Il tema della sicurezza informatica nelle aziende è sempre stato molto dibattuto, anche da prima dell’avvento di Internet. Fin dalla fine degli anni settanta, epoca in cui si registra il primo uso sistematico dello strumento informatico, i temi caldi erano principalmente tre: la sicurezza degli archivi, specialmente quelli contenenti progetti da brevettare e registrare; la sicurezza della catena comunicativo-informativa, sia del loop interno che con l’esterno; la gestione e la comunicazione delle situazioni di crisi. Allora, come oggi, uno dei problemi principali riguardava la corretta formazione ed educazione del personale, fosse esso addetto o meno alla sicurezza. Uno dei problemi fondamentali delle aziende italiane, infatti, è sempre stato quello di poter gestire la fuga di notizie e le informazioni dannose (perché errate o riservate) divulgate in pubblico: un caso emblematico fu quello della Olivetti, che negli anni ottanta fu accusata di intrattenere rapporti poco chiari con l’URSS, in occasione di una visita dell’allora Presidente della Repubblica Francesco Cossiga.
Le sfide del mondo attuale sono cambiate nella forma, ma non nella sostanza. Una delle tematiche ancora oggi più delicate è proprio quella dello spionaggio industriale, reato penalmente perseguibile ai sensi degli art. 621, 622, 623 del Codice Penale. Lo spionaggio industriale, così come le altre minacce, è un problema che interessa sia le grandi aziende che le PMI. Da una parte, le grandi aziende spendono sempre di più per proteggere i propri “segreti” e la propria catena produttiva: il più delle volte ci riescono, anche se talora importanti falle vengono alla luce. Molti sono i casi noti, come ad esempio quello ad una “connected car” di FCA, caso poi risolto con lo sviluppo di sistemi di comunicazione “resilienti”. In Italia, la differenza fondamentale tra gli attacchi che colpiscono le grandi aziende e quelli destinati alle PMI sta nel fatto che le grandi aziende hanno i mezzi, economici ed operativi per potersi difendere e per attuare in breve tempo quella dottrina della “resilienza” (risposta difensiva e recovery) tanto sponsorizzata sin dai tempi del DPCM del 24 gennaio 2013 (il primo in materia di cyber security) ed oggi teorizzata nel Quadro Nazionale sulla Sicurezza Informatica.
La teoria sulla resilienza ha senza dubbio un giusto e solido fondamento, ma il problema per le PMI resta: più del 70% delle aziende, in Italia, può essere classificato tra le PMI o addirittura tra le micro-imprese. Oltre il 30% di queste imprese subisce attacchi cyber, secondo i dati riportati da fonti quali Il Sole 24 Ore e il Rapporto Clusit 2017. E questo dato fa riferimento ai soli casi dichiarati, che non sono certo la totalità . Le aziende, soprattutto se piccole, temono che dichiarare di aver subito un attacco cyber crei loro un danno d’immagine. Anche le grandi aziende hanno questo timore, ma spesso lo superano proprio sponsorizzando l’eventuale risposta studiata per l’attacco. La capacità di risposta delle PMI, invece, è ancora limitata. Il DPCM 24/01/2013 prevedeva di implementare le misure di sicurezza cyber a zero euro.
Dal 2016 in poi, il Piano Nazionale per la Sicurezza Cyber ha previsto fondi dedicati a tale materia. Ma ad oggi i 150 milioni di euro stanziati risultano essere insufficienti alle esigenze del Paese, che vede una domanda di fondi e sicurezza polverizzata al pari di quella dei generi alimentari. Le piccole aziende, tra l’altro, sono spesso lasciate da sole di fronte alla formazione del personale. Al momento attuale, non esiste una normativa organica per la formazione e la sicurezza dei dipendenti in materia cyber, a differenza di ciò che succede con la pur imperfetta legge 81 del 2008 per la sicurezza dei luoghi di lavoro e dei dipendenti. Una possibile soluzione potrebbe essere proprio questa: aggiornare la legge 81 anche alla luce della minaccia cyber. La sicurezza di uno scenario, infatti, è attualmente legata ad una molteplicità di fattori: alcuni di essi richiamano i concetti tradizionali di “salute umana” e “diritti dei lavoratori”, mentre altri sono inevitabilmente connessi al rapporto uomo-macchina e uomo-rete. Anche questo è un portato dell’età contemporanea e non deve essere trascurato, poiché il progresso è un fenomeno sempre presente nel tempo ma va adeguatamente coltivato e gestito.
