Più consapevolezza in materia di sicurezza digitale per le PMI anche se i margini di miglioramento restano notevoli.

Presentato il Cyber Index PMI 2025, terza edizione, sulla consapevolezza e la maturità cyber delle piccole e medie imprese (PMI) italiane.

L’obiettivo dello studio è quello di monitorare nel tempo l’evoluzione della postura di sicurezza del tessuto imprenditoriale italiano. Postura, da intendersi come “capacità di governare il rischio cyber attraverso scelte strategiche, assetti organizzativi, processi e strumenti adeguati“.

L’iniziativa è di Confindustria e Generali, con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la collaborazione istituzionale dell’Agenzia per la Cybersicurezza Nazionale.

Il terzo anno di rilevazione

il Cyber Index PMI è elaborato sulla base di tre dimensioni:

• approccio strategico, che riguarda il coinvolgimento del management, la definizione di investimenti dedicati e la formalizzazione delle responsabilità in materia di sicurezza digitale.
• Identificazione, ovvero la capacità di comprendere il fenomeno cyber, individuare le minacce, mappare gli asset e valutare i rischi in modo strutturato.
• Attuazione, che misura l’introduzione di strumenti, processi e soluzioni operative per mitigare il rischio e rispondere agli incidenti.

Nel terzo anno di rilevazione, le piccole e medie imprese italiane raggiungono un livello di consapevolezza in materia di sicurezza digitale pari a 55 punti su 100. Questo punteggio equivale ad un incremento di 3 punti rispetto al 2024 e di 4 punti rispetto al 2023, su un campione di oltre 1.500 imprese.

Pur non raggiungendo la soglia di sufficienza fissata a 60 su 100, tale maturazione evidenzia una marcata polarizzazione tra un nucleo ristretto di imprese più mature e una vasta platea ancora esposta ai rischi.

Il progresso significativo è sull’approccio strategico

Il Rapporto evidenzia un progresso significativo sull’approccio strategico, che raggiunge la piena sufficienza. Il tutto, grazie a una maggiore attenzione alla governance del rischio e alla pianificazione degli investimenti da parte delle PMI italiane. In questo settore c’è un punteggio medio di 62 su 100 (+6 punti percentuali rispetto al 2024).

Permangono invece alcune criticità nelle fasi successive del percorso. Nonostante una crescente consapevolezza del rischio, molte PMI faticano a tradurre la strategia in priorità operative. In particolare, soprattutto per la mancanza di adeguate attività di identificazione, che registrano un punteggio medio di 47 su 100 (+2 punti rispetto al 2024).

La dimensione dell’attuazione si attesta infine su 57 su 100. Un valore stabile rispetto all’anno precedente, indicando che l’introduzione di misure concrete di protezione procede più lentamente rispetto alla definizione delle strategie. 

I quattro livelli di maturità

I rispondenti, che rappresentano l’intera popolazione delle PMI italiane, si possono raggruppare in quattro livelli di maturità. Nel dettaglio:

• il 16% è considerato maturo. Ha un approccio strategico alla materia, è pienamente consapevole dei rischi ed è in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie.
• Il 32% può essere definito consapevole. Riesce a comprendere le implicazioni dei rischi cyber ma con una capacità operativa spesso ridotta per poter agire correttamente.
• Il 38% è informato. Non è pienamente consapevole dei rischi cyber e degli strumenti da mettere in atto e ha un approccio “artigianale“.
• Il 14% può essere definito principiante. Mostra poca consapevolezza dei rischi cyber e con una quasi nulla implementazione delle misure di protezione

Per la prima volta, le imprese mature superano numericamente le principianti, queste ultime in calo di 6 punti rispetto alla prima rilevazione. Tuttavia, il 70% delle PMI resta concentrato nei livelli intermedi, caratterizzati da una conoscenza del rischio che non si traduce ancora in una capacità di difesa efficace. 

Frattasi (Direttore Generale ACN): “La strada da percorrere è ancora lunga ma si sta andando nella giusta direzione“

Bruno Frattasi, Direttore Generale dell’ACN, ha dichiarato: “Guardo con molta soddisfazione il grande lavoro che si è compiuto con il Cyber Index PMI. Al suo terzo anno di rilevazione ci ha restituito risultati incoraggianti. Segno che la proficua collaborazione con Generali e Confindustria sta supportando in maniera funzionale le attività delle piccole e medie imprese nel settore della cybersicurezza”.

Le PMI rappresentano “un asse portante dell’economia del Paese“. La loro sensibilità ed attenzione verso il rischio cyber, da cui consegue il miglioramento della postura cibernetica italiana, “è un segnale importante”.

Frattasi ha aggiunto: “L’Agenzia ha messo in campo molteplici iniziative in tal senso. Tra questi il percorso di accompagnamento nell’attuazione della direttiva NIS2, il coordinamento del progetto europeo Secure che accompagna le PMI nella compliance verso il Cyber Resilience Act. Quest’ultimo, mediante un finanziamento complessivo di 16,5 milioni di euro destinati alle PMI europee. La strada da percorrere è ancora lunga ma si sta andando nella giusta direzione” .

Vai al sito di Cybersecurity Italia.

L'articolo ACN, Cyber Index PMI 2025: “Più consapevolezza ma divari nella gestione del rischio” sembra essere il primo su CyberSecurity Italia.