Allarme rosso cybersicurezza: aziende italiane sotto assedio!

Nel contesto economico attuale, caratterizzato da una crescente digitalizzazione e interconnessione globale, le imprese si trovano ad affrontare una crescente esposizione alle minacce informatiche. La cybersicurezza rappresenta un nuovo ambito disciplinare in cui le tradizionali categorie del diritto penale si confrontano con fenomeni la cui natura, struttura ed effetti sono inediti.

## Evoluzione Normativa in Materia di Cybersicurezza

Nell’ambito della cybersicurezza, il legislatore italiano, in linea con le direttive europee, ha intrapreso iniziative significative per potenziare il quadro normativo e fornire all’ordinamento strumenti efficaci per la prevenzione e la repressione di condotte digitali penalmente rilevanti. Due interventi legislativi di rilievo sono la Legge 28 giugno 2024, n. 90, e il Decreto Legislativo 4 settembre 2024, n. 138.

La Legge n. 90/2024 rappresenta una riforma organica della disciplina penale dei reati informatici, inasprendo le sanzioni per fattispecie già esistenti come l’accesso abusivo a sistemi informatici, l’intercettazione illecita e il danneggiamento di dati. Introduce inoltre nuove ipotesi delittuose, tra cui l’estorsione informatica (art. 629, comma 3 c.p.), pensata per contrastare le prassi criminali come i ransomware, che colpiscono sistemi informatici pubblici e privati con effetti devastanti.

Il D. Lgs. n. 138/2024, che attua la Direttiva (UE) 2022/2555, più ampiamente conosciuta come NIS2, estende l’ambito di applicazione della normativa a tutte le imprese operanti in settori strategici, includendo numerose realtà imprenditoriali prima escluse. Tale decreto impone una serie di obblighi, tra cui l’iscrizione all’Agenzia per la Cybersicurezza Nazionale (ACN), l’implementazione di sistemi per la gestione dei rischi, la notifica tempestiva degli incidenti informatici al CSIRT Italia, e l’adozione di requisiti stringenti in materia di vigilanza e formazione interna. Di particolare rilevanza è la diretta responsabilità degli organi societari, con sanzioni che possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo.

## Preoccupazioni e Strategie Aziendali
Il “Global Cyber Directors and Officers Survey 2025” evidenzia che i rischi legati alla sicurezza informatica sono una fonte di grande preoccupazione per i leader aziendali. La perdita di dati e gli attacchi informatici rappresentano tra le maggiori inquietudini, talvolta superando persino quelle relative a salute e sicurezza sul luogo di lavoro.

Gli attacchi di phishing e l’ingegneria sociale, i ransomware e le debolezze nei sistemi di cybersecurity sono le minacce più temute. Tuttavia, la conoscenza della sicurezza informatica tra i manager sembra ancora limitata, con una sottovalutazione dei rischi legati alla catena di approvvigionamento e all’uso dell’intelligenza artificiale.

## L’Emergenza Ransomware e le Minacce Fisiche

Il Ransomware Report di Semperis rivela che il 78% degli intervistati è stato vittima di ransomware nell’ultimo anno, con il 73% che ha subito attacchi multipli. Nel 40% dei casi, i criminali informatici hanno persino esercitato minacce fisiche nei confronti dei dirigenti delle organizzazioni che hanno rifiutato di versare il riscatto.

Nonostante il calo nel numero di aziende che pagano i riscatti, il 69% delle vittime ha comunque ceduto all’estorsione. Il 38% ha effettuato più di un pagamento di riscatto, e l’11% è giunto a tre o più pagamenti. In Italia, l’82% delle aziende con oltre 500 dipendenti ha subito attacchi ransomware negli ultimi 12 mesi, con il 56% che identifica l’infrastruttura di identità come punto di ingresso.
## Furti Aziendali e Attacchi Informatici: Un Quadro Allarmante

Un panorama inquietante emerge riguardo ai furti aziendali e agli attacchi informatici. Secondo il Rapporto Intersettoriale sulla Criminalità Predatoria 2024, elaborato dal Ministero dell’Interno, si è registrato un incremento significativo dei furti a danno delle imprese, con una particolare incidenza nei settori della logistica e del commercio al dettaglio. Il Rapporto Clusit 2025 documenta 3.541 gravi incidenti cyber a livello mondiale, con un aumento del 27,4% rispetto all’anno precedente. Di questi, l’Italia ha subito il 10% degli attacchi, registrando un incremento del 15%.

Nonostante questi avvertimenti, solo il 15% delle PMI italiane adotta un approccio organizzato alla cybersicurezza. Il Cybersecurity Readiness Index 2025 evidenzia che solo il 4% delle organizzazioni globali si trova in una fase di preparazione definita “matura”.
## Verso una Cybersicurezza Proattiva e Multilivello

La cybersicurezza in ambito penale non può più essere affrontata con un approccio parziale o frammentato. La sola azione repressiva successiva al delitto, pur se intensificata, si dimostra insufficiente se non supportata da una cultura della prevenzione ampiamente diffusa, da una gestione aziendale responsabile e da una efficace cooperazione tra istituzioni e a livello internazionale.

È necessario promuovere un’armonizzazione tra diritto, tecnologia e contesto aziendale, in cui la protezione informatica sia vista non come un semplice costo, bensì come un investimento strategico e un obbligo legale a tutela dell’interesse collettivo.

## Strategie di Mitigazione e Resilienza: Un Imperativo per il Futuro

Di fronte a un panorama di minacce in continua evoluzione, le imprese devono adottare strategie integrate che uniscano prevenzione fisica, difesa informatica e coperture assicurative. Misure fondamentali restano l’installazione di sistemi di sorveglianza video, la gestione degli accessi e l’aggiornamento costante delle competenze del personale. Nel contesto cyber, è fondamentale investire in soluzioni di sicurezza integrate e potenziate dall’intelligenza artificiale, oltre a mantenere i sistemi aggiornati e promuovere una solida cultura digitale interna.

Le imprese devono valutare la sicurezza dei loro partner e fornitori lungo la catena di approvvigionamento, spesso considerati l’anello più debole. La gestione del rischio delle terze parti, l’analisi dell’evoluzione delle minacce, l’esecuzione periodica di test di sicurezza e le esercitazioni simulate sono misure di mitigazione tanto efficaci quanto indispensabili.

Le moderne polizze assicurative per le imprese non si limitano a coprire i danni derivanti da furti e rapine, ma estendono la protezione anche alle ripercussioni economiche degli attacchi digitali: includono i costi di ripristino dei sistemi, l’assistenza tecnica, le sanzioni relative al GDPR e persino le richieste di riscatto.

L’estate, frequentemente, porta alla luce le fragilità delle aziende italiane di fronte a pericoli sempre più evoluti, tanto fisici quanto digitali.
La contemporanea presenza di furti tradizionali e aggressioni informatiche esige un approccio alla sicurezza onnicomprensivo, che contempli investimenti in tecnologie all’avanguardia, la costante preparazione del personale e una rivalutazione delle strategie di tutela adottate.

## Conclusione: Un Investimento Necessario per la Sopravvivenza Aziendale
La cybersicurezza non è più un optional, ma un investimento necessario per la sopravvivenza aziendale. Le imprese che non si adeguano a questa nuova realtà rischiano di subire danni economici e reputazionali irreparabili.