Sicurezza informatica, a che punto siamo? Ne parliamo con Gianvittorio Abate, founder e Ceo di Innovery, società leader in Italia nel settore della cybersecurity: "Oggi il tema è altamente sentito nelle imprese. Da quando abbiamo iniziato, 20 anni fa, a livello aziendale la sensibilità è molto cambiata. Allora venivamo percepiti come le ‘pecore nere’ che cercavano di accaparrarsi un po’ del budget delle aziende su problematiche che non venivano neppure percepite. Nelle grandissime imprese e nelle istituzioni, ad esempio non c’era neppure un referente specifico: si parlava col responsabile delle infrastrutture che raramente sapeva cosa significavano rischio o perdite legate a incidenti informatici. Il forte cambiamento è avvenuto solo 5-6 anni fa"
E oggi il livello di attenzione è sufficiente?
"No, e non lo dico a mio vantaggio. Secondo i dati del governo, il costo indotto dei reati di origine informatica è di circa 7 miliardi di euro l’anno, mentre secondo l’Osservatorio universitario del Politecnico di Milano, le spese per investimenti in sicurezza sono circa 1,3 miliardi. Significa che i costi indiretti (cioè per i danni subiti) sono quasi 6 volte superiori agli investimenti. Bisogna capire che l’investimento in sicurezza informatica paga in termini di riduzione di costi indiretti".
Chi fatica di più, in questo senso?
"Si sente il divario fra grandissime aziende e le piccole e medie, cioè la gran parte del tessuto imprenditoriale italiano. I big stanno iniziando a organizzarsi dal punto di vista interno con persone con capacità e competenze per poter gestire la sicurezza, a partire dai Chief Information Security Officer. Questo non avviene ancora nelle aziende piccole e medie, anche per problemi di budget".
Come si rimedia?
"Supportando le Pmi con servizi gestiti e con percorsi formativi per il management, come ad esempio quello che stiamo progettando con un’istituzione universitaria di prestigio come Luiss Business School".
E la Pubblica Amministrazione?
"Troppo facile dire che ‘la PA non è pronta’: non è vero, anche se c’è molto da lavorare. Non a caso il PNRR (nella sua versione non definitiva) mette 1,2 miliardi proprio sulla cyber sicurezza della PA"
Qual è l’investimento da fare sempre?
"Quello sulle persone, sulla consapevolezza che devono avere dei rischi informatici a tutti i livelli, sia nell’uso lavorativo che privato. È come per la casa: porte blindate, inferiate, videosorveglianza, ma se poi inavvertitamente apro la porta a uno sconosciuto non c’è blindata che serva. E questo vale sia a livello aziendale, che per i dati personali nel privato".
Come ci si protegge, quindi?
"Bisogna rendere l’intrusione informatica il più difficile possibile. Questo le grandi aziende (banche, energy, trasporti ecc) lo hanno capito e investono sulla formazione del personale, per ridurre i rischi legati a un cattivo utilizzo della tecnologia. È più difficile con PA e Pmi, anche per questioni di budget: in questo anno pandemico, pur se è cresciuto l’investimento in termini cyber, è diminuita la spending sulle Pmi o su alcune linee verticali, a causa della situazione specifica".
C’è un pericolo a cui si solito non si pensa?
"Quello che deriva dalle terze parti, dai fornitori. Per un hacker è più facile rubare i dati dell’azienda target attraverso quelli di un fornitore no adeguatamente protetto. Così l’azienda target, pur avendo svolto tutti i processi necessari, si ritrova ad essere danneggiata indirettamente e anche ad essere ritenuta responsabile della perdita di dati. Bisogna allargare il perimetro della sicurezza informatica aziendale a tutti gli attori coinvolti".
Se dovesse dare consigli sull’utilizzo dei fondo Next Generation Eu, cosa direbbe?
"Puntare sullo sviluppo di tecnologia proprietaria, italiana, per non affrontare una prossima crisi rilevante con tecnologie e know how dipendenti da altri Paesi. Vale per l’informatica ma anche, ad esempio, per i vaccini. Poi far crescere le competenze in sicurezza informatica delle aziende, con sgravi fiscali ad hoc per costi del personale, investimenti in formazione e percorsi di crescita: occorre capire che la tecnologia si può comprare sul mercato, ma è fondamentale saperla utilizzare".
Cosa che percorsi suggerisce ai giovani che vogliono lavorare in questo mondo?
"L’università dà un’ottima preparazione, ma io credo molto nei master post laurea che formano competenze specifiche, per far uscire professionisti che possano essere ingaggiati da aziende e società di consulenza. E le università si stanno attrezzando in questo senso".
Cosa c’è nel futuro di Innovery?
"Siamo nati come una azienda italiana e continueremo a essere una azienda italiana che punta sulle persone: siamo una società di servizi, il nostro patrimonio è fatto di competenze eccellenti e della capacità di formare le persone in modo adeguato per poter fornire ai nostri clienti servizi di alta qualità. Per il 2025 vogliamo avere ricavi per 100 milioni, di cui il 50-60% fatturato in Italia, e 600 persone che lavorino per noi. Puntiamo all’internazionalizzazione, principalmente all’Europa dove siamo già presenti in Spagna, ma con focus anche sull’America Latina partendo dal nostro posizionamento già attivo in Messico. Come italiani siamo convinti di avere capacità in ambito Ict che non hanno nulla da invidiare ad altri Paesi".
Solo cyber security?
"No, ci occuperemo anche di cloud network, sicurezza in connettività, pagamenti digitali, prevenzione frodi. E di analytics, la gestione corretta della mole di dati: raccoglierli, verificarne la correttezza e poterli studiare con l’intelligenza artificiale, per estrarne con algoritmi predittivi informazioni che aiutino le aziende nei percorsi decisionali".