La Banca d’Italia ha pubblicato uno studio innovativo che quantifica la vulnerabilità al rischio cibernetico delle imprese non finanziarie italiane attraverso un indicatore costruito con tecniche avanzate di intelligenza artificiale. Il lavoro, parte della collana “Mercati, infrastrutture, sistemi di pagamento”, analizza un campione ampio ed eterogeneo di società utilizzando elaborazione del linguaggio naturale applicata a bilanci aziendali, notizie di stampa e rapporti specialistici.
I risultati evidenziano come gli attacchi informatici in Italia siano in costante aumento dal 2019 e come il rischio cyber debba essere integrato nelle valutazioni di merito creditizio, data la sua capacità di compromettere la continuità aziendale.
Indice degli argomenti
La tassonomia italiana del rischio cyber
Il metodo sviluppato dai ricercatori della Banca d’Italia si distingue per l’impiego di una tassonomia appositamente calibrata sul contesto italiano, articolata in sei categorie principali: conformità normativa, certificazioni professionali, tecnologie di difesa, processi di gestione del rischio, attacchi subiti e affiliazioni a organismi nazionali e internazionali. Questa classificazione comprende circa trecento elementi semanticamente distinti e rappresenta un tentativo pionieristico di valutare dimensioni del rischio cibernetico finora non considerate in un quadro metodologico unitario.
Intelligenza artificiale e machine learning per l’analisi del rischio
L’architettura di intelligenza artificiale integra modelli linguistici di grandi dimensioni con algoritmi di machine learning per analizzare contenuti testuali non strutturati. Il sistema trasforma informazioni qualitative estratte da bilanci societari, comunicazioni aziendali e articoli giornalistici in dati numerici utilizzabili per l’analisi del rischio d’impresa. L’indicatore risultante aumenta con l’incremento della vulnerabilità cyber, fornendo una misura sintetica della postura di sicurezza informatica delle aziende. L’indice non si basa su una scala fissa ma viene normalizzato a posteriori, e valori più elevati indicano livelli maggiori di esposizione al rischio.
L’escalation degli attacchi informatici dal 2019 al 2024
L’analisi documenta un’escalation importante degli incidenti informatici che hanno colpito le imprese italiane tra il 2019 e il 2024. Gli attacchi registrati sono passati da quattordici nel 2019 a 232 nel 2023, con una crescita significativa che riflette l’intensificarsi delle minacce. Nel 2023, le imprese del campione – circa quattromila – hanno subito complessivamente un attacco ogni due giorni. Il settore manifatturiero risulta il più colpito con più di quattrocento incidenti documentati nel periodo, riflettendo le vulnerabilità associate alla digitalizzazione dei sistemi produttivi e all’interconnessione degli ambienti di tecnologia operativa caratteristici dell’Industria 4.0.
I settori più colpiti dagli incidenti cyber
Seguono i servizi professionali, scientifici e tecnici, particolarmente esposti ai rischi legati alla proprietà intellettuale, e il commercio all’ingrosso e al dettaglio, vulnerabile per la gestione dei dati dei clienti, le reti di fornitori e i sistemi di pagamento digitali.
Ransomware e violazioni di dati: le minacce principali
La distribuzione per tipologia mostra come il ransomware rappresenti la minaccia più diffusa, particolarmente severa in manifattura, servizi professionali e commercio, dove le interruzioni operative possono essere rapidamente sfruttate per estorsioni. Le violazioni di dati emergono come seconda categoria più rilevante, indicando l’interesse degli attaccanti per informazioni strategiche su operazioni, tecnologie e catene di approvvigionamento. Phishing e malware completano il quadro delle principali modalità d’attacco, confermando modelli osservati anche dall’Agenzia dell’Unione Europea per la Cybersicurezza. A questi si aggiungono un numero limitato di attacchi persistenti avanzati (APT) e una quota di attacchi generici non classificabili in modo univoco.
Vulnerabilità persistentemente elevate nelle imprese italiane
L’indicatore di vulnerabilità sviluppato nello studio, normalizzato su scala empirica da zero a cento, mostra valori persistentemente elevati dal 2020 al 2023. Il punteggio medio rimane stabile attorno a ottantadue, con una mediana superiore a ottantacinque per l’intero periodo. Questa concentrazione di imprese nel segmento alto della scala suggerisce una debolezza strutturale nella postura di sicurezza informatica aziendale. L’apparente stabilità dell’indice a livelli elevati riflette probabilmente l’azione di forze contrapposte: da un lato l’intensificazione e la crescente sofisticazione delle minacce cyber, dall’altro il progressivo rafforzamento delle strategie di mitigazione aziendali, che richiedono tempo per dispiegare pienamente i propri effetti. La deviazione standard crescente nel periodo indica una maggiore eterogeneità tra le imprese, riconducibile a differenze sia nell’esposizione alle minacce sia nella capacità di adottare misure difensive.
L’impatto degli incidenti sulla comunicazione aziendale
Un aspetto rilevante emerso dalla ricerca riguarda le modifiche nei contenuti informativi delle imprese successive a un incidente informatico. Test statistici rigorosi dimostrano che le imprese vittime di attacchi tendono sistematicamente ad arricchire il volume e la varietà delle informazioni relative alla sicurezza informatica nei bilanci successivi all’evento. Questo incremento si osserva in particolare per tecnologie, processi, conformità normativa e certificazioni, mentre non emerge per le affiliazioni a organismi specializzati.
L’indice di rischio cyber mostra un aumento significativo nell’anno successivo a un attacco, riflettendo come l’evento venga catturato dal modello quale segnale concreto di vulnerabilità accresciuta. L’effetto negativo dell’incidente prevale sui benefici delle azioni difensive implementate dopo l’attacco, che necessitano di tempo per produrre risultati apprezzabili. Questo meccanismo evidenzia come la materializzazione del rischio cyber abbia conseguenze immediate e sostanziali sulla valutazione della resilienza aziendale.
Integrazione del rischio cyber nel merito creditizio
La frequenza e l’intensità degli incidenti documentati, unitamente al loro potenziale impatto su operatività e flussi di cassa, indicano la necessità di integrare sistematicamente il rischio cyber nelle valutazioni di merito creditizio. Gli sviluppi futuri prevedono l’incorporazione dell’indicatore di vulnerabilità all’interno del sistema di valutazione creditizia ICAS della Banca d’Italia per le imprese non finanziarie, utilizzato nel quadro delle garanzie per le operazioni di politica monetaria dell’Eurosistema.
Modelli probabilistici e simulazioni Monte Carlo
Metodologicamente, l’indice verrà utilizzato per stimare, attraverso modelli probabilistici, la probabilità che un’impresa subisca un attacco informatico. Condizionatamente a tale probabilità, la perdita attesa associata sarà stimata mediante simulazioni Monte Carlo. Questa perdita verrà poi incorporata nei prospetti finanziari simulati delle imprese per valutare gli effetti avversi di un incidente cyber, consentendo di derivare una probabilità di default aggiustata per il rischio informatico, che catturi la vulnerabilità incrementale associata alle minacce digitali.
