Le piccole e medie imprese (PMI) sono il motore dell’economia italiana, fondamentali per crescita, occupazione e innovazione. Attualmente, la transizione digitale rappresenta un’opportunità per aumentare la competitività delle PMI. Tuttavia, è doveroso ricordare che, in questo contesto, la cybersicurezza diventa centrale, data l’evoluzione delle minacce informatiche alimentata da interconnessione globale e intelligenza artificiale.

Si tratta di difendere know-how, processi produttivi per garantire la continuità operativa e la competitività del sistema produttivo.

Il Rapporto Cyber Index PMI presentato a fine marzo 2025 da Generali e Confindustria con il supporto del Politecnico di Milano e dell’Agenzia per la cybersicurezza nazionale, è scaturito dall’analisi di circa mille PMI ed evidenzia che la maturità digitale è in crescita, ma non abbastanza rapidamente. Ovvero, esiste ancora un gap tra la minaccia cyber e le capacità difensive che deve essere colmato e, in quest’ottica, l’Osservatorio Digital Innovation del Politecnico di Milano promuove la cultura della cybersicurezza, con iniziative a livello nazionale e locale, per accelerare la messa in sicurezza delle imprese.

Di fatto, oggi, la cybersicurezza è una questione collettiva, che richiede un fronte comune tra imprese, istituzioni e società civile, per aumentare la resilienza di tutte le aziende e consolidare il ruolo delle PMI come pilastro dello sviluppo italiano.

Rapporto Cyber Index PMI 2024

Il Rapporto Cyber Index PMI 2024 conferma un quadro ancora piuttosto critico per quanto riguarda la cybersecurity: si registra ancora una diffusa carenza di maturità strategica. Con un punteggio medio di 52 su 100 – ben al di sotto della soglia di sufficienza fissata a 60 – il livello complessivo delle PMI resta sostanzialmente invariato rispetto al 2023, registrando solo un incremento dell’1%. Inoltre, solo il 15% delle aziende adotta un approccio strutturato alla cybersicurezza, mentre una quota significativa – il 56% – si dichiara poco consapevole o completamente impreparata ad affrontare le minacce digitali. Ancora, preoccupa anche il fatto che, pur riconoscendo l’esistenza del rischio, il 44% delle imprese non attiva contromisure efficaci.

I risultati del rapporto 2024 confermano quelli del 2023, ovvero: le PMI italiane affrontano la cybersecurity con ritardo e sottovalutazione, trattandola spesso come una questione esclusivamente tecnica, scollegata dai processi di gestione e sviluppo aziendale. Ciò si riflette anche nella classificazione delle PMI in base a quattro livelli per quanto riguarda la maturità cyber e, precisamente:

• Maturo – Solo il 15% delle imprese adotta strategie avanzate e un approccio sistemico alla sicurezza.
• Consapevole – Il 29% delle PMI è consapevole del rischio, ma dispongono di competenze limitate.
• Informato – Il 38% delle organizzazioni ha una conoscenza di base, ma non ha implementato alcuna strategia concreta.
• Principiante – Il 18% delle PMI è quasi del tutto sprovvisto di protezioni adeguate.

Il Cyber Index si basa anche su tre dimensioni fondamentali, quali:

• Approccio strategico (capacità di pianificare e investire a lungo termine);
• Identificazione (consapevolezza del rischio e capacità di analisi del contesto e delle minacce);
• Attuazione (implementazione di soluzioni e modelli organizzativi adeguati).

Purtroppo, il 35% delle PMI, pur avendo preso coscienza del rischio cyber, mostra gravi difficoltà nel gestire concretamente il problema. Ciò significa che ben il 55% del tessuto produttivo necessita di un’attivazione urgente per colmare questo gap.

Purtroppo, gli scenari sempre più instabili e caratterizzati da policrisi e permacrisi geopolitiche e geoeconomiche hanno ulteriormente aggravato lo scenario della cybersecurity. In Italia, solo nel secondo semestre del 2024 si contano 977 eventi cyber, di cui 405 con impatto confermato. Molti di questi hanno colpito settori critici quali: telecomunicazioni, pubblica amministrazione e infrastrutture strategiche.

Secondo quanto si evince dal rapporto, il 9% delle PMI italiane, ha subito una compromissione dei propri sistemi tra il 2020 e il 2023. Inoltre, a preoccupare è anche il crescente impatto degli attacchi di social engineering, particolarmente diffusi in Italia rispetto ad altri Paesi. Ancora, si registra un aumento degli attacchi alla supply chain, che possono propagarsi lungo l’intera filiera, con conseguenze gravi per il business. Senza dimenticare che le PMI che operano in contesti strategici o all’estero, soprattutto in aree geopoliticamente instabili, risultano particolarmente esposte.

Il rapporto segnala, altresì, un uso crescente delle tecnologie di intelligenza artificiale (IA) da parte dei cybercriminali – in particolare dell’IA generativa (IAGen) – che rendono più efficaci le campagne di phishing e social engineering, oltre a facilitare l’individuazione di vulnerabilità e permettere la creazione di deepfake, amplificando i rischi di disinformazione e manipolazione digitale.

Per rafforzare la cyber resilienza delle PMI è fondamentale promuovere un percorso di miglioramento continuo, che si basi su una collaborazione virtuosa tra pubblico e privato. In quest’ottica, l’adozione delle nuove normative europee – quali la Direttiva NIS2 e il Cyber Resilience Act – rappresenta un passo cruciale. Allo stesso tempo, è indispensabile sostenere le PMI attraverso incentivi e bandi pubblici. È doveroso evidenziare che, purtroppo, anche in questo ambito, si registra un forte deficit di consapevolezza: quasi il 50% delle aziende non conosce le opportunità disponibili e solo una su dieci ne ha usufruito.

Il rapporto evidenzia che i progressi più evidenti si rilevano nella dimensione dell’approccio strategico, che cresce di 2 punti, arrivando al 56%. Inoltre, sempre più imprenditori e manager riconoscono l’importanza della cybersecurity e iniziano a pianificare investimenti a lungo termine.

Inoltre, risulta in crescita anche la capacità di identificazione, che sale a 45%, ovvero: sempre più aziende conducono audit regolari, si affidano a servizi di vulnerability assessment e cercano di mappare i propri asset e i rischi correlati. Tuttavia, rimane una certa incertezza nel definire le priorità e una scarsa visione integrata del rischio cyber.

Infine, il miglioramento nella dimensione dell’attuazione risulta più contenuto registrando un incremento dell’1%, arrivando a 57%. Ciò è dovuto a una concentrazione eccessiva sulle tecnologie, a discapito del capitale umano e dei processi organizzativi. Di fatto, senza un adeguato mix di competenze, anche le migliori soluzioni tecniche rischiano di essere inefficaci.

A che punto siamo e cosa è necessario fare?

Dal Rapporto Cyber Index PMI 2024 emerge chiaramente che una quota ancora troppo ampia di PMI non è consapevole del ruolo strategico del digitale e della cybersecurity nello scenario economico e geopolitico attuale. Allo stesso tempo, molte imprese non sono autonome nell’implementazione delle misure di sicurezza. Le cause di questa arretratezza sono molteplici: la scarsa consapevolezza del personale, assenza di linee guida efficaci da parte delle istituzioni, carenza di competenze specialistiche e, come già evidenziato nel precedente rapporto, limitate risorse economiche.

È doveroso evidenziare che il Cyber Index deve essere visto come una leva in grado di innescare un processo di consapevolezza. Si tratta di far emergere le difficoltà delle PMI e supportare l’intero ecosistema produttivo nell’adozione di soluzioni adeguate a garantire la sicurezza dell’intero sistema Paese.

È necessario un cambio culturale: la cybersecurity non è solo un obbligo tecnico, ma deve essere percepita come una leva per la crescita e la competitività, considerando che può contribuire a rafforzare la fiducia di clienti, partner e istituzioni. Inoltre, sempre più stakeholder considerano la gestione etica e responsabile della tecnologia e dei dati come un elemento distintivo. Ne consegue che le PMI, che non riusciranno a adeguarsi, rischiano di essere escluse dalle filiere strategiche e di perdere opportunità, anche a livello internazionale, dove sono richiesti standard di sicurezza più elevati, certificazioni specifiche o coperture assicurative dedicate.

Il rischio cyber ha cambiato natura: da rischio tecnico e operativo, sta assumendo una dimensione sistemica. Ovvero,in un mondo in cui il digitale è sempre più pervasivo, la cybersecurity non riguarda solo l’azienda, ma ha ripercussioni dirette sull’intera società. Per questo motivo, la gestione del rischio cyber è oggi una responsabilità collettiva e un pilastro imprescindibile di una società digitale sicura e resiliente.

Inoltre, sempre più frequentemente, il rischio cyber è incluso tra i criteri ESG (Environmental, Social, Governance), poiché incide direttamente sulla sostenibilità aziendale. Ne consegue che anche le politiche nazionali e internazionali devono orientarsi in questa direzione, considerando la cybersecurity un elemento chiave per il raggiungimento degli Obiettivi di Sviluppo Sostenibile (SDGs).

Per affrontare questa sfida servono: specialisti e competenze digitali diffuse; ricerca e innovazione, per stimolare la nascita di nuove startup; sovranità tecnologica, per rendere l’Italia (e l’Europa) più autonoma nella difesa del proprio patrimonio informativo.

È in questa prospettiva che il Governo italiano – attraverso l’Agenzia per la Cybersicurezza Nazionale (ACN) e altri organismi competenti – sta lavorando per rafforzare il sistema Paese. Inoltre, con il progetto Cyber Index PMI si intende sostenere tutte le imprese nel processo di trasformazione digitale, oltre a promuovere un dialogo costruttivo tra pubblico e privato.

Conclusione

I dati del Cyber Index PMI restituiscono un quadro allarmante che richiede interventi urgenti e mirati.

Le PMI sono il cuore dell’economia italiana e la stabilità e la crescita del Paese dipenderanno sempre più dalla loro capacità – insieme alle istituzioni – di sviluppare una cultura solida della cybersecurity e di adottare misure efficaci contro le minacce informatiche.

Per rafforzare la cyber resilienza delle PMI è fondamentale promuovere un percorso di miglioramento continuo, che si basi su una collaborazione virtuosa tra pubblico e privato. In quest’ottica, l’adozione delle nuove normative europee – come la Direttiva NIS2 e il Cyber Resilience Act – rappresenta un passo cruciale. Allo stesso tempo, è indispensabile il potenziamento degli strumenti di supporto finanziario e tecnologico, anche tramite fondi europei. Ne è un esempio concreto il progetto EU Secure, che ha stanziato 16,5 milioni di euro per finanziare le PMI europee nell’implementazione di soluzioni di sicurezza digitale.

È necessario un cambio di passo deciso, che ponga al centro strategia, consapevolezza e cultura organizzativa, per sviluppare una resilienza digitale autentica e duratura. In altre parole, le PMI devono impegnarsi maggiormente per creare un ecosistema sicuro e competitivo, attraverso l’adozione dei principi di risk management, business continuity e cybersecurity. La loro integrazione equilibrata rappresenta il punto di partenza per un percorso continuo verso la cyber resilienza, che è alla base della normativa europea, sempre più orientata a un approccio risk-based e resilience-based.

Cybsec-news.it vi invita alla seconda edizione della CYBSEC EXPO, in programma a Piacenza dal 21 al 23 Maggio 2025.