ma queste tecniche (per quanto utili nei confronti di malware automatizzati ed altre tipologie di virus) non bastano a proteggere i dati aziendali nel caso gli stessi siano bersaglio di un vero e proprio tentativo di hackeraggio.

Strategie come la cifratura dei dati sono invece decisamente più efficaci, ma anche meno conosciute: meno di un terzo delle ditte le utilizza, più per mancanza di consapevolezza della tecnologia che per riluttanza di investimento in nuove difese. Le aziende che spendono meno (o nulla) nell’ambito della sicurezza informatica sono anche quelle meno bersagliate da attacchi informatici, per via della bassa quantità o rilevanza delle informazioni che custodiscono: succede però spesso, com’è comprensibile, che un furto di dati spinga un’azienda ad investire sul rafforzamento delle sue difese informatiche, affidandosi alle soluzioni di esperti del settore.

Come il GDPR ha cambiato l’approccio alla protezione dei dati

La grande novità in materia di protezione dei dati di quest’anno è senza ombra di dubbio la General Data Protection Regulation, meglio conosciuta come GDPR: tra le tante novità che essa ha apportato al mondo della privacy dei dati c’è l’obbligo di comunicazione al cliente di un’eventuale fuga di dati che lo riguardano.

Se prima di ciò molte aziende non comunicavano queste notizie per non intaccare il loro prestigio personale e non apparire irresponsabili di fronte ai loro clienti, ora sono obbligati a farlo, e per giunta in modo molto chiaro e tempestivo, se non vogliono correre il rischio di incorrere in multe molto salate (dai 3000 ai 18.000 euro di sanzione): se dovessero incorrere in una fuga di dati e le protezioni adottate dai custodi delle informazioni fossero giudicate inappropriate, i titolari delle aziende colpevoli saranno soggetti a sanzioni aggiuntive e, in casi particolari, potranno anche essere accusati penalmente da clienti che si ritengono danneggiati dal furto.

Questo ha portato una grande sensibilizzazione in merito alla protezione dei dati: sono stati infatti registrati investimenti, più o meno grandi, da parte della stragrande maggioranza delle aziende che hanno a che fare con la gestione dei dati personali.

Quanto costa riprendersi da un attacco informatico?

Ovviamente, la risposta a questa domanda varia in base all’entità e all’esito dell’aggressione, ma generalmente i danni si possono quantificare in valute diverse:

• tempo: spesso un attacco, a prescindere dal suo esito, lascia dietro di sé non pochi disordini all’interno della realtà virtuale di un’azienda, e questo comporta un sovraccarico di lavoro da parte dei dipendenti: questo significa che, anche se l’aggressione non provoca danni diretti alle strutture della ditta, genererà un ritardo nei lavori di routine oppure costi extra per le ore lavorative addizionali che costringerà a fare;
• denaro: il prezzo più ovvio da scontare nel caso l’offensiva vada a segno: anche qui è difficile quantificare un costo base per rimediare ai danni, ma possiamo dire che (sempre stando ai dati della Banca d’Italia) quasi la totalità delle aziende colpite spendono meno di 10.000 euro per riportare le cose alla normalità. Se l’anno scorso si è stimata una perdita di circa 5 miliardi di euro per le aziende italiane a causa di furti informatici, nel 2019 è previsto un aumento del danno di oltre 11 miliardi, considerando la preoccupante crescita del numero e della complessità degli attacchi informatici;
• responsabilità penali: come abbiamo anticipato nel paragrafo precedente, il GDPR ha chiarito in modo cristallino che se un’azienda perderà dati sensibili in seguito ad un attacco informatico a causa di difese inadatte, sarà pienamente responsabile e colpevole della fuga di dati, e sarà dunque costretta a pagare una pesante sanzione, alla quale può coesistere un provvedimento penale nel caso il cliente danneggiato decida di sporgere denuncia.

Le migliori soluzioni per proteggere i dati

Appare chiaro che proteggere i dati che custodisci è diventata una priorità: sottovalutare questa particolare area può comportare spese fatali per un’azienda, sia che vengano messi a rischio dati propri dell’azienda che informazioni di clienti custodite nei database.

Le scelte a tua disposizione sono due: contattare dei professionisti per fortificare il perimetro virtuale della tua azienda, oppure essere tu il professionista in questione e diventare il responsabile della sicurezza, previa adeguata preparazione.
In ogni caso, non aspettare di subire un attacco prima di procurarti le giuste difese: prevenire è meglio che curare, e in questo caso potrebbe farti risparmiare parecchi soldi, se non addirittura salvare l’azienda!