L’aumento degli attacchi informatici rende necessario integrare il rischio cibernetico nelle valutazioni del merito creditizio.

La Banca d’Italia ha pubblicato un innovativo studio con il quale si introduce un indicatore di vulnerabilità al rischio cyber per le imprese non finanziarie italiane. Il cyber risk entra così nelle valutazioni del merito creditizio.

Perché questo studio?

Il numero, intitolato “Il rischio cibernetico delle imprese non finanziarie”, fa parte della collana “Mercati, infrastrutture, sistemi di pagamento” e arriva in un momento più che mai rilevante. Le imprese, alla luce della crescente digitalizzazione delle attività aziendali e dei processi interni, risultano ampiamente esposte ai rischi cyber.

Nel 2024, il numero medio di attacchi informatici mensili a livello globale è stato pari a 294; trend che si riflette anche in Italia, dove tra il 2020 e il 2024 si è registrata una crescita del 39% degli attacchi informatici rivolti alle imprese non finanziarie.

Sebbene il livello di consapevolezza tra gli operatori sia in aumento, gli sforzi destinati all’azione di mitigazione restano ancora piuttosto limitati. Sono numerose le imprese (specialmente quelle di dimensioni più ridotte) che non dispongono di funzioni dedicate alla sicurezza informatica per gestire il rischio cibernetico in modo adeguatamente efficace. Le imprese non finanziarie sono spesso prese di mira per la sottrazione di informazioni aziendali sensibili, segreti commerciali e ricerche interne esclusive.

Lo studio è stato perciò sviluppato in questo contesto, ed è il primo ad aver elaborato una misura complessiva delle vulnerabilità al rischio cyber delle imprese italiane.

Come funziona l’indicatore?

L’indicatore di vulnerabilità che ha sviluppato la Banca d’Italia è strutturato impiegando tecniche di elaborazione del linguaggio naturale e modelli avanzati di intelligenza artificiale applicati a bilanci aziendali, notizie stampa e rapporti del settore della cybersecurity.

Nello specifico, questo si basa su una tassonomia rifinita appositamente per il contesto italiano. Questa classificazione si fonda su circa 300 concetti semanticamente distinti e articolati in sei aree:

1. Disposizioni normative: comprende i quadri normativi, gli standard e gli strumenti legislativi che definiscono gli obblighi di sicurezza informatica e le best practices che le imprese devono seguire. Rispettare questi framework non solo riduce l’esposizione ai rischi cibernetici, ma costituisce anche un segnale di solità agli occhi degli investitori e dell’autorità di vigilanza.
2. Certificazioni professionali: riguarda le certificazioni che attestano oggettive competenze tecniche e manageriali in materia di cybersicurezza. Le imprese in loro possesso dimostrano la capacità di gestire efficacemente i rischi grazie al personale qualificato.
3. Tecnologie per la difesa dagli attacchi: rappresentano il fondamento operativo delle difese cyber delle imprese, e racchiude tutte le soluzioni tecnologiche, le piattaforme e i meccanismi di sicurezza implementati per la protezione delle infrastrutture.
4. Processi di gestione del rischio: comprende le misure organizzative e procedurali previste in materia di cybersicurezza.
5. Attacchi subiti e segnalati: raccoglie le minacce informatiche dirette alle infrastrutture e agli asset digitali, fornendo un quadro di riferimento per valutare l’esposizione ad attività dannose.
6. Appartenenza a organizzazioni internazionali e nazionali: rientrano le membership presso gli organismi e le istituzioni che definiscono e promuovono gli standard di cybersecurity, favorendo la cooperazione tra Stati.

Queste sei categorie riescono a offrire criteri esaustivi e mutuamente esclusivi per rilevare le vulnerabilità delle imprese e la loro esposizione ai rischi cibernetici.

Qual è il ruolo dell’AI?

Parallelamente, l’estrazione delle informazioni più rilevanti da fonti di dati non strutturate richiede l’applicazione sistematica di tecniche di intelligenza artificiale. Partendo da metodologie già consolidate, entrano in gioco modelli linguistici di grandi dimensioni (LLM) etecniche di machine learning. In particolare, vengono esaminati i segnali di rischio cibernetico e le misure di difesa dichiarate dalle imprese, nonché gli episodi di attacchi informatici e le relative strategie di mitigazione.

L’analisi dei contenuti testuali non strutturati consente così di costruire un indicatore sintetico del rischio cyber a livello aziendale, che aumenta al crescere della vulnerabilità dell’impresa. Pertanto, più alto è il valore indicato, maggiore è la vulnerabilità.

Qual è il contributo dello studio?

L’indicatore, oltretutto, viene anche utilizzato per analizzare come la vulnerabilità al rischio cibernetico si distribuisce tra le imprese, offrendo nuove evidenze sull’esposizione agli attacchi informatici di un ampio campione di imprese italiane non finanziarie.

Dallo studio, infatti, emergono dati importanti per quanto riguarda la distribuzione degli attacchi cyber nei diversi settori. Dal 2019, questi sono aumentati sia in frequenza che in intensità, evolvendosi in una criticità ormai di natura sistemica, che oltrepassa i confini settoriali e incarna una componente strutturale dei profili di rischio aziendali. I settori più colpiti risultano essere quello manifatturiero, i servizi professionali, scientifici, tecnici, e il commercio.

L’indicatore elaborato dalla Banca d’Italia è del tutto innovativo e pionieristico: in primo luogo, questo approccio consente di trasformare in modo sistematico e replicabile le informazioni non strutturate in dati quantitativi utilizzabili per l’analisi dei rischi; in secondo luogo, la tassonomia proposta integra in un unico quadro metodologico diverse sfaccettature del rischio cibernetico, con un’attenzione speciale alla realtà italiana. In termini operativi, significa che l’indicatore non rimane un mero numero astratto, bensì viene tradotto in una probabilità concreta che una specifica azienda possa subire un attacco.

La crescente frequenza degli attacchi cyber non rimane relegata a un comune problema di sicurezza. Questi, infatti, possono incidere in modo significativo sul rischio di credito, interrompendo la continuità delle attività aziendali, compromettendo i flussi di cassa o causando costi reputazionali o legali, aventi ingenti effetti economici. Risulta evidente che l’entità delle potenziali perdite legate agli attacchi rendono necessario un monitoraggio sistematico, al fine di integrare il rischio cibernetico nelle valutazioni del merito creditizio.

Vai al sito di Cybersecurity Italia.

L'articolo Come funziona l’indicatore di vulnerabilità cyber di Bankitalia per le imprese sembra essere il primo su CyberSecurity Italia.