PNRR e Sicurezza Informatica, per le PMI un’occasione da cogliere…ancora

di Ernesto Cotugno
PNRR e Sicurezza Informatica

Il titolo dell’articolo finisce con un …ancora, che vuole significare che se relativamente al PNRR ancora non sono state utilizzate appieno le sue numerose possibilità, c’è ancora sia tempo che modo di accedere a svariati nuovi finanziamenti; questi ultimi sono a disposizione per ridefinire e consolidare, in generale molti aspetti dell’attività aziendale, e nello specifico per rinnovare, implementare ed in alcuni casi creare quel “perimetro” di sicurezza informatica che, in qualsiasi punto del web ci troviamo (o crediamo di essere…), interessa o dovrebbe interessare tutti noi.
Perché quindi leggere questo articolo e perché vale la pena chiedersi cosa centra il PNRR con la sicurezza informatica aziendale? Come può il Piano aiutare una PMI a implementare il proprio perimetro di sicurezza sempre se ci siamo mai chiesti “…sono veramente in pericolo anch’io…?” Ritengo che le risposte siano un insieme di diversi fattori, e volendo già preliminarmente accennarli, sono da ricercarsi, nella intrinseca “missione” innovativa tecnologico-digitale del Piano stesso1, nel fatto che la ricerca dei finanziamenti non deve essere sempre vista come un peso e/o come un costo ma come un investimento soprattutto a lungo termine, e poi per uno dei fattori che rappresenta un caposaldo all’interno delle PMI, il “fattore umano” che può fare la differenza anche nel campo della sicurezza informatica, campo in cui spesso però si è mostrato anello debole.
Cercherò quindi di seguito di ripercorrere questi interrogativi, illustrando brevemente perché credo che la sicurezza informatica ci debba interessare, quali dovrebbero essere gli accorgimenti aziendali di base da porre in essere (considerando le cyber-minacce più comuni) e come le opportunità date dal PNRR (o ad esso direttamente collegate), possono aiutare una PMI innanzitutto nella definizione di quel già citato perimetro di cyber-sicurezza ma soprattutto nello sviluppo della cultura dello human-firewall2 che ritengo essenziale per affiancare, “accompagnare” e gestire software e device “fisici” di protezione.

Siamo in pericolo?

Una piccola premessa per comprendere che la sicurezza informatica riguarda tutti noi indistintamente e questo perché siamo inseriti in un “cyber-sistema” che ci circonda e di cui a volte, nostro malgrado, facciamo attivamente parte. La nostra vita personale digitale è diventata sempre più “intimamente” collegata a quella “analogica”, e la nostra “internettità” è collegata molto più di quanto immaginiamo anche al nostro lavoro. Utilizziamo molto spesso in maniera “promiscua” per lavoro e per fini personali, smartphone, PC, mail, social ecc.; ad esempio per scambiarci documenti aziendali ma anche per acquisti on-line, per meeting, call di programmazione di bilancio, ma anche solo per incontrare ed accordarci con qualcuno su dove fare l’aperitivo. Tutto questo per dire che la cosiddetta “trasformazione digitale” ha praticamente annullato il confine tra mondo fisico e virtuale, aumentando la “superficie digitale utile” appetibile per la cyber-criminalità che deve portare ad un cambio di paradigma definitivo nella percezione dei rischi sottesi al digitale.
Negli ultimi anni infatti le PMI europee e italiane hanno subito molteplici attacchi informatici principalmente causati da una scarsa attenzione a quelle minime precauzioni considerate “igiene di base” dagli esperti; il famoso e più volte richiamato in svariati articoli Report Clusit 20223 ha evidenziato un notevole numero di attacchi informatici4 anche verso l’Italia5 e senza tediarci qui con percentuali e statistiche, è stato rilevato che questa tendenza è in aumento6.
A questo punto mi chiedo e vi chiedo, lasceremmo mai il nostro diario personale su una panchina in un parco? Pubblicheremmo mai i nostri sentimenti intimi sulla prima pagina di un giornale? E se siamo titolari di una attività con un marchio registrato, con un progetto innovativo, con una idea sensazionale o anche semplicemente in qualità di custodi di “segreti” di nostri clienti, andremmo a spargere ai quattro venti, senza arte né parte tutto questo? Penso proprio di no! Anzi credo che i dati e le informazioni, che rappresentano gli asset aziendali, siano “cose” da proteggere e di cui prendersi molta cura.
Oggi prendersi cura a livello aziendale dei propri dati e delle proprie informazioni digitali, per quanto abbiamo detto prima, passa indubbiamente dall’attenzione che poniamo alla sicurezza informatica a tutti i livelli ed in tutti i settori dell’attività, per la creazione di quel “perimetro” in cui la cultura della sicurezza informatica, non deve essere uno spauracchio da temere ma funzionale consapevolezza. Questo per dire che sicuramente sono fondamentali software performanti, nuovi device e ove possibile una “sezione” informatica/IT con personale dedicato e specializzato, ecc, ma altrettanto indubbia è la necessità che come detto prima, all’interno di un’azienda il “fattore umano” sia adeguatamente consapevole che col proprio agire può determinare la sicurezza o l’insicurezza aziendale.

Sicurezza informatica aziendale: accorgimenti di base e PNRR

Lungi dal voler rappresentare “La” guida, data la vastità e complessità dell’argomento, questo articolo vuole però essere una “finestra” su quelle minime regole di base (per lo meno da conoscere per poi trovare il modo di metterle in pratica) per non essere preda del primo cyberhacker della domenica!
Alcune nozioni, magari già pensate e messe in pratica da qualcuno di voi, potranno sembrare scontate, ma i vari report sugli attacchi informatici sparsi nei numerosi articoli sia su carta che nel web, dimostrano come il cyber-malintenzionato è attento alle più piccole dimenticanze/distrazioni/lacune.
Quanto segue quindi per permettere di iniziare a configurare o consolidare buone pratiche di sicurezza informatica aziendali che, suddivise sinteticamente in relazione a criticità/azioni “fisiche”/accorgimenti “immateriali, verranno parallelamente messe in corrispondenza con i vari fondi a disposizione del PNRR così da poter programmare eventuali investimenti (naturalmente per quanto detto prima questi non possono/devono essere considerati meri costi) a medio e lungo termine.

  1. Definizione degli asset digitali aziendali da proteggere: indubbiamente la prima attività afferente alla sicurezza informatica è riconoscere/stabilire a livello aziendale quali siano i dati e le informazioni digitali che meritano protezione; per spiegarci meglio, mi riferisco alle “cose” digitali cui dedicare una attenzione particolare in tema di preservazione e prevenzione. Questo molte volte può risultare difficoltoso, anche dal punto di vista concettuale/tecnico, ma è essenziale per la definizione degli asset digitali aziendali; investire anche magari in una attività di consulenza specialistica, al fine di delineare le “priorità”, può sicuramente essere utile per quanto ai punti successivi.
    PNRR. Le spese in oggetto sono previste nell’ambito del programma del PNRR Transizione 4.07 in particolare Credito d’imposta ricerca e sviluppo, innovazione tecnologica, design e ideazione estetica8 relativo a Attività di innovazione tecnologica (comma 201 della legge di bilancio n. 160 del 27 dicembre 2019): lett. C spese per servizi di consulenza e servizi equivalenti inerenti alle attività di innovazione tecnologica ammissibili al credito d’imposta.
  2. Database, dati sensibili, profilazione/condivisione accessi: non tutti all’interno dell’azienda dovrebbero avere accesso a tutti i dati; questo non per mancanza di fiducia e/o rispetto nei confronti di tutti i dipendenti, ma perché stabilire chi deve avere la possibilità di accedere anche ad informazioni sensibili e riservate deve essere premurosamente profilata ed autorizzata rispetto alle mansioni e responsabilità dei dipendenti stessi.
    PNRR. Le spese relative alla profilazione delle utenze aziendali, può essere ricompresa nelle spese di cui alla lettera precedente, ove non vi sia personale aziendale specializzato/servizio IT in seno all’azienda per la richiesta di definizione e impostazione dei vari livelli di profilo, che possono essere ad esempio effettuate tranquillamente anche sulle macchine e software già in uso all’interno dell’azienda.
  3. Firewall, antivirus, programmi licenziati, e aggiornamento costante (app, software, pach ecc.): i programmi software sui dispositivi aziendali (siano essi PC o smartphone) devono essere naturalmente licenziati (certo è indubbio che non ci possiamo lamentare di eventuali problemi di sicurezza informatica se “scarichiamo” i programmi utilizzati in azienda da qualche non meglio identificato sito e/o servizio streaming comunque esso denominato, ma questa ritengo sia la base!!) e dovrebbero essere aggiornati regolarmente, al pari dei sistemi operativi; i regolari aggiornamenti permettono non solo l’accesso a nuove funzionalità e peculiarità dei diversi software, ma anche di installare patch per risolvere eventuali vulnerabilità di sicurezza. Se non vi è un servizio o una sezione dedicata, è necessario che tutto il personale sia sensibilizzato e responsabilizzato per l’installazione/aggiornamento dei programmi di utilizzo aziendale. 
    PNRR. a) Le spese in oggetto, sempre relative alle spese previste nella sezione Transizione 4.0, prevedono una serie di agevolazioni, sotto forma di crediti di imposta, Credito d’imposta per investimenti in beni strumentali – Incentivi per la trasformazione tecnologica e digitale delle imprese9 relativamente a beni strumentali immateriali tecnologicamente avanzati funzionali ai processi di trasformazione 4.0 (allegato B, Legge 11 dicembre 2016, n. 232, come integrato dall’articolo 1, comma 32, della Legge 27 dicembre 2017, n. 205). Si considerano agevolabili anche le spese per servizi sostenute mediante soluzioni di cloud computing per la quota imputabile per competenza nel 2023: 20% del costo nel limite massimo dei costi ammissibili pari a 1 milione di euro. Beni immateriali (software, sistemi e system integration, piattaforme e applicazioni) connessi a investimenti in beni materiali «Industria 4.0».
    b) Un’altra opzione per l’effettuazione di un cambio/miglioramento dei software aziendali, è rappresentata dal Credito d’imposta ricerca e sviluppo, innovazione tecnologica, design e ideazione estetica, Incentivi per spesa privata in R&S10 e innovazione in particolare. b3) Per le attività di innovazione tecnologica 4.0 e green, finalizzate alla realizzazione di prodotti o processi di produzione nuovi o sostanzialmente migliorati per il raggiungimento di un obiettivo di transizione ecologica o di innovazione digitale 4.0, nel 2023 il credito d’imposta è riconosciuto in misura pari al 10%.
    c) Ai crediti di imposta si affiancano le agevolazioni (sotto forma di contributi in conto interessi) previste dalla “Nuova Sabatini”; l’agevolazione11, che si rivolge proprio alla le micro, piccole e medie imprese, messa a disposizione dal Ministero delle Imprese e del Made in Italy, sostiene gli investimenti per acquistare o acquisire in leasing macchinari, attrezzature, impianti, beni strumentali ad uso produttivo e hardware, nonché software e tecnologie digitali. Le agevolazioni consistono nella concessione di finanziamenti nonché di un contributo da parte del Ministero rapportato agli interessi sui predetti finanziamenti.
  4. Backup dei dati aziendali (cloud?!?). Questo importante accorgimento/operazione deriva direttamente dalle predette “preliminari” operazioni di definizione degli asset tecnologici aziendali; purtroppo non sempre sarà possibile proteggersi da intrusioni/attacchi informatici, Ma possedere una copia di backup “dell’azienda” può risultare fondamentale per svariati motivi che vanno dal poter proseguire la propria attività senza lunghi stop forzati, alla possibilità di gestione/negoziazione dell’attacco stesso.
    PNRR. Oltre a quanto accennato sopra, altri finanziamenti per l’acquisto/rinnovo/miglioramento dei “parco” software aziendale, affiancati alle possibilità date dal PNRR, possono rinvenirsi nel Bando MISE “Digital Transformation12“, per sostenere la trasformazione tecnologica e digitale dei processi produttivi delle PMI attraverso la realizzazione di progetti diretti all’implementazione delle tecnologie abilitanti individuate nel Piano Nazionale Impresa 4.0 nonché di altre tecnologie relative a soluzioni tecnologiche digitali di filiera. Le agevolazioni sono concesse sulla base di una percentuale delle spese ammissibili pari al 50% (10% sotto forma di contributo, 40% come finanziamento agevolato) e finanzia tecnologie abilitanti individuate dal Piano nazionale Impresa 4.0 (tra le quali cloud, cybersecurity, big data e analytics) e tecnologie relative a soluzioni tecnologiche digitali di filiera anche relativamente ai software.
  5. VPN – protezione della rete aziendale. L’acronimo VPN (Virtual Private Network) si traduce in Rete Privata Virtuale, sta a significare una rete privata che sfrutta una Rete pubblica – ovvero Internet – per permettere ai computer connessi di comunicare tra loro come se fossero tutti fisicamente collegati. Con una VPN per uso aziendale, i dipendenti in Smart Working, possono utilizzare in modo sicuro reti Wi-Fi/internet senza compromettere i dati sensibili dell’azienda13, quando lavorano da casa.
    PNRR. Anche l’acquisto di programmi/software per lo sviluppo/implementazione di una rete VPN con la quale gestire le connessioni da remoto dei propri dipendenti rientra negli incentivi previsti per sostenere la trasformazione digitale delle imprese; il credito d’imposta da richiedere nelle dichiarazioni dei redditi tra il 1° gennaio 2021 e il 31 dicembre 2023. Comprende anche la definizione di codici di credito d’imposta per consentire ai beneficiari di utilizzarli con il modello F24 per beni immateriali di investimento standard e quindi software relativi alla gestione aziendale.
  6. Pishing, password deboli, autenticazione a più fattori, criptazione dei device Ho inserito queste problematiche/criticità all’interno dello stesso paragrafo, in quanto le ritengo di competenza (come anche in parte qualche altra sopra già descritta) dei dipendenti di un’azienda, senza troppe distinzioni ed afferenti a quel fattore umano di cui parlavamo prima, importante tassello nella cybersecurity aziendale nell’ottica della creazione di una cultura funzionale dello human-firewall. Lo sviluppo di competenze funzionali in riferimento alla cybersecurity aziendale, necessita di adeguata informazione rispetto ai basilari obiettivi relativi alla sicurezza delle informazioni; questo al fine di creare quella consapevolezza nell’attenzione continua nello svolgimento di attività lavorative che va ad integrare e valorizzare le diverse soluzioni tecnologiche materiali di protezione. Spesso le intromissioni malevole sfruttano comportamenti errati che potranno sicuramente essere “minimizzati” investendo in opera di informazione (linee guida, “percorsi” organizzativi, policy definite e mirate ecc.) e formazione.
    Pishing. È un tentativo di attacco di solito posto in essere tramite mail, che sfruttando comunicazioni “simili” agli originali, con l’inganno portano l’utente distratto a cliccare sui link inviati attivando la trappola informatica;
  • Password deboli. Andrebbero evitate password direttamente riferibili alla propria persona (date di nascita, nomi di figli, coniugi ecc.), sarebbe buona norma non “riportare” le password per comodità su biglietti, post-it o simili direttamente sugli schermi dei PC cui si riferiscono o altri luoghi direttamente collegabili; andrebbero inoltre integrati numeri, lettere, simboli e soprattutto, utile policy aziendale, dovrebbero essere modificate con una certa regolarità;
  • Autenticazione a più fattori. La tipologia di autenticazione a doppio fattore, utilizzata quasi universalmente nelle operazioni di internet banking, dovrebbe/potrebbe essere utilizzata per l’accesso ai device aziendali, così da integrare una doppia sicurezza, con la quale solo il dipendente che ha la possibilità di mettere in correlazione le informazioni di accesso (es. password e codice/msg sul telefono…) può accedere ai dati aziendali;
  • Criptazione dei device. I PC ed i device mobili, utilizzati in maniera promiscua casa-lavoro, dovrebbero essere criptati per policy aziendale; la criptazione dei device avviene attraverso un algoritmo che data una chiave di criptazione restituisce dei dati completamente differenti; è possibile ritornare ai dati originali solamente attraverso un altro algoritmo complementare che usa a sua volta una chiave di criptazione. In parole povere in caso di furto/smarrimento, i dati contenuti nel device sono praticamente inutilizzabili

Le attività di formazione sono previste dalla misura Credito d’imposta formazione 4.014, volta a sostenere le imprese nel processo di consolidamento delle competenze nelle tecnologie abilitanti necessarie a realizzare il paradigma 4.0.
Il credito d’imposta è riconosciuto in misura del 70% delle spese ammissibili nel limite massimo annuale di 300 mila euro per le piccole imprese e 50% delle spese ammissibili nel limite massimo annuale di 250 mila euro per le medie imprese, a condizione che le attività formative siano erogate dai soggetti individuati con decreto del Ministro dello sviluppo economico di prossima emanazione e che i risultati relativi all’acquisizione o al consolidamento delle suddette competenze siano certificati secondo le modalità stabilite con il medesimo decreto ministeriale.
Sono ammissibili al credito d’imposta le seguenti spese:

  • spese di personale relative ai formatori per le ore di partecipazione alla formazione;
  • costi di esercizio relativi a formatori e partecipanti alla formazione direttamente connessi al progetto di formazione, quali le spese di viaggio, i materiali e le forniture con attinenza diretta al progetto, l’ammortamento degli strumenti e delle attrezzature per la quota da riferire al loro uso esclusivo per il progetto di formazione;
  • costi dei servizi di consulenza connessi al progetto di formazione;
  • spese di personale relative ai partecipanti alla formazione e le spese generali indirette (spese amministrative, locazione, spese generali) per le ore durante le quali i partecipanti hanno seguito la formazione.

Spero che quanto sopra possa aiutare a comprendere il motivo e l’importanza di prendersi cura dei dati e delle informazioni digitali aziendali e delle opportunità di investimento date dai finanziamenti, anche correlati, del PNRR; questo nell’ottica di implementare il proprio perimetro di sicurezza informatica dal punto di vista tecnico/strutturale ma anche con una particolare attenzione allo sviluppo di quella cultura della sicurezza cui il “fattore umano” aziendale, soprattutto nelle PMI, è il protagonista principale.

  1. Digitalizzazione, innovazione e competitività delle PMI
     è uno degli obiettivi del Piano Nazionale Ripresa e Resilienza (PNRR), che mira a sostenere ed implementare la competitività del sistema produttivo nazionale anche attraverso il rafforzamento e consolidamento del livello di digitalizzazione, innovazione tecnologica e internazionalizzazione. La proposta ed opportunità del Piano è indirizzata a passare da un approccio di tipo emergenziale (rappresentato dall’esperienza e dalle nuove “necessità” date dalla pandemia) a uno strategico di lungo periodo, nell’ottica di una ripartenza economica del Paese attraverso un’innovazione sostenibile e reale. Suddiviso in 6 missioni, il Piano ha destinato più di 49 miliardi di euro alla prima missione, “Digitalizzazione, Innovazione, Competitività, Cultura e Turismo”, di cui circa 31 miliardi (oltre il 60%) dedicati all’innovazione e digitalizzazione delle imprese; in questo contesto si inserisce il Nuovo Piano Nazionale Transizione 4.0 (evoluzione del precedente programma Industria 4.0), di cui al DL “Sostegni-bis” 73/2021″.     ↩︎
  2. La definizione maggiormente utilizzata da tutti i siti web e riviste specializzate per definire lo “human firewall” è “…un dipendente opportunamente educato, istruito e formato per riconoscere gli attacchi che sfruttano le persone e le loro lacune in ambito cyber security prima ancora che le falle tecnologiche dei sistemi informatici…” ↩︎
  3. I dati sono rilevati dal report 2022 del Clusit, la più numerosa ed autorevole associazione italiana nel campo della sicurezza informatica. Oggi rappresenta oltre 600 organizzazioni, appartenenti a tutti i settori del Sistema-Paese. ↩︎
  4. L’attacco informatico più sfruttato per colpire le aziende è stato il Malware, uno speciale tipo di software in grado di infilarsi a nostra insaputa nei computer, telefonini e nelle reti aziendali per sottrarre informazioni sensibili (dati personali, informazioni riservate, etc.), ma anche il Phishing, il furto d’identità e di account e attacchi DDos hanno registrato un notevole incremento rispetto al passato. ↩︎
  5. Si rappresenta che durante la redazione dell’articolo sono stati rilevati attacchi hacker su vasta scala tra cui a decine di siti istituzionali, da quelli del Governo del Ministero della Difesa e del Viminale passando per le piattaforme di banche, carabinieri, Tim e tanti altri ancora (nella giornata di mercoledì 22 febbraio 2023). L’attacco è stato rivendicato dal collettivo di hacker filorussi “NoName057” https://notizie.virgilio.it/attacco-hacker-ai-siti-di-governo-carabinieri-e-tim-piattaforme-down-rivendicato-dal-collettivo-filorusso-1558802. ↩︎
  6. Lo scenario si è rivelato talmente serio da spingere il Governo italiano ad annunciare una strategia specifica in tema Cybersecurity, con il Decreto Legge del 14 giugno 2021 dove è stata istituita l’Agenzia per la Cyber-sicurezza
     Nazionale (ACN) a tutela degli interessi nazionali nel cyber-spazio. Un altro esempio per comprendere l’evoluzione più che iperbolica del fenomeno della criminalità informatica a livello globale, è dato dal fatto che nel 2011 nell’ambito del “Global Risk Report del World Economic Forum”, i rischi “cyber” non erano nemmeno considerati (…sono stati introdotti solo nel 2015) ma già dal 2019 erano assunti al primo posto per impatto e probabilità di accadimento, insieme ai disastri naturali ed agli effetti globali del climate change (report World Economic Forum, 2021). ↩︎
  7. https://www.mise.gov.it/index.php/it/incentivi/nuovo-piano-nazionale-transizione-4-0 ↩︎
  8. https://www.mise.gov.it/it/incentivi/credito-d-imposta-r-s ↩︎
  9. https://www.mise.gov.it/it/incentivi/credito-dimposta-per-investimenti-in-beni-strumentali ↩︎
  10. https://www.mise.gov.it/it/incentivi/credito-d-imposta-r-s ↩︎
  11. https://www.mise.gov.it/index.php/it/incentivi/agevolazioni-per-gli-investimenti-delle-pmi-in-beni-strumentali-nuova-sabatini ↩︎
  12. https://www.mise.gov.it/it/incentivi/digital-transformation ↩︎
  13. Ulteriore protezione ad esempio, nell’ottica della creazione di un perimetro informatico aziendale, potrebbe essere l’utilizzo dell’accorgimento di utilizzare device dedicati per le operazioni Internet banking, solo per le operazioni bancarie no interazioni con altre informazioni, mail, altre comunicazioni, niente altro. ↩︎
  14. https://www.mise.gov.it/it/incentivi/credito-d-imposta-formazione-4-0 ↩︎
NEWS

I PIÙ LETTI

Load more