Cybersecurity, la strada è tracciata

137
in foto Lara Comi

L’Europa invita a innalzare l’attenzione su privacy e sicurezza informatica. Recepire le direttive può essere un primo passo per le imprese. Ne parla Lara Comi, eurodeputato e membro della commissione per il mercato interno e la protezione dei consumatori con delega alla cybersecurity.

Trentaquattro milioni di investimenti in cybersecurity in Italia nel 2018. Sono sufficienti per proteggere le informazioni delle nostre imprese?
Secondo la recente EY Global Information Security Survey, il 97% delle imprese italiane dispone di risorse non adeguate al livello di sicurezza informatica richiesto, mentre il 55% delle imprese, a livello sia italiano sia globale, non integra la protezione dell’organizzazione nella propria strategia aziendale complessiva e nei piani esecutivi. Però tutte le ricerche e le statistiche segnalano anche che gli investimenti in cybersecurity da parte delle imprese sono in crescita, con percentuali superiori rispetto ai numeri dello stesso mercato digitale. È evidente che ci siano ancora molti passi da fare, ma la strada è tracciata.
Se mi chiede se la politica stia facendo abbastanza, ecco sicuramente la risposta è no. Se pensiamo che nell’era del 5G nel nostro Paese ci sono delle aree dove ancora si fa fatica a prendere con il 3G, già comprendiamo quanto possa essere complicato pensare di porre il tema della cybersecurity al centro dell’agenda politica.
D’altra parte, già nella mia relazione sulla strategia del mercato unico, approvata dal Parlamento europeo nel 2016, si osservava “con preoccupazione che tra il 40 e il 47% della popolazione dell’Unione non dispone di sufficienti competenze digitali e che la domanda di personale qualificato nel settore digitale cresce ogni anno del 4%, mentre la spesa pubblica in materia di istruzione ha registrato una diminuzione del 3,2% rispetto al 2010, mettendo così a repentaglio la competitività dell’Unione europea a medio termine e l’occupabilità della sua forza lavoro”, incoraggiando gli stati membri “a investire nell’istruzione e nelle competenze digitali”.

C’è adeguata conoscenza del tema? A che punto siamo?
Io credo che il Gdpr (General Data Protection Regulation) abbia aiutato, per non dire costretto, molte aziende ad alzare le antenne sul tema della sicurezza informatica, con l’auspicio che questo possa aver contribuito anche a creare maggior consapevolezza sul tema. Il fatto che in ogni azienda si debba identificare un Data Protection Officer, per quanto possa essere inizialmente vissuto soprattutto come un obbligo, rappresenta comunque l’occasione, anche per chi è meno a conoscenza dei rischi della cybersecurity, per interfacciarsi con i professionisti della sicurezza informatica e per avviare un percorso di presa di coscienza di quanto le minacce informatiche possano costare, anche in termini economici, alle imprese, e di quanto sia importante intervenire in un’ottica di prevenzione.
In Italia non dobbiamo dimenticarci che abbiamo un problema in più: la dimensione delle nostre imprese è tendenzialmente inferiore rispetto agli altri grandi paesi europei, pertanto è necessario che le istituzioni facciano la loro parte, per venire incontro ai costi che gravano soprattutto sulle piccole e medie imprese, accompagnando lo sviluppo del tema della cybersecurity con misure concrete e magari con incentivi ad hoc.

Le tecnologie e quindi le minacce informatiche evolvono più velocemente della legislazione. Come tutelarsi? La legislazione italiana è adeguata?
L’Europa sotto questo punto di vista può essere un’opportunità straordinaria. La direttiva Nis (Network and Information Security) del 2016 impone che ciascuno Stato membro debba dotarsi di una strategia nazionale di cybersecurity che definisca gli obiettivi strategici, le politiche adeguate e le misure di regolamentazione, mentre il Cybersecurity Act, su cui Parlamento, Consiglio e Commissione hanno raggiunto un accordo nel dicembre del 2018, prevede di rafforzare il mandato dell’Agenzia dell’Unione europea per la sicurezza delle reti e dei sistemi (Enisa) e introdurre un sistema di certificazione unica che attesti i livelli di sicurezza informatica per prodotti e servizi.
Sono iniziative che si pongono l’obiettivo di trascinare gli stati membri verso uno standard medio di attenzione nei confronti di questi temi sempre più delicati. Recepire in maniera seria ed efficace queste direttive può essere un primo passo per indirizzarsi sulla strada giusta.

Cosa state facendo in Europa per le imprese?
L’Europa fa molto per le imprese, ma personalmente sollecito per quanto possibile a fare ancora di più. I fondi strutturali e di investimento europei del settennato 2014-2020, a fine 2017 avevano dato sostegno a un milione di imprese europee, tra cui 74mila startup, per crescere, fare innovazione, lanciare nuovi prodotti e creare occupazione.
Con il prossimo bilancio di lungo periodo 2021-2027 nascerà InvestEU, il nuovo programma comunitario per sostenere gli investimenti e l’accesso ai finanziamenti, con una garanzia di circa 40 miliardi di euro che sarà in grado di mobilitare qualcosa come quasi 700 miliardi di investimenti aggiuntivi in tutta Europa: uno strumento molto importante per la crescita economica, la creazione di posti di lavoro, l’imprenditorialità e la coesione sociale, economica e territoriale dell’Unione europea.
Nel mio piccolo, il 17 gennaio il Parlamento europeo ha approvato la mia relazione sull’attuazione della direttiva Ue del 2011 sui ritardi di pagamento, che promuove tutta una serie di misure stringenti, a partire dalle forme obbligatorie di compensazione tra crediti vantati presso la Pubblica amministrazione e debiti fiscali, per provare a combattere un fenomeno che è dannoso per l’intera economia europea. Rispetto ai temi della cybersecurity potrà sembrare qualcosa di un’altra era geologica, ma posso assicurare che è un problema di un’attualità sconvolgente: solo in Italia quasi 5mila imprese all’anno falliscono per crediti non riscossi dalla Pubblica amministrazione, mentre in Europa sei imprese su dieci vengono pagate in ritardo rispetto ai termini contrattuali e un fallimento su quattro è causato dai ritardi di pagamento. Un giorno di riduzione dei ritardi di pagamento in Europa potrebbe far risparmiare qualcosa come 158 milioni di euro in costi finanziari. E siccome gli investimenti in cybersecurity spesso vengono rimandati perché ritenuti non urgenti, soprattutto dalle piccole e medie imprese, ci rendiamo conto come anche questo aspetto dei ritardi di pagamento sia un ostacolo alla crescita e all’innovazione delle imprese.