Skip to content

sicurezza online

L’insostenibile stato della cybersecurity in Italia tra investimenti e competenze

La cybersecurity in Italia tra stato dell'arte, sfide, urgenze e scenari. L'analisi di Stefano da Empoli, presidente di I-Com

 

Non ci sarebbe neppure bisogno di dati per intuire che le minacce informatiche a livello globale siano cresciute costantemente nel corso degli ultimi anni. In parte è una naturale conseguenza dell’incremento di utenti e traffico su Internet. Ma per altri versi appare il frutto di azioni deliberate sempre più sofisticate messe in atto da una pluralità di attori organizzati operanti a livello internazionale.

Osservando i dati relativi all’ultimo quinquennio, forniti  dall’ultimo rapporto dell’Associazione Italiana per la Sicurezza Informatica (Clusit), pubblicato a marzo 2023, è possibile notare come il numero di azioni malevole annuali sia cresciuto su scala globale di oltre il 60%, passando dalle 1.554 del 2018 alle 2.489 del 2022. Con un’ulteriore impennata proprio nell’ultimo anno quando l’incremento si è attestato sul 21,5%, tasso di aumento più che doppio rispetto a quello riscontrato nel periodo precedente. Il principale bersaglio degli attacchi rimane il continente americano (38% nel 2022) ma aumenta la quota dell’Europa, passata dal 21% del 2021 al 24% del 2022. Un dato preoccupante tenuto conto che il continente americano sopravanza nettamente quello europeo per popolazione (e numero di utenze Internet).

A fronte di queste minacce crescenti, aumentano gli investimenti dei soggetti più esposti e allo stesso tempo più attrezzati, per dimensione e attenzione alla strategicità delle questioni della sicurezza informatica.

Guardando agli “Operatori di servizi essenziali” (OSE) e ai “Digital Service Providers” (DSP), cioè le due macrocategorie sottoposte alla direttiva NIS,  l’agenzia europea ENISA ha rilevato che la spesa media per la sicurezza informatica è ammontata nel corso del 2021 a €4 milioni, in netta crescita rispetto all’anno precedente in cui si era fermata a €2,15 milioni. L’Italia non sfigura anche se in media le stesse organizzazioni spendono in cybersecurity il 6,6% del proprio budget IT (contro una media europea del 7,8%). Tra i settori, a investire maggiori risorse in valore assoluto sono le organizzazioni del settore bancario, con una media di €8,5 milioni di euro (dati 2021). Seguono quelle del settore dell’energia (€5,5 milioni) e i marketplace online (€3,8 milioni).

Parametrando la quota di spesa in sicurezza dell’informazione al totale di spesa IT per settori, si evince che, in linea con i dati del 2020, sono le infrastrutture digitali ad avere la percentuale di spesa in cybersicurezza più elevata (9,6%), seguite da vicino dai marketplace online (8,9%) e dal cloud computing (8,9%). Fornitura e distribuzione di acqua potabile, energia e trasporti si collocano in coda, con una spesa inferiore al 6,5%.

Dunque, senza grandi sorprese, le imprese investono in cybersecurity in misura crescente e cospicua tanto più sono regolate dalla normativa europea e allo stesso tempo affini alla cultura digitale.

Di converso, la generalità delle imprese segna il passo. E quel che è più preoccupante è la totale mancanza di consapevolezza. Basti pensare che, secondo un’indagine ISTAT pubblicata nel 2022, il 48% delle aziende ritenga la cybersecurity poco importante o per nulla rilevante. Di converso solo il 16% la ritiene cruciale. Un risultato del tutto sconfortante che ha molto a che fare con il tema delle competenze digitali, in particolare quelle di base (ma come vedremo la correlazione positiva con quelle specialistiche è particolarmente elevata).  

Il progresso dei singoli Paesi europei sul tema delle skill digitali è monitorato dal 2014 tramite la componente del capitale umano dell’indice composito DESI (Digital Economy and Society Index), che a sua volta prende in considerazione due macroaree rilevanti: i) le competenze degli utenti digitali generici; ii) lo sviluppo di competenze avanzate nel settore ICT. 

Per alcuni indicatori, quali la percentuale di imprese che fornisce formazione ICT, si è verificato un netto miglioramento, mentre in altri ambiti le lacune non si sono ancora colmate, come nella percentuale di laureati in discipline informatiche. Nel punteggio complessivo sul capitale umano, l’Italia si posiziona ancora agli ultimi posti in Europa. Dal 2017 al 2022, l’Italia ha fatto registrare un incremento del punteggio del capitale umano dell’11,5%, mentre nello stesso periodo, il punteggio medio europeo è aumentato del 10,1%. Dunque un incremento superiore alla media degli altri Paesi ma non sufficiente per colmare il divario.

In effetti, se si passa ad altri indicatori che rientrano nella seconda macrocategoria, il gap continua ad aumentare. La percentuale delle imprese che impiegano personale ICT specializzato è infatti passata dal 16% del 2018 al 13,4% del 2022, con un ulteriore allargamento del solco tra Italia e UE, ampliatosi fino a toccare i 7,6 punti percentuali.

L’Italia continua a mostrare un evidente ritardo anche per quanto riguarda i laureati in discipline ICT. I dati Eurostat (2020) mostrano come la quota italiana di laureati ICT sul totale della popolazione laureata, pari all’1,4%, sia la più bassa dell’Unione e rimanga ben al di sotto della media europea, che si attesta al 3,9% (per intenderci il secondo Paese peggiore è comunque sopra il 2%). Particolarmente critico è il dato femminile, che mostra una percentuale di donne iscritte a corsi relativi all’ambito ICT inchiodata dal 2018 allo 0,3% (contro un target di riferimento per il 2025 posto all’1,5%). 

In tutto questo, il monitoraggio avviato all’inizio del 2022 dall’Istituto per la Competitività (I-Com) sulle attività di formazione sulla cibersicurezza in ambito universitario registra segnali incoraggianti, ancorché ancora insufficienti. A gennaio 2023, si registra la presenza di 234 corsi di formazione universitaria, in notevole crescita rispetto ai 79 individuati un anno prima. I corsi analizzati includono sia insegnamenti singoli all’interno di corsi di laurea più generici (“offerta formativa non specializzata”), sia corsi di laurea specifici sul tema, insieme a Master e Dottorati (“offerta formativa specializzata”). Nel dettaglio, su un totale di 97 Università statali e non statali (private, straniere e telematiche) riconosciute dal Miur, il monitoraggio ha rilevato 112 insegnamenti singoli all’interno di corsi di laurea magistrale, 56 insegnamenti singoli all’interno delle lauree triennali e 13 corsi singoli all’interno di dottorati di ricerca, a fronte di 4 lauree triennali, 22 lauree magistrali, 7 dottorati e 18 master interamente dedicati alla cybersecurity.

A tal proposito, si osserva come il numero dei corsi singoli, e conseguentemente il totale dei corsi rilevati, non costituisca un indicatore del livello di approfondimento o di specializzazione sui temi della cibersicurezza, proprio perché la maggior parte dell’offerta si compone di insegnamenti singoli all’interno di corsi di laurea più generici, in particolar modo in corsi di laurea magistrali, che sono con tutta evidenza difficilmente confrontabili con lauree e percorsi specificamente incentrati sulla sicurezza cibernetica. Allo stesso tempo, è interessante notare come le lauree specifiche sul tema della cibersicurezza siano in aumento, giunte a quota 26 (gennaio 2023) rispetto alle 13 rilevate a gennaio 2022. Tuttavia, queste appaiono ancora relativamente poche e quasi tutte collocate, salvo rare eccezioni, nel ciclo magistrale. A tal proposito si osserva che, qualora ciò dovesse dipendere dalla maggiore rigidità dei corsi di laurea triennale, potrebbe essere opportuno da un lato introdurre criteri di maggiore flessibilità, e dall’altro puntare su un maggiore coinvolgimento degli ITS, sia in termini di preparazione per il prosieguo della formazione, sia in quanto preparazione a sé stante per formare tecnici già pronti per essere introdotti, quantomeno rispetto a specifici aspetti, nel mondo del lavoro.

Il vantaggio di percorsi di formazione più rapida interamente o prevalentemente dedicati alla cybersecurity è naturalmente quello di poter far fronte in tempi più ridotti alla domanda di figure specializzate. D’altronde, le potenzialità di crescita sono enormi. Per quanto riguarda gli ITS, i dati più recenti mostrano come gli studenti iscritti agli indirizzi legati alle tecnologie ICT siano appena 889. Ma con una crescita di ben il 346% nell’ultimo quinquennio.

Segno che talvolta l’offerta crea la sua domanda. Specie quando è di qualità.

Torna su