Quante volte al giorno ci fidiamo di un link, apriamo un allegato mail proveniente da mittenti sconosciuti o scarichiamo un file dal web? Compiendo ognuna di queste comuni azioni rischiamo di esporre noi stessi, i nostri cari ed addirittura le organizzazioni per cui lavoriamo ad un rischio fondamentale: il cyber rischio.
Il gesto che accomuna questi semplici gesti è il "click" effettuato in buona fede dall'utente che tuttavia rischia di farci perdere il controllo dei nostri dati sensibili. Questa pratica è comunemente nota con il termine phishing, ed è la trappola più redditizia e diffusa sul web. Il tema, apparentemente irrilevante, è di così fondamentale importanza che l'ENISA (l'agenzia dell’UE per la cybersicurezza) stima che il 60% degli attacchi informatici parta proprio da un tentativo di phishing.
La sicurezza informatica, quindi, non è solamente un tema di natura tecnica, è una questione che riguarda anche fiducia, comportamenti ed abitudini delle persone. Per questo motivo l'Unione Europea dal 2023 ha istituito ottobre come "mese della Cybersecurity", un’iniziativa per sensibilizzare imprese e cittadini su questo tema che riguarda tutti sempre più da vicino.
Cyber rischio, cybersicurezza ed impatti
In un’epoca dove il mondo fisico e digitale sono due realtà sempre più interconnesse, i dati rappresentano un asset sempre più prezioso e strategico e la loro gestione espone le imprese a nuovi rischi.
Il cyber rischio rappresenta la possibilità che un evento digitale - un attacco, una perdita di dati, un errore umano - possa compromettere il funzionamento di un sistema o la continuità di un’impresa. Secondo le analisi effettuate daI World Economic Forum i rischi informatici rientrano stabilmente, sia nelle previsioni di breve termine che in quelle di lungo termine, tra gli eventi principalmente attenzionati dai CEO ed esperti di risk management a livello globale. Questa tipologia di rischio è caratterizzata da una natura profondamente trasversale, infatti, se ad un'analisi superficiale può apparire che l'impatto generato riguardi esclusivamente l'operatività aziendale, le ripercussioni sul sistema azienda possono essere molto più estese, andando ad influenzare obiettivi di natura strategica e reputazionale. Il rischio cyber non è più un problema di mera "sicurezza informatica”, ma deve essere affrontato come una variabile strategica in grado di impattare su governance, reputazione e continuità operativa.
|
Tipo di impatto
|
Descrizione
|
|
Interruzione operativa
|
Paralisi di: sistemi, server, processi operativi
|
|
Perdita di dati
|
Dati sensibili aziendali – come: segreti commerciali, dati clienti, credenziali — possono essere sottratti per uso illecito, rivendita su mercato nero e ricatti nei confronti dell'impresa stessa
|
|
Danno reputazionale
|
La fiducia di clienti/partner è fortemente compromessa, spesso la violazione dei sistemi aziendali (soprattutto per imprese pubblicamente esposte) è accompagnata da un'importante attenzione mediatica
|
|
Costi e Sanzioni
|
GDPR e regolamentazioni nazionali obbligano l'impresa violata ad un obbligo di notifica, la espongono al rischio di possibili multe
|
|
Effetti a catena
|
Se un’azienda è fornitore o partner di una catena, il danno può propagarsi lungo l'intera filiera, specialmente in quelle maggiormente interconnesse
|
|
Rischio di attacchi secondari
|
Una volta effettuata la violazione, l’attaccante può muoversi liberamente all'interno del sistema, andando a compromettere attività prima considerate sicure.
|
|
Costi di Recupero
|
Attività di backup, ripristino del regolare funzionamento del sistema richiedono l'intervento di esperti e comportano lunghi tempi di inattività e costi
|
La cybersicurezza, ossia l’insieme di pratiche, tecnologie e comportamenti che servono a proteggersi da questi rischi, non deve essere quindi affrontata come un tema prettamente tecnico ma come parte integrante della strategia aziendale.
Il fattore umano
La sicurezza di un sistema informatico non è dovuta esclusivamente a soluzioni di natura tecnica; infatti, ogni persona che utilizza un dispositivo connesso ne è parte integrante. Il report SOHR 2025 redatto da Mimecast sottolinea come il 95% di tutte le violazioni dei dati è riconducibile ad errori umani. Il "fattore umano" si configura quindi come l'anello debole del sistema ed è proprio questo che gli hacker sfruttano per compiere le violazioni.
In questa tipologia di attacchi, che fanno leva sulla componente umana, entra in gioco quella che gli esperti chiamano ingegneria sociale: ossia la capacità di manipolare la percezione e le emozioni delle persone per indurle a compiere azioni che vanno contro il loro stesso interesse.
Pratiche come il fishing sfruttano proprio la leva umana per sottrarre dati e, se fino a pochi anni fa, questi messaggi erano riconoscibili per errori grammaticali o toni grotteschi, oggi grazie all’intelligenza artificiale sono diventati praticamente indistinguibili da comunicazioni autentiche.
Proteggersi: tra nuove competenze e dialogo inter-generazionale
Oggi proteggersi dai rischi cyber significa sviluppare la capacità di comprendere, valutare e gestire i rischi digitali in modo consapevole. Non basta essere consci dell'esistenza dei rischi cyber: serve riconoscerne i segnali, adottare buone pratiche e contribuire attivamente alla sicurezza del gruppo di cui si fa parte, sia esso una famiglia, un’azienda o una comunità online.
Il Piano Nazionale di Ripresa e Resilienza (PNRR) ha previsto oltre 600 milioni di euro per potenziare le infrastrutture di cybersicurezza pubbliche e private. Parallelamente, la Strategia Nazionale di Cybersicurezza (coordinata dall’ACN) mira a rafforzare la protezione dei settori critici e la formazione di nuove competenze.
Anche le imprese hanno un ruolo chiave in questo processo, non solo devono dotarsi di strumenti tecnologici adeguati (autenticazioni multi-fattore, sistemi di monitoraggio e procedure di risposta agli incidenti) ma anche favorire un dialogo continuo tra generazioni. I dipendenti più esperti, abituati a processi consolidati, possono trasmettere prudenza e metodo; le nuove generazioni di nativi digitali, invece, portano flessibilità, familiarità con gli strumenti e capacità di riconoscere pattern comunicativi del web. Instaurare un confronto costruttivo tra queste due visioni mediante un sistema di mentoring incrociato (GrECo - Case study: Embracing a Multigenerational Workforce) crea una cultura aziendale della sicurezza che va oltre il mero adempimento, diventa una vera e propria risorsa strategica.
Noi, come giovani generazioni, abbiamo un ruolo fondamentale: siamo i primi ad aver vissuto l’intera vita connessa e possiamo aiutare le imprese a comprendere i nuovi linguaggi del web, possiamo educarci e educare gli altri a un uso più attento e responsabile della tecnologia.