I tanti adempimenti previsti dalle norme sulla cybersicurezza possono danneggiare la competitività aziendale: lo afferma il 74% delle imprese in Italia in un sondaggio condotto dall’Istituto per la competitività, I-Com, all’interno del Rapporto “La sfida della cibersicurezza per un’Italia sempre più digitale. Politiche, competenze, regole” (SCARICA QUI IL REPORT COMPLETO).
Questo impatto negativo si lega principalmente agli oneri burocratici e amministrativi richiesti, ma anche agli investimenti tecnico-organizzativi necessari alla compliance. Il processo di conformità è ostacolato innanzitutto dalla mancanza di competenze, nonché dall’incertezza interpretativa delle norme e dalla moltiplicazione di prescrizioni che impongono adempimenti diversi.
Secondo il presidente di I-Com, Stefano da Empoli, è “Cruciale insistere sul rafforzamento della cultura di base in cybersicurezza e investire su iniziative idonee a formare i cittadini, affinché acquisiscano al meglio queste capacità. Molte delle iniziative già attive in questo campo nascono e si sviluppano anche grazie al settore privato, spesso in collaborazione e/o col patrocinio di enti pubblici – ha proseguito da Empoli. – Appare dunque utile che queste forme di collaborazione pubblico-privato possano essere rafforzate e messe maggiormente a sistema”.
Per il direttore generale dell’Agenzia per la cybersicurezza nazionale (Acn), prefetto Bruno Frattasi, intervenuto al convegno di presentazione dello studio I-Com, “La cybersicurezza è un tema nazionale, non legato alla singola impresa. È un tema generale di competitività del Paese che non può essere trascurato. Il ritorno che una Pmi può avere nel breve termine, investendo in cybersicurezza, è poco, ma nel medio-lungo è tanto. Bisogna fare capire alle Pmi che, se non raggiungeranno presto la maturità sulla sicurezza, probabilmente saranno votate a una sparizione dal mercato”.
Cybersecurity, troppi adempimenti minacciano la competitività
Lo studio del think tank guidato dall’economista Stefano da Empoli fornisce una panoramica sullo stato dell’arte della cybersicurezza in Italia e in Europa sotto molteplici punti di vista, dagli approcci normativi al grado di sicurezza e agli attacchi subiti da aziende e istituzioni pubbliche, dai sistemi di certificazione all’awareness di imprese e cittadini.
Tra agosto e ottobre 2023 I-Com ha condotto un’indagine con l’obiettivo di verificare la rispondenza applicativa del quadro regolatorio europeo e nazionale in materia di cybersecurity, con particolare riferimento al Perimetro di sicurezza nazionale cibernetica (Psnc), coinvolgendo aziende appartenenti a vari settori e avvalendosi anche del sostegno di alcune delle principali associazioni di categoria.
Tra i risultati spicca la quota degli esponenti delle imprese convinti che il crescente numero di adempimenti richiesti dalle normative in cybersicurezza possa impattare sulla competitività aziendale. In particolare, per il 39% delle grandi imprese la principale criticità è legata agli investimenti tecnico-organizzativi necessari alla compliance, mentre il 54% delle aziende di medie dimensioni si concentra prettamente sulla numerosità degli oneri burocratici e amministrativi; infine, il 29% delle piccole imprese si preoccupa prioritariamente dell’effetto sui rapporti con la supply chain.
La mancanza di competenze e awareness
Tra i fattori che rendono più difficoltosa la compliance rispetto alle norme in materia di cybersecurity si segnalano la mancanza di competenze idonee sia internamente, sia sul mercato del lavoro (51,2% delle risposte in totale), seguita dall’incertezza interpretativa della normativa (44%) e dalla moltiplicazione – a volte disorganica – di prescrizioni che impongono adempimenti diversi, ma che sono tese al raggiungimento del medesimo obiettivo (41%).
Le aziende citano anche la mancante (o insufficiente) consapevolezza dei livelli apicali per quanto riguarda l’ambito cybersecurity, nonché l’aspetto rigido e prescrittivo di alcune normative di settore, il che comporterebbe una gestione più costosa e meno efficace nel medio-lungo periodo.
Va notato che quasi due terzi delle imprese rispondenti assegnano meno del 5% del budget It alla cybersecurity. A dedicare tra il 5 e il 15% del budget alla sicurezza sono per lo più le grandi imprese (27), seguite dalle medie (4). Inoltre, vi è un minimo ricorso al ruolo del Customer security manager, presente solo nel 16,8% delle aziende partecipanti, per lo più grandi imprese (16), seguite dalle medie (3) e una sola piccola.
Il nodo delle certificazioni volontarie
In merito all’adozione di una o più certificazioni volontarie di cybersicurezza, la maggior parte delle imprese non ne ha conseguito alcun tipo. Considerando le grandi imprese, il 36% ha già adottato una o più certificazioni, mentre un ulteriore 8% sta lavorando per ottenere la prima entro un anno. Di converso, tra le medie imprese è l’11% ad aver acquisito almeno una certificazione, mentre il 14% intende ottenere la prima entro un anno. Delle piccole imprese, solo 1 ha già adottato una certificazione e un’altra punta a perseguire la prima entro un anno.
Per il 38% il primo ostacolo all’ottenimento di una certificazione volontaria di cybersecurity risiede nei costi elevati del processo di certificazione, chenon sono percepiti come proporzionati ai benefici che ne possono conseguire, mentre quasi il 27% sostiene che i tempi per l’esecuzione della valutazione e il rilascio della certificazione sono troppo lunghi. Appare incoraggiante, invece, che il 70% delle aziende sia d’accordo in merito al fatto che standard comunitari (es. Eucc) possono incentivare le imprese a certificarsi.
L’offerta formativa in Italia è raddoppiata
Per migliorare l’ecosistema cybersecurity in Italia l’81% delle aziende pensa che si dovrebbe puntare sulla consapevolezza e sulla formazione del personale in maniera diversificata per ruolo e competenze. Inoltre, per oltre il 55% del campione sarebbe opportuno superare la logica dei test obbligatori dinanzi al Cvcn in favore dell’accreditamento dei fornitori di fiducia, mentre un 44% opta per un approccio semplificato con tempistiche controllate secondo una valutazione dei rischi basata su criteri standard.
Per comprendere come si sta evolvendo l’offerta formativa italiana in ambito cybersecurity, a partire dal 2022 I-Com ha intrapreso un’attività di monitoraggio delle attività di formazione sulla cibersicurezza nel nostro Paese. Secondo le ultime rilevazioni, effettuate a gennaio 2024, c’è un interesse crescente per queste tematiche da parte del mondo accademico, che a gennaio 2024 presentava 520 tra corsi e insegnamenti relativi alla cybersecurity rispetto ai 234 individuati a inizio 2023.
Il ruolo delle università e degli Its
Nel dettaglio, l’analisi ha registrato 259 insegnamenti singoli all’interno di corsi di laurea magistrale, 105 insegnamenti singoli in lauree triennali, 44 progetti di ricerca in dottorati, 34 lauree magistrali, a fronte di 22 corsi all’interno di dottorati di ricerca, 26 master, 23 corsi singoli all’interno di master di I e II livello e 7 lauree triennali interamente dedicate alla cybersecurity. Il totale delle lauree specifiche (triennali e magistrali) ammonta a 41, ben 15 in più rispetto a quelle rilevate a gennaio 2023. La formazione post-laurea si affianca a quella universitaria con differenze in termini quantitativi piuttosto importanti: tra progetti di ricerca in dottorati e master di primo e secondo livello sono stati conteggiati ben 70 corsi. Nel complesso, la formazione specializzata in materia di cybersicurezza in Italia ha raggiunto quota 111 corsi di studio interamente dedicati.
In relazione alle lauree triennali, magistrali, master e progetti di ricerca in dottorati, il Lazio si conferma la regione più interessata con 26 percorsi complessivi, catalizzando buona parte dell’offerta sia in termini di lauree dedicate (8 tra magistrali e triennali), sia per quanto concerne la specializzazione post-laurea (10 master e 8 progetti di ricerca in dottorato). L’alto numero di master specifici sui temi della cybersicurezza (26) sembra suggerire un’elevata domanda di approfondimento post-laurea su questi temi.
Nell’ambito della formazione superiore, un ruolo di rilievo è rivestito anche dagli Its che hanno lo scopo di formare personale tecnico in aree strategiche per lo sviluppo del tessuto economico del Paese. Come si evince dal monitoraggio Indire e da un’analisi svolta da I-Com, gli Its che si occupano di cybersicurezza sono il 17,6% rispetto al numero complessivo di quelli attivi e l’offerta formativa erogata ha visto l’avvio di un numero considerevole di corsi in sicurezza informatica.
Frattasi: “Acn sta investendo 22 milioni di euro”
Il direttore generale di Acn, Frattasi, ha chiarito che gli investimenti in cybersicurezza sono irrinunciabili: “Vanno fatti, nel pubblico nel privato”, ha detto. “Come sostenerli? L’Acn lo sta facendo, con 22 milioni che nascono da una misura Ue a cui possiamo accedere. Con Confindustria e Generali stiamo facendo un piano di sensibilizzazione delle Pmi per fare comprendere all’uditorio che possono attingere a queste risorse, che sono cospicue ma molto distribuite sono modeste. Possiamo però incrementarle. A capo del centro europeo di competenze abbiamo un italiano, è un successo del nostro paese, frutto del lavoro di squadra tra Governo, Farnesina, Acn. Una scelta strategica perché è lì che c’è l’allocazione delle risorse ed è una buona notizia su cui lavorare. C’è un tema del rapporto tra autorità investigativa, giudiziaria e resilienza – ha proseguito Frattasi – Ora il ransomware è la principale minaccia alla nostra economia. Non è solo la minaccia usata dagli hacker che seguono delle ideologie ma anche dalla criminalità organizzata, in misura maggiore di quanto immaginiamo. Se crediamo in una maggiore esigenza punitiva rispetto a questo – ha concluso il prefetto – diamo una maggiore resilienza al paese”.
Asstel: “La sfida delle competenze al centro dell’attenzione della filiera tlc”
“Le tlc, attraverso i propri asset, hanno sempre sostenuto i processi di innovazione del Paese. Il settore tlc è strategico a livello globale come abilitatore della trasformazione digitale. In questo contesto, le competenze nella cybersecurity giocano un ruolo cruciale. Servono professionisti altamente qualificati in grado di di accompagnare l’innovazione. La collaborazione tra pubblico e privato si misura in questo campo: insieme, possiamo creare alleanze per valorizzare le nuove competenze, per definire profili digitali e percorsi formativi in linea con l’evoluzione del mercato del lavoro”, ha affermato Marco Rendina, responsabile Lavoro e relazioni industriali di Asstel, nel corso dell’evento “La sfida della cybersicurezza per un’Italia sempre più digitale. Politiche, competenze, regole”.
“Per questo la sfida delle competenze e la trasformazione del lavoro sono attualmente al centro dell’attenzione di tutta la filiera tlc. Le imprese attribuiscono grande importanza alla formazione permanente: nel 2022, quasi la totalità dei lavoratori è stata coinvolta in attività di upskilling e reskilling e ogni persona ha seguito circa sei giornate di formazione, in aumento rispetto alle quattro o cinque giornate previste alla fine del 2021 per gli anni successivi. Asstel pone particolare attenzione al tema dell’orientamento, lavorando con il mondo della scuola con l’obiettivo di stimolare la curiosità dei giovani studenti verso gli abiti di studio Stem”.
Rendina ha concluso: “La riforma degli Its è una prima grande risposta del Paese all’evoluzione del sistema formativo determinata dal Pnrr per sviluppare le competenze necessarie al mercato del lavoro delle studentesse e degli studenti. La filiera delle tlc ritiene questo passaggio fondamentale per costruire quelle figure professionali, oggi mancanti, in grado di accelerare la trasformazione digitale dell’Italia”.
