In un anno, il numero di attacchi informatici è aumentato significativamente in tutto il mondo. Solo nel secondo trimestre del 2024, il numero di casi segnalati è salito di circa il 30% rispetto allo stesso periodo dell’anno precedente. In Svizzera, nel 2023 si è addirittura registrato un incremento degli attacchi informatici del 61% rispetto all’anno precedente. Quasi la metà delle grandi aziende svizzere è stata attaccata almeno una volta da criminali informatici. Recenti indagini inducono a pensare che questa tendenza si acuirà ulteriormente nel corso di quest’anno.
Alla luce di tali sviluppi, nell’estate di quest’anno il Consiglio federale ha pubblicato un rapporto che da un lato sottolinea la necessità di coordinare la prevenzione e la repressione, ma dall’altro chiede anche una collaborazione ancora più stretta tra i diversi attori e un lavoro di prevenzione più intenso per la protezione della popolazione e delle aziende.
Helvetia Assicurazioni ha segnalato già da tempo la necessità di rafforzare la cooperazione tra economia, scienza e Stato, soprattutto al fine di ridurre al minimo i rischi di attacchi informatici sistemici di grandi dimensioni, che richiedono un’elevata capacità di copertura e al cui verificarsi solo una minima parte dei danni prevedibili sarebbe anche effettivamente assicurata.
La penetrazione del mercato è ancora limitata
Per discutere le possibilità di ridurre al minimo questa lacuna assicurativa e per delineare le possibili prospettive di sviluppo di una resilienza informatica sostenibile in Svizzera, su iniziativa dell’Helvetia, già per la seconda volta dal 2023 noti rappresentanti dell’economia, della scienza e dello Stato si sono incontrati in occasione di un simposio dal titolo «Sviluppare ulteriormente la resilienza informatica: tendenze e prospettive».
Martin Jara, ospite dell’evento e CEO dell’Helvetia Svizzera, ha precisato nella sua relazione di apertura: «È vero che di recente sono stati compiuti progressi nella lotta contro la criminalità informatica, ma permangono ancora ostacoli che rendono difficile un miglioramento efficace della resilienza informatica». Martin Jara ritiene che anche le compagnie assicurative stesse abbiano le loro responsabilità: «Negli ultimi anni il settore ha avanzato offerte assicurative equilibrate per aziende e privati e ha investito molto nell’aumento della resilienza, ma la penetrazione del mercato è ancora molto limitata». Eppure, assicurare il maggior numero possibile di aziende contribuirebbe in modo importante a ridurre al minimo i danni non coperti nel caso di un evento di grande entità.
Alla fine dello scorso anno l’Associazione Svizzera d’Assicurazioni ASA, in collaborazione con l’agenzia di valutazione del rischio Moody’s RMS, ha calcolato l’entità del rischio di un attacco informatico sistemico su larga scala per la Svizzera. Laurent Marescot, Senior Director ed esperto di gestione del rischio di catastrofi presso Moody’s, stima attualmente che ogni anno in Svizzera ci sia l’1% di probabilità che si verifichi un evento informatico in grado di generare danni complessivi per l’economia nazionale per oltre 2.5 miliardi di franchi. La calibrazione di un modello di rischio adeguato ha evidenziato un aspetto particolarmente complesso: gli incidenti informatici non possono essere ricondotti a eventi storici comparabili e, a differenza dei danni causati dalle catastrofi naturali, l’impatto di tali eventi non è chiaramente delimitabile dal punto di vista geografico.
La resilienza della società deve essere aumentata in modo duraturo
Per ridurre questa lacuna, secondo i rappresentanti dell’economia presenti è indispensabile aumentare in modo duraturo la resilienza della piazza economica svizzera. Tuttavia, secondo Klaus Julisch, partner di Deloitte (Svizzera) SA, a spesso la natura umana ostacola questo intento. Un atteggiamento che presuppone che non possano esistere le cose di cui non è moralmente lecita l’esistenza e una fiducia cieca nella tecnologia spesso spalancano le porte agli hacker. Nella situazione attuale, è invece assolutamente necessario verificare anche la sicurezza informatica di tutti i progetti IT e mantenere costantemente aggiornato questo monitoraggio. I progetti che non soddisfano questi requisiti oggi non sono più sostenibili o, secondo le parole di Klaus Julisch: «I progetti digitali che non possono permettersi un determinato margine di sicurezza informatica non hanno un business case».
Per incrementare la resilienza nei confronti dei criminali informatici, Marc Holitscher, National Technology Officer e membro del comitato di direzione di Microsoft Svizzera, punta soprattutto sulle possibilità offerte dall’intelligenza artificiale: «L’IA consente già oggi una difesa coordinata tra tutti i vettori di minacce, al fine di garantire in ultima analisi la massima trasparenza e per contrastare a 360° le possibili minacce». Almeno altrettanto importante è però, secondo Holitscher, il know-how sulle strategie e sulle procedure dei criminali informatici, che oggi può essere sviluppato in modo molto più efficiente grazie a soluzioni di IA generativa, approccio che a sua volta consente di contrastare in modo più mirato eventuali attacchi.
La responsabilità inizia dal singolo utente IT
Tutti i relatori concordano sul fatto che, in ultima analisi, una lotta efficiente contro gli attacchi informatici debba partire dagli utenti delle relative infrastrutture. Vi ha fatto riferimento anche Christoph Guntersweiler, responsabile Assicurazioni tecniche presso l’Helvetia, che nel suo intervento ha sottolineato, tra le altre cose, l’importanza di una continua sensibilizzazione del personale delle PMI e delle grandi aziende: «Solo chi, tra le varie misure, sensibilizza regolarmente e in modo approfondito gli utenti interni all’azienda rispetto ai rischi informatici può proteggersi con sistematicità dagli attacchi».
Potenziali di danno giganteschi a livello mondiale
Nonostante l’elevata consapevolezza dei rischi informatici, gli attacchi sistemici a infrastrutture critiche da parte di criminali o attori politici rimangono un rischio latente. Se si considerano le lacune assicurative esistenti, il potenziale di perdita netta a livello mondiale si rivela enorme. Kai-Uwe Schanz, Deputy Managing Director del think tank assicurativo Geneva Association, si concentra sulle dimensioni globali degli attacchi malware coordinati o dei guasti ai cloud a livello mondiale con danni compresi tra i 50 e i 200 miliardi di dollari. In caso di attacchi mirati a infrastrutture critiche come l’approvvigionamento energetico globale, i danni consequenziali supererebbero addirittura i 1000 miliardi di dollari.
Partenariati pubblico-privati come possibile approccio risolutivo
Secondo la Geneva Association, i partenariati pubblico-privati (PPP) sono indispensabili per simili incidenti. Proprio la pandemia di COVID avrebbe dimostrato che gli scenari di rischio internazionali e i relativi costi possono essere gestiti solo coinvolgendo il maggior numero possibile di istituzioni e organizzazioni statali e scientifiche nonché adottando approcci innovativi.
Manuel Suter, vicedirettore dell’Ufficio federale della cibersicurezza UFCS, Bernhard Maissen, direttore dell’Ufficio federale delle comunicazioni UFCOM, e Vincent Lenders, direttore del Cyber-Defence Campus presso l’Ufficio federale dell’armamento, hanno dimostrato con i loro interventi che le dimensioni delle minacce informatiche vengono prese sul serio dallo Stato. Tutti gli esperti sono concordi: il rischio di attacchi informatici continuerà ad aumentare. Tra i motivi si annoverano la disponibilità sempre più ampia di offerte hardware e software in tutto il mondo, capacità di calcolo in costante aumento e, di conseguenza, un’interconnessione sempre più fitta. Allo stesso tempo, a causa di ostacoli internazionali vi sono ancora limiti al perseguimento dei criminali.
La Svizzera può contribuire alla cooperazione internazionale
Ma la Svizzera ufficiale è pronta, e questa è la buona notizia, a contribuire a una maggiore sicurezza informatica. Interessante al riguardo anche la proposta dell’UFCS: l’idea è che la Svizzera, in virtù del proprio ruolo di mediatrice nei conflitti internazionali, metta a disposizione la piazza negoziale di Ginevra come sede per dibattiti internazionali sul tema della sicurezza informatica e si impegni attivamente a livello operativo e strategico per uno spazio informatico aperto, libero e sicuro e per il pieno riconoscimento, il rispetto e l’applicazione del diritto internazionale nello spazio digitale. Il Cyber-Defence Campus, in qualità di anello di congiunzione tra università, industria e Confederazione, gestisce già oggi cinque modelli di PPP innovativi che potrebbero senz’altro fungere anche da punto di riferimento per altre iniziative di questo tipo.
La politica deve creare condizioni quadro ottimali
In conclusione, va detto che la Svizzera sta facendo molto in tutti i settori per contrastare la criminalità informatica. Tuttavia, per essere pronti in ultima analisi ad affrontare anche grandi eventi informatici, è assolutamente necessario rafforzare la cooperazione e il coordinamento tra tutti gli interlocutori coinvolti, come economia, scienza e Stato. A tal fine è però necessario il pieno sostegno dei partner politici. La tavola rotonda conclusiva con i consiglieri nazionali e i responsabili della politica di sicurezza Michael Götte (UDC/SG) e Fabian Molina (PS/ZH) ha dimostrato che l’argomento è stato recepito a livello politico. A dispetto delle divergenze nell’attuazione concreta, entrambi i membri della Commissione per la sicurezza del Consiglio nazionale si sono detti concordi nel ritenere che la Svizzera abbia urgente bisogno di recuperare terreno in materia di sicurezza informatica e che ora spetti alla politica creare quanto prima condizioni quadro ottimali per gli attori coinvolti.
L’immagine seguente può essere aperta in alta risoluzione facendo clic su di essa e poi scaricata (JPG - 2,2 MB).
Esclusione della responsabilità
Il presente documento è stato redatto dal Gruppo Helvetia e, salvo consenso dello stesso, non può essere copiato né modificato, offerto, venduto né in altro modo consegnato a terzi dal destinatario. Fa stato ed è vincolante rispettivamente la versione tedesca del documento. Le versioni del documento in altre lingue hanno uno scopo puramente informativo. È stato compiuto ogni ragionevole sforzo per garantire che i fatti venissero presentati correttamente e tutte le opinioni espresse fossero eque e adeguate. Le informazioni e le cifre provenienti da fonti esterne non possono essere intese come approvate o confermate dal Gruppo Helvetia. Né il Gruppo Helvetia in quanto tale né i suoi organi, dirigenti, collaboratori e consulenti né altre persone rispondono delle perdite direttamente o indirettamente derivanti dall’uso delle presenti informazioni. I fatti e le informazioni esposti nel presente documento sono quanto più possibile aggiornati, potrebbero però cambiare in futuro. Sia il Gruppo Helvetia in quanto tale sia i suoi organi, dirigenti, collaboratori e consulenti o altre persone declinano qualsiasi responsabilità o garanzia, esplicita o implicita, per la correttezza o la completezza delle informazioni contenute nel presente documento.
Il presente documento può contenere previsioni o altre affermazioni relative al futuro in rapporto al Gruppo Helvetia che per natura comportano incertezze e rischi generici o specifici e sussiste il rischio che le previsioni, predizioni, i piani e altri contenuti espliciti o impliciti di affermazioni relative al futuro si rivelino non corretti. Richiamiamo l’attenzione sul fatto che tutta una serie di importanti fattori può contribuire a far sì che i risultati effettivi differiscano notevolmente da piani, obiettivi, aspettative, stime e intenzioni che trovano espressione in tali affermazioni relative al futuro. Fra tali fattori vi sono: (1) cambiamenti della situazione economica generale, in particolare dei mercati sui quali siamo attivi, (2) andamento dei mercati finanziari, (3) cambiamenti dei tassi di interesse, (4) fluttuazioni dei cambi, (5) modifiche di leggi e ordinanze, ivi compresi i principi contabili e le prassi di iscrizione a bilancio, (6) rischi relativi all’attuazione delle nostre strategie aziendali, (7) frequenza, estensione e andamento generale dei casi assicurati, (8) tasso di mortalità e di morbilità come pure (9) tassi di rinnovo e di scadenza delle polizze e (10) realizzazione di effetti di scala e sinergie. A questo proposito segnaliamo che questa lista di fattori importanti non è completa. Nella valutazione di affermazioni relative al futuro bisogna quindi esaminare accuratamente sia i fattori summenzionati sia altre incertezze. Tutte le affermazioni relative al futuro si basano su informazioni che il Gruppo Helvetia aveva a disposizione il giorno della loro pubblicazione; il Gruppo Helvetia è tenuto ad aggiornare tali affermazioni soltanto se le leggi vigenti lo esigono.