La crescente digitalizzazione delle attività economiche e l’interconnessione dei processi aziendali stanno trasformando il rischio cibernetico in una delle principali minacce per le imprese non finanziarie. Non si tratta più di un tema esclusivamente tecnologico, ma di una variabile capace di incidere direttamente sulla stabilità economico-finanziaria delle aziende e, più in generale, sulla competitività del sistema produttivo.

Un recente studio della Banca d’Italia analizza in modo approfondito l’evoluzione del cyber rischio, mettendo in evidenza vulnerabilità crescenti e la necessità di includere questa dimensione anche nelle valutazioni di merito creditizio.

L’aumento degli attacchi informatici

Secondo le stime del Fondo Monetario Internazionale, a livello globale gli attacchi informatici segnalati dalle aziende sono quasi raddoppiati dal 2020. Il numero medio di incidenti mensili è passato da 156 nel 2020 a 295 nel 2024, con un incremento significativo anche del rischio di perdite estreme.

Questa dinamica si riflette chiaramente anche in Italia: tra il 2020 e il 2024 gli attacchi informatici contro le imprese non finanziarie sono aumentati del 39%.

L’analisi settoriale mostra andamenti differenziati. Il settore manifatturiero ha registrato l’accelerazione iniziale più marcata, soprattutto tra il 2019 e il 2020, seguita poi da una fase di maggiore stabilizzazione. Altri comparti, come i servizi professionali, scientifici e tecnici, nonché il commercio all’ingrosso e al dettaglio e la riparazione di veicoli, presentano invece una crescita più graduale o una concentrazione degli attacchi negli anni più recenti. Queste differenze indicano come l’evoluzione delle minacce informatiche segua dinamiche specifiche legate ai modelli operativi dei diversi settori.

Consapevolezza elevata, ma strumenti ancora insufficienti

Un dato particolarmente rilevante emerso dallo studio è che circa il 90% delle imprese italiane riconosce il rischio di subire un attacco informatico. Nonostante ciò, gli sforzi di mitigazione restano spesso limitati. Molte aziende, in particolare di dimensioni più ridotte, non dispongono di funzioni dedicate alla sicurezza informatica né di competenze interne adeguate per gestire in modo strutturato il rischio cyber.

Questa distanza tra consapevolezza e capacità di risposta rappresenta uno dei principali punti di vulnerabilità del tessuto imprenditoriale.

Cos’è il rischio cyber

Il rischio cibernetico può essere definito come la possibilità che un’impresa subisca perdite finanziarie, interruzioni dell’attività o danni reputazionali a seguito di violazioni dei dati o dei sistemi informatici aziendali.

Le minacce sono in continua evoluzione, alimentate dalla crescente interconnessione globale e dall’uso di strumenti sempre più sofisticati, compresa l’intelligenza artificiale, impiegata anche per finalità malevole. In questo contesto, una gestione efficace del rischio cyber diventa essenziale per la tutela del know-how, dei processi produttivi e del capitale umano.

L’indicatore di vulnerabilità proposto da Bankitalia

Lo studio della Banca d’Italia introduce un indicatore di vulnerabilità al rischio cibernetico per le imprese non finanziarie italiane, costruito mediante tecniche di elaborazione del linguaggio naturale e modelli avanzati di intelligenza artificiale. L’analisi si basa su informazioni tratte da bilanci, notizie di stampa e rapporti del settore della sicurezza informatica.

L’indicatore utilizza una tassonomia specifica per il contesto italiano e considera dimensioni del rischio finora non valutate in modo unitario. I risultati mostrano che l’impatto negativo di un incidente informatico sulla vulnerabilità aziendale è immediato e spesso superiore ai benefici generati dalle misure difensive nel breve periodo, poiché queste richiedono tempo per produrre effetti tangibili.

Un ulteriore elemento critico riguarda la comunicazione del rischio: le imprese tendono ad arricchire le informazioni sul cyber risk nei documenti ufficiali solo dopo aver subito un attacco. Nel complesso, lo studio evidenzia come il rischio cibernetico possa compromettere seriamente la continuità aziendale e debba quindi essere integrato nei modelli di valutazione del merito creditizio.

Il cyber risk management e il ruolo delle assicurazioni

Per affrontare in modo strutturato queste criticità è necessario attivare un processo di cyber risk management, che si articola in diverse fasi: identificazione degli scenari di rischio, valutazione dei potenziali impatti, definizione della propensione al rischio dell’impresa e implementazione delle misure di mitigazione ritenute adeguate.

Poiché nessun rischio può essere completamente eliminato, lo strumento assicurativo rappresenta una leva strategica per la gestione del rischio residuo.

Il Rapporto Cyber Index PMI, realizzato da Generali e Confindustria, con il supporto scientifico dell’Politecnico di Milano e la partecipazione dell’Agenzia per la Cybersicurezza Nazionale, sottolinea come le polizze cyber offrano benefici rilevanti: maggiore capacità di risposta agli incidenti, riduzione dei tempi di inattività, limitazione dei danni economici e reputazionali e rafforzamento della fiducia dei clienti.

Le coperture assicurative possono includere non solo il rimborso dei costi legati alla gestione dell’incidente, ma anche servizi di prevenzione e supporto post-evento, come il ripristino dei sistemi e la gestione del danno reputazionale.

Anche un’indagine dell’IVASS evidenzia come le polizze cyber per le PMI siano sempre più articolate e coprano sia i danni diretti subiti dall’impresa sia quelli causati a terzi, comprese le spese legali.

Il rischio cyber è oggi una componente strutturale del rischio d’impresa. Non riguarda solo la sicurezza informatica, ma la continuità operativa, la solidità finanziaria e l’accesso al credito. Per questo deve essere affrontato con un approccio integrato che unisca prevenzione, organizzazione, consapevolezza e strumenti di trasferimento del rischio, come le coperture assicurative.