Oltre un terzo delle PMI svizzere è già stato vittima di attacchi informatici rivolti. Tuttavia, solo una PMI su sette ritiene che gli attacchi informatici siano un pericolo per l'impresa stessa. Cosa questa contraddizione significhi per la sicurezza della vostra impresa, lo spiegano Markus Beck, Responsabile Traffico dei pagamenti Clientela aziendale presso Raiffeisen e Andreas Hölzli, Responsabile Centro di competenze Cyber Risk della Mobiliare, nell'intervista.
Il traffico dei pagamenti diventa sempre più digitale portando con sé sempre più pericoli informatici per le PMI. Quanto è diffuso il problema?
Andreas Hölzli: Secondo uno studio rappresentativo, il 36 per cento delle PMI svizzere è già stato vittima di un attacco informatico, subendo danni sostanziali.
È una cifra molto elevata. Gli imprenditori sono consapevoli di questo pericolo?
A. H.: No, il rischio viene sottovalutato. Nello stesso studio solo il 15 per cento ha indicato di ritenere gli attacchi informatici come un pericolo elevato o molto elevato. Proprio le aziende più piccole spesso si cullano nell'errata convinzione di essere al sicuro, poiché pensano che il problema riguardi solo «le grandi».
Markus Beck: Sulla base dei miei contatti con gli imprenditori, ho notato che negli ultimi anni la consapevolezza dei rischi è aumentata.
A. H.: Lo vediamo anche da noi: la domanda di assicurazioni cyber protezione, che abbiamo lanciato nel 2017, è costantemente aumentata.
Assicurazione cyber protezione per aziende
Un'assicurazione cyber protezione è una buona integrazione alle misure di protezione cyber preventive. Oltre al ripristino dei dati e alla rimozione di programmi nocivi, essa assicura per esempio anche un'eventuale perdita di reddito.
Siete interessati? Raiffeisen offre in collaborazione con la Mobiliare un'ampia assicurazione cyber protezione.
Quali rischi corrono concretamente le PMI?
A. H.: Nella maggior parte dei casi sono vittima dei cosiddetti ransomware: gli hacker bloccano i sistemi informatici e richiedono un riscatto per sbloccarli. Ma già al secondo posto troviamo le truffe su Internet. Una forma frequente è il cosiddetto whaling: gli hacker si spacciano per superiori e richiedono ai collaboratori di effettuare pagamenti con urgenza.
Ma in realtà ci si accorge se a chiamare o a scrivere un'e-mail è veramente il capo.
M. B.: Che un tentativo di frode si potesse scoprire facilmente era forse vero un tempo. Adesso abbiamo già sentito di casi in cui è stato utilizzato un software di imitazione della voce per ingannare i collaboratori.
A. H.: Non si deve pensare alla cyber criminalità come all'azione di un singolo uomo. L'idea dell'hacker solitario, seduto davanti allo schermo col cappuccio in testa, è ormai superata: oggi a compiere gli attacchi sono call center altamente organizzati e specializzati. In genere l'attacco vero e proprio è preceduto da intense ricerche. Le e-mail possono essere intercettate da soggetti malintenzionati con relativa facilità e poi utilizzate per imitare lo stile del superiore.
Come posso proteggermi da questi attacchi?
A. H.: Bisogna agire prima che accada qualcosa, tenendo conto di quattro aspetti essenziali. In primo luogo proteggere a livello tecnico l'infrastruttura informatica, quindi con software antivirus e firewall. In secondo luogo, fare dei back-up separati dal sistema. Terzo, istruire i collaboratori. E, infine, allestire un piano d'emergenza se, nonostante tutto, dovesse succedere qualcosa.
M. B.: Proprio gli ultimi due punti sono fondamentali: non basta limitare la protezione dagli attacchi informatici alla sola tecnologia. Servono misure organizzative: regole e accordi su come procedere, ad esempio, se il capo contatta un collaboratore per un ordine di pagamento urgente.
Le PMI svizzere devono quindi adottare misure?
A. H.: Sì, soprattutto a livello organizzativo. La maggior parte delle PMI collabora con fornitori di servizi informatici che già soddisfano i principali standard di sicurezza tecnici. «Ci pensano loro» si sente spesso dire. Molte PMI temono i costi per ciò che esula da queste semplici misure.
M. B.: In realtà i conti sono presto fatti; un audit professionale sulla sicurezza non è sicuramente gratuito, ma a confronto con il danno che si può subire se effettivamente si deve bloccare tutta l'attività o se si effettuano pagamenti non autorizzati, allora diventa un investimento esiguo.
In qualità di PMI, come posso capire se le mie misure sono sufficienti?
A. H.: Una buona analisi della situazione è il check rapido PMI della Confederazione e di diversi partner tecnologici, che consente alle imprese di farsi un'idea della loro esposizione ai cyber rischi e di ricevere consigli su come aumentare la sicurezza.
Oltre agli specialisti e ai tool specifici, in che modo ognuno di noi può contribuire alla sicurezza?
M. B.: È importante che tutti sviluppino una certa consapevolezza dei pericoli. Generalmente sono le e-mail a rappresentare il rischio maggiore. Tutti devono sapere che non si deve cliccare su link sconosciuti e che non si devono inviare per e-mail informazioni sensibili come i dati delle fatture.
A. H.: Proveniamo da un mondo analogico. Mentre chiudere la porta di casa ci viene assolutamente naturale, questa consapevolezza ci manca quando dobbiamo bloccare il PC prima di lasciare la postazione di lavoro. Bisogna assumere questo automatismo. Anche utilizzando password diverse da «123456» si può fornire un grande contributo in termini di sicurezza. Se la password è lunga almeno otto caratteri, ha maiuscole, minuscole e caratteri speciali, è già molto sicura. Naturalmente a condizione che non sia scritta su un post-it attaccato allo schermo del PC.
E per quanto riguarda il traffico dei pagamenti?
A. H.: Anche qui è fondamentale che ogni utente abbia un account proprio. Non si devono assolutamente condividere account e password.
M. B.: Su Raiffeisen PMI eServices, per esempio, è addirittura impossibile.
Parliamo di questa piattaforma che offre un elevato livello di protezione contro gli attacchi informatici. In che modo?
M. B.: Separando la registrazione di un pagamento dall’autorizzazione. I pagamenti vengono infatti registrati nel software di contabilità o nel sistema ERP dell’azienda e trasmessi automaticamente al software bancario di Raiffeisen. Per autorizzarli occorre effettuare il login a PMI eServices, dove, quale elemento di sicurezza aggiuntivo, si ha la possibilità di impostare una sottoscrizione multipla, per cui servono due o più persone per autorizzare il pagamento. Il tutto si basa sullo standard multibanking EBICS che, di per sé, è già molto sicuro.
Che cosa deve fare una PMI se, nonostante tutto, succede qualcosa, per esempio se sono stati effettuati pagamenti che non avrebbero dovuto aver luogo?
M. B.: Deve contattare la banca il prima possibile! Se il pagamento è ancora in sospeso, la banca può eventualmente ancora bloccarlo. Non si deve però dimenticare che i cybercriminali sono ben informati e sanno esattamente quando le banche elaborano i propri pagamenti. Il denaro finisce quindi molto velocemente sul conto della banca beneficiaria.
Un'assicurazione cyber può essere un rimedio in questi casi?
A. H.: Sì. L'assicurazione copre i danni materiali, per esempio la perdita di reddito se sono bloccati i sistemi, i costi per il ripristino dei dati e la «pulizia» dei sistemi se è stato infiltrato un malware. Una PMI non dovrebbe mai scegliere tra un'assicurazione e misure di protezione, ma investire in entrambe.
Markus Beck è Responsabile Traffico dei pagamenti Clientela aziendale presso Raiffeisen.
Andreas Hölzli è Responsabile del Centro di competenze cyber rischi della Mobiliare.