Allarme PMI: il 72,4% sotto attacco cyber, ecco come difendersi legalmente

Nel corso del *2023, un impressionante 72,4% di queste aziende ha subito almeno un attacco informatico, una cifra che sottolinea la loro vulnerabilità e la necessità impellente di rafforzare le difese. Il Rapporto CLUSIT 2025 rivela che il 10,1% degli incidenti informatici mondiali è avvenuto in Italia, registrando un incremento del 15,2% rispetto all’anno precedente. Questi dati non solo confermano la tendenza crescente, ma mettono anche in luce la posizione delle PMI italiane come bersaglio privilegiato per i criminali informatici.

La scarsa consapevolezza dei rischi rappresenta una delle principali ragioni di questa vulnerabilità. Molti imprenditori non considerano la cybersecurity una priorità strategica, sottovalutando le potenziali conseguenze devastanti di un attacco. A ciò si aggiungono i budget limitati che le PMI possono destinare alla sicurezza informatica e la carenza di competenze specialistiche nel settore. Spesso, queste aziende faticano ad assumere personale qualificato o a formare adeguatamente i propri dipendenti, lasciando così aperte falle nei sistemi di sicurezza che possono essere facilmente sfruttate dagli attaccanti.

Un ulteriore elemento di rischio è rappresentato dalla dipendenza da tecnologie e componenti provenienti da Paesi terzi, come la Cina. L’introduzione sul mercato di tecnologie di sorveglianza cinesi, sovente incorporate in componenti hardware e software a basso costo, alimenta la possibilità di cyber rischi sistemici, compromettendo la sovranità digitale europea e la solidità operativa delle imprese. Queste tecnologie possono contenere backdoor o vulnerabilità nascoste che consentono agli attaccanti di accedere ai sistemi informatici delle PMI e di rubare dati sensibili o di interrompere le attività aziendali.

Le PMI italiane sono esposte a una vasta gamma di attacchi informatici, tra cui ransomware, phishing, data breach e attacchi alla supply chain. I ransomware criptano i dati delle aziende e richiedono un riscatto per la loro decriptazione, paralizzando le attività aziendali fino al pagamento del riscatto. Gli attacchi di phishing utilizzano email o siti web fraudolenti per rubare credenziali di accesso o informazioni personali, compromettendo la sicurezza dei sistemi informatici e dei dati aziendali. I data breach comportano la perdita o la divulgazione non autorizzata di dati sensibili, causando danni reputazionali e sanzioni legali per le aziende coinvolte. Gli attacchi alla supply chain sfruttano le vulnerabilità dei fornitori terzi per infiltrarsi nei sistemi delle PMI, compromettendo la sicurezza dell’intera catena di approvvigionamento.

Le conseguenze legali di un attacco informatico possono essere pesanti per le PMI. Oltre ai danni economici diretti, come i costi di ripristino dei sistemi, la perdita di produttività e il pagamento del riscatto, le aziende possono essere chiamate a rispondere per violazione della privacy (GDPR), responsabilità contrattuale (in caso di inadempimento verso clienti e fornitori) e sanzioni amministrative. In alcuni casi, il management può essere ritenuto corresponsabile per negligenza nella gestione della sicurezza, soprattutto se non dimostra di aver adottato misure preventive adeguate per proteggere i sistemi informatici e i dati aziendali.

Strategie di difesa legale e prevenzione per le Pmi

Per proteggersi efficacemente dai rischi cibernetici e gestire le conseguenze legali di un attacco, le PMI devono adottare un approccio proattivo e multidimensionale. Questo significa innanzitutto investire in sicurezza informatica, implementando firewall, antivirus, sistemi di rilevamento delle intrusioni e altre tecnologie di sicurezza avanzate. La formazione del personale è altrettanto cruciale: è necessario sensibilizzare i dipendenti sui rischi cibernetici e fornire loro una formazione adeguata sulle best practice di sicurezza, in modo che siano in grado di riconoscere e prevenire gli attacchi.

L’elaborazione di un piano di risposta agli incidenti è un altro passo fondamentale. Questo piano deve definire le procedure da seguire in caso di attacco informatico, inclusi i contatti da avvisare e le azioni da intraprendere per limitare i danni. La stipula di un’assicurazione cyber risk può proteggere le PMI dai costi derivanti da un attacco informatico, inclusi i danni economici, le spese legali e le sanzioni amministrative. Infine, è essenziale adeguarsi alle normative in materia di protezione dei dati personali (GDPR) e sicurezza informatica (NIS2, DORA, AI Act), per evitare sanzioni e dimostrare la propria diligenza nella protezione dei dati aziendali.

Le assicurazioni cyber risk rappresentano uno scudo importante per le PMI di fronte alla crescente minaccia cibernetica. Queste polizze offrono una copertura per i costi derivanti da un attacco informatico, inclusi i danni economici, le spese legali e le sanzioni amministrative. Tuttavia, è fondamentale valutare attentamente le diverse offerte disponibili sul mercato e scegliere la polizza più adatta alle proprie esigenze specifiche.

Una ricerca condotta dall’IVASS (Istituto per la Vigilanza sulle Assicurazioni)* ha mostrato come le coperture assicurative per il rischio cyber dedicate alle PMI siano complesse, includendo garanzie che mirano a salvaguardare le imprese sia dai danni diretti di attacchi informatici, sia da quelli causati a terzi, oltre alle spese legali connesse. Diverse polizze includono servizi aggiuntivi, sia prima di un attacco informatico, come l’individuazione di vulnerabilità e l’attuazione di misure protettive, sia nella fase post-incidente, come il ripristino dell’operatività informatica e la gestione del danno d’immagine.

L’IVASS evidenzia che le attuali coperture sono prevalentemente standardizzate e potrebbero giovare di una maggiore flessibilità per essere meglio adattate e personalizzate in base alle specifiche attività e necessità di protezione delle aziende. Alcune compagnie condizionano l’assicurabilità del rischio a specifiche condizioni operative, e spesso si riscontrano esclusioni e franchigie che ne limitano la portata e l’applicazione. Per esempio, la clausola di esclusione in caso di “guerra”, presente nella maggior parte dei contratti esaminati, non chiarisce se il termine “guerra” si estenda anche alla “guerra informatica”, un aspetto di crescente rilevanza nel panorama attuale.
Prima di stipulare un’assicurazione cyber risk, è quindi fondamentale valutare attentamente le proprie esigenze e il proprio grado di esposizione al rischio cyber, confrontare diverse offerte e scegliere la polizza più adatta, leggere attentamente le condizioni contrattuali, prestando particolare attenzione alle esclusioni e alle franchigie, verificare che la polizza offra una copertura adeguata per i danni economici, le spese legali e le sanzioni amministrative, e considerare la possibilità di richiedere una consulenza a un esperto assicurativo per valutare le diverse opzioni disponibili.