Deloitte Private, “Family Business Cybersecurity”: il 57% delle imprese intervistate ha subito attacchi informatici negli ultimi 2 anni

A livello globale il 74% delle imprese familiari dichiara di aver subito almeno un attacco informatico negli ultimi due anni, a conferma di una minaccia ormai sempre più diffusa e trasversale. In Italia, oltre la metà delle imprese familiari intervistate (57%) dichiara di aver subito almeno un attacco informatico, riuscito o tentato, negli ultimi 24 mesi. Tra queste, il 38% ha affrontato due o più episodi, a conferma di una crescente esposizione al rischio. Solo due imprese familiari su cinque sostengono di non aver registrato attacchi, una quota superiore al 26% rilevato a livello globale.

È quanto emerge dal report di Deloitte “Family Business Cybersecurity”, secondo studio della serie Deloitte Private’s Family Business Insights, che indaga la maturità e le sfide affrontate dalle imprese familiari attraverso una survey internazionale condotta su circa 1.600 aziende.

“Le imprese familiari intervistate – afferma Ernesto Lanzillo, Deloitte Private Leader Italia e area Central Mediterranean – risultano consapevoli dell’esistenza dei rischi informatici e questo rappresenta un segnale positivo, anche se la loro percezione sulla gravità nelle varie geografie resta disomogenea. Guardando ai prossimi 24 mesi, infatti, oltre la metà delle imprese italiane coinvolte nello studio attribuisce un rischio moderato o alto a queste minacce per il proprio business, mentre a livello globale tale percentuale si attesta su circa il 70%. A prescindere da eventuali divari sulle percezioni territoriali del fenomeno, risulta cruciale accompagnare le imprese, non solo familiari, in un percorso di rafforzamento delle proprie strategie di cybersecurity. Questo al fine di renderle sempre più preparate a proteggersi da eventuali attacchi e pianificare i giusti investimenti digitali e di difesa informatica, in coerenza con gli sviluppi e le opportunità connesse allo scenario regolamentare attuale”.

Attacchi sempre più diversificati e con impatti concreti Le imprese familiari si trovano oggi ad affrontare una gamma sempre più ampia di attacchi informatici, che variano da malware e phishing a minacce interne o legate alle vulnerabilità di terze parti. In Italia, circa tre imprese su cinque dichiarano di aver subito attacchi riconducibili a tentativi di phishing o Business Email Compromise (BEC), ossia truffe via e-mail dall’aspetto autentico e difficili da individuare. Poco meno della metà segnala tentativi tramite malware, mentre quasi due imprese su cinque riferiscono minacce originate dall’interno, come la divulgazione intenzionale di dati riservati o l’utilizzo di tecnologie non autorizzate. Queste evidenze confermano un panorama di rischio in cui i cybercriminali sfruttano tanto le vulnerabilità tecniche quanto il fattore umano. In linea con quanto osservato a livello globale, anche per le imprese familiari italiane gli effetti degli attacchi si manifestano su piani multipli - reputazionale, operativo e finanziario - con una prevalenza su quest’ultimo. Solo una minima parte delle aziende riesce a non riportare conseguenze significative: si stima infatti che appena il 4% delle imprese colpite da attacchi informatici riesca a uscirne completamente indenne, mentre la grande maggioranza subisce danni concreti che possono avere impatti negativi sul business.

Potenziare la strategia di difesa In un contesto caratterizzato da minacce sempre più sofisticate, emerge l’esigenza di consolidare la strategia di difesa informatica. Un terzo delle imprese familiari italiane afferma di disporre di una strategia “solida e sempre efficace”, mentre quasi tre su cinque ammettono la presenza di alcune lacune e riconoscono la necessità di migliorarla. Una quota residuale - inferiore a un’azienda su dieci - segnala di non avere ancora una strategia strutturata, pur essendo in fase di sviluppo della stessa.

Nel complesso, il quadro evidenzia una consapevolezza dell’importanza della cybersecurity come priorità di governance, ma anche margini significativi per rafforzare l’approccio strategico alla gestione del rischio. Sul fronte della preparazione, oltre metà del campione italiano (55%) si sente “in larga misura preparata” a difendersi da un attacco informatico, mentre il restante 45% valuta la propria preparazione come “parziale o moderata”. Nessuna impresa, tuttavia, si definisce completamente impreparata.

Cybersecurity di base diffusa, competenze avanzate da rafforzare Anche in Italia le imprese familiari mostrano una buona adozione delle misure fondamentali di cyber hygiene. Dai risultati emerge un’ampia diffusione di pratiche quali la protezione della rete (69%), l’utilizzo di sistemi di autenticazione multifattoriale o password sicure (64%) e l’aggiornamento costante dei software (62%). Tuttavia, solo un’azienda su tre (33%) dichiara di eseguire regolarmente backup dei dati, una delle difese di prima linea raccomandate dai principali framework di sicurezza informatica.

Sul fronte delle capacità più evolute – come threat intelligence, procedure di incident response e identificazione dei key asset da proteggere – i livelli di adozione risultano ancora limitati e disomogenei, con l’eccezione della rilevazione tempestiva di potenziali minacce, che mostra una maggiore diffusione. Solo il 14% delle imprese effettua valutazioni di cyber maturity, strutturate su persone, processi e tecnologie. Nel complesso, i dati indicano che molte imprese hanno consolidato i presidi essenziali, ma ci sono ampie opportunità per rafforzare il proprio grado di maturità cyber, adottando strumenti e strategie più avanzate per migliorare la resilienza complessiva.