A prima vista i numeri del report annuale della polizia postale sono brutti, ma non drammatici. Dopo anni di crescita vertiginosa sembra quasi che la situazione si sia almeno stabilizzata. Prendo un dato che osservo tutti gli anni con attenzione: quello relativo agli attacchi ad aziende pubbliche e private rilevati dal CNAIPIC (Centro Nazionale Anticrimine Informatico Per La Protezione delle Infrastrutture Critiche). Se nel 2023 erano stati 11.930, nel 2024 si sono attestati a 11.887. Verrebbe da dire che poteva andare peggio, in realtà ad alcuni è andata “molto peggio”. Un dato interessante è quello relativo alle aggressioni rivolte a infrastrutture critiche, operatori servizi essenziali e pubbliche amministrazioni locali. Nel caso specifico, se nel 2023 erano stati registrati 1.113 incidenti, il 2024 parla di un bel +38 per cento che porta il totale a quota 1.533. In parallelo si è verificato il crollo delle persone denunciate passate da 112 a 60. Questo potrebbe essere indicatore del fatto che a colpire sia stata una criminalità internazionale, palesemente più difficile da perseguire di quella nostrana. Altro dato interessante emerge rispetto agli attacchi di tipo ransomware. Se i soggetti di maggiori dimensioni e le Pubbliche amministrazioni ne hanno subiti 112, le realtà più piccole ne hanno contati 171, che significa circa il 50 per cento in più. Proprio questo numero è probabilmente il più indicativo credo per un paio di ragioni. La prima: le PMI italiane hanno una bassa propensione alla denuncia. Si tratta di un dato di fatto storico, quindi è lecito supporre che in realtà gli attacchi siano stati in numero di gran lunga maggiore. In criminologia si parla di “numero oscuro”, cioè quello dei reati non denunciati che, per quanto sia pressoché impossibile quantificarlo, in caso di crimini non particolarmente gravi o facilmente “visibili” è normalmente di gran lunga superiore a quello delle denunce. Un ransomware che richiede un pagamento abbordabile per un’azienda rientra senza dubbio nella casistica del “non grave” e praticamente “invisibile”. In definitiva se domani si scoprisse che gli attacchi alle PMI sono il doppio o superiore di un ordine di grandezza credo che nessuno si stupirebbe. La seconda: i criminali ha scoperto un modo per fare soldi che richiede poco sforzo e minimizza i rischi. Sull’arretratezza delle nostre PMI in materia di sicurezza cyber sono già stati versati fiumi di inchiostro e se a questa impreparazione aggiungiamo l’assenza di denuncia, la delinquenza informatica ha scoperto che l’Italia è veramente il “belpaese”, ma non nel senso in cui ci auguriamo.
