NIS2 applicata alle PMI: strategie economiche per un approccio efficace

L’applicazione della normativa NIS2 alle PMI (Piccole Medie Imprese) italiane richiede l’adozione di una strategia che metta al centro le persone, mirando a creare una cultura della sicurezza informatica con un obiettivo chiaro: tracciare una linea guida comune che favorisca lo sviluppo di un ambiente basato sulla gestione dei principali fattori di rischio.

È necessario quindi capire quali sono le attività di formazione e di sensibilizzazione utili a questo scopo. Per far ciò, occorre partire dal principio e andare a delineare una serie di quelli che sono i punti critici più frequenti, sui quali concentrarsi per scegliere le migliori soluzioni da adottare.

Errori più comuni nelle PMI

In un mercato competitivo come quello delle PMI italiane, la cyber security, per anni, non è stata considerata come una priorità.

A molti imprenditori, tutt’ora sfugge il concetto che, subire un attacco cyber, può mettere in ginocchio le realtà non preparate a fronteggiarlo e che, in molti casi, non hanno una solidità finanziaria abbastanza solida da sostenere (nelle peggiori delle ipotesi) giorni di inattività dal prezzo che si può aggirare intorno ai milioni di euro.

La scarsa consapevolezza del rischio, un approccio non strutturato e una difficoltà ad attribuire le responsabilità sono i fattori principali che, negli ultimi anni, hanno portato ad un aumento esponenziale degli attacchi riusciti.

Stando al rapporto CLUSIT 2025, il 37,8% delle PMI dichiara di aver subito attacchi informatici, confermando come in media un’azienda su tre, è vittima di un attacco.

Il dato più interessante in merito, però, è relativo alla distribuzione degli attacchi per fatturato: il 50% degli attacchi risulta essere portato a termine contro aziende dal fatturato inferiore al milione di euro. Questo numero ci porta a riflettere sul fatto che gli attaccanti non sono interessati solo a target specifici da colpire di una certa caratura: per i cyber-criminali conta fare numero e aumentare al massimo la portata degli attacchi, così da massimizzare il ritorno in termini economici.

Tale capacità, è stata nettamente amplificata dall’avvento dell’intelligenza artificiale nel panorama cyber, evento che ha permesso, e permette tutt’ora, di aumentare il numero di attacchi in un lasso di tempo, semplificando la fase di preparazione.

Secondo Confartigianato, tra il 2019 e il 2023, I reati informatici denunciati dalle aziende sono aumentati del 45,5%conuna crescita a sua volta del 10% di tutti gli illeciti a danno delle attività d’impresa. Nonostante ciò, sempre secondo Confartigianato, soltanto il 32% degli imprenditori adotta almeno 7delle 11misure monitorate dall’ISTAT, dato che risulta essere inferiore alla media del 38%presente a livello europeo.

Un dato più recente e specifico riporta come circa 6.700 piccole imprese e aziende artigiane nella provincia di Como, dichiarano di aver subito qualche tipo di incidente informatico (divulgazione dati, indisponibilità sistemi, distruzione di dati) al primo trimestre del 2025.

I numeri e i dati che raffigurano una situazione non certo idilliaca sono influenzati, oltre che dai fattori operativi sopracitati, da errori e mancanze principalmente di carattere tecnico. Di seguito sono riportate le più comuni:

• Mancanza di aggiornamenti/patch di sistemi operativi e software che lasciano vulnerabilità non sanate sfruttabili dagli attaccanti.
• Formazione insufficiente del personale che porta a non curare il fattore umano, principale vettore di attacco per quanto riguarda le varie tipologie di phishing e social engineering.
• Assenza o carenza gestionale di backup che espone il fianco ad attacchi ransomware che hanno l’obiettivo crittografare i dati di un’infrastruttura, costringendo la vittima al pagamento di un riscatto per poter riavere accesso ai dati.
• Gestione non ottimale delle credenziali, caratterizzata dal frequente utilizzo di password deboli/ripetute, unita alla mancanza di adozione di MFA (Multi-Factor Authentication).
• La mancata applicazione del principio di “least privilege” che, in ambito cybersecurity, implementa la possibilità di concedere ad un utente, un processo o ad un sistema, solo il livello minimo di accesso e permessi necessari per svolgere le proprie funzioni specifiche con lo scopo di ridurre al massimo la superficie di attacco.

Il concetto di Nudging

Ora, avendo delineato quello che è il quadro generale e i fattori che lo caratterizzano, è possibile strutturare idee e soluzioni efficaci per andare a creare una cultura cyber che metta al centro le persone, al fine di contenere i rischi che presenta il fattore umano.

Il contesto delle PMI è composto, per la stragrande maggioranza, da aziende che non dispongono di fondi illimitati da investire nella sicurezza informatica. È ragionevole, pertanto, andare predisporre una strategia non troppo onerosa a livello economico ma che possa ottimizzare le risorse a disposizione: tutto ciò può essere permesso dall’applicazione del concetto di “Nudge”.

Il nudge (in italiano “spinta gentile”), applicato al mondo della cyber security, consiste nell’utilizzare dei cosiddetti stimoli gentili, ovvero piccoli suggerimenti e promemoria, che permettono di guidare le persone verso l’adozione di comportamenti più sicuri, senza imporre restrizioni o obblighi diretti. Questo approccio sfrutta i principi della scienza comportamentale, agendo proprio nei momenti in cui l’utente è portato a prendere decisioni in modo automatico e poco riflessivo.

Di seguito, esempi pratici ed efficaci di nudge applicabili a basso costo, sia in termini economici che temporali:

• Banner di rischio sulle mail provenienti da mittenti esterni: il ricevente è spinto ad attivare il pensiero analitico e viene portato a riflettere prima di considerare una mail attendibile.
• Misuratore di complessità della password: presenza di indicatori visivi durante la creazione di una password che orientano l’utente verso scelte più in linea con le best practices.
• Promemoria sul blocco del PC: messaggi che invitano a bloccare la postazione quando non in uso.
• Campagne di phishing simulate con riscontri immediati rivolti agli utenti che sono erroneamente caduti vittima dell’attacco.
• Utilizzo di prompt facilmente accessibili nella casella di posta per effettuare la segnalazione di e-mail sospette in modo immediato.
• Impostazione di default dell’autenticazione a due fattori per tutte le utenze.
• Notifica con link diretto per portare gli utenti ad effettuare gli aggiornamenti di sicurezza.
• Utilizzo di frasi che fungano da stimolo per un’azione individuale che mira ad un beneficio collettivo (es. “Proteggendo la tua password, proteggi i dati del tuo team”)
• Creazione di form e questionari che mirino ad aumentare la consapevolezza sulle tematiche legate alla cyber security.

L’adozione di queste strategie per un periodo continuativo permette elevare notevolmente il livello di consapevolezza collettiva, andando a lavorare in modo specifico sul singolo individuo. Ciò risulta essere estremamente efficace e poco oneroso, perché va a responsabilizzare ciascun membro e ad esaltare le caratteristiche del fattore umano, così da sfruttarle a vantaggio della difesa.

Questo articolo è stato fornito dagli esperti di Tinexta Cyber

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.