Cybersecurity, I-Com: “In Italia quasi triplicata l’offerta di corsi universitari specializzati in sicurezza informatica. Ma manca una regia pubblica per aumentare la consapevolezza di cittadini e imprese sui rischi online”
- Presentato oggi al Senato il Rapporto dell’Istituto per la Competitività (I-Com) nell’ambito dell’Osservatorio I-Com sulla Cibersicurezza.
- A gennaio 2023 si rilevano 234 tra corsi e insegnamenti in materia rispetto ai 79 individuati un anno prima. In testa Lazio, Piemonte, Campania e Lombardia, ma restano ampie disuguaglianze a livello geografico, con Basilicata e Valle d’Aosta che ne sono prive.
- Per colmare il gap formativo possono giocare un ruolo-chiave la collaborazione tra pubblico e privato e la riforma degli Istituti Tecnici Superiori.
- L’Italia è tuttora uno dei paesi più bersagliati dagli attacchi informatici con una quota notevolmente superiore rispetto a Germania e Francia. Urgenti una più intensa collaborazione pubblico-privato e un coordinamento centrale.
- Sul fronte degli standard 5G, in attesa degli European Common Criteria, garantire da subito un adeguato livello di sicurezza riducendo i costi e i tempi che le imprese devono sostenere e spingere al contempo verso un rapido incremento delle certificazioni volontarie.
Roma, 28 febbraio 2023 – La trasformazione digitale della nostra società ha sicuramente aperto nuovi orizzonti, estendendo la possibilità di essere virtualmente connessi nello stesso istante all’intero globo. Tuttavia, sono emersi numerosi rischi legati all’uso dei media digitali e gli attacchi informatici sono aumentati a dismisura. Il fattore umano gioca spesso un ruolo chiave e lo sviluppo di adeguate competenze digitali resta uno snodo cruciale. Le attività di formazione relative alla cybersecurity in ambito universitario sembrano riflettere questa consapevolezza con un’offerta quasi triplicata nell’ultimo anno: a gennaio 2023 si rilevano infatti in Italia 234 tra corsi e insegnamenti relativi alla cibersicurezza rispetto ai 79 individuati nello stesso mese del 2022. Restano, tuttavia, ampie disuguaglianze a livello geografico, con una forte concentrazione dell’offerta nel Lazio, Piemonte, Campania e Lombardia. La riforma degli Istituti Tecnici Superiori (ITS) e una più intensa collaborazione tra pubblico e privato possono giocare un ruolo chiave nel colmare questo gap. Questione ancor più urgente se si considera che la Penisola è uno dei paesi più bersagliati dai cyberattacchi, presentando una quota notevolmente superiore rispetto, ad esempio, a Germania e Francia, seppure in un quadro legislativo capace di stare al passo dei tempi e che non necessita di ulteriori integrazioni normative.
Sono questi alcuni dei temi che emergono dal Rapporto “L’ecosistema italiano della sicurezza informatica tra regolazione, competitività e consapevolezza”, realizzato dall’Istituto per la Competitività (I-Com) e presentato in occasione del convegno pubblico annuale che si è tenuto oggi presso la Sala Capitolare del Senato della Repubblica, nell’ambito delle attività relative all’Osservatorio I-Com sulla Cibersicurezza e al quale hanno partecipato oltre 15 tra esperti della materia, rappresentanti delle associazioni e delle istituzioni. Lo studio del think tank guidato dall’economista Stefano da Empoli fornisce una panoramica sullo stato dell’arte della cybersecurity in Italia e in Europa, dall’esame del quadro normativo italiano ed europeo alla ricognizione sul numero e sull’entità degli attacchi informatici, passando per l’approfondimento delle competenze nel pubblico e nel privato e all’offerta formativa in materia.
Nel dettaglio, il monitoraggio I-Com delle attività di formazione sulla cibersicurezza in ambito universitario ha evidenziato oltre a 112 insegnamenti singoli all’interno di corsi di laurea magistrale, 56 insegnamenti singoli in lauree triennali e 13 corsi singoli all’interno di dottorati di ricerca, ben 22 lauree magistrali, 4 lauree triennali, 7 dottorati e 18 master (di primo e di secondo livello) tutti interamente incentrati sulla cybersecurity. Il totale delle lauree specifiche (triennali e magistrali) sul tema della cibersicurezza ammonta a 26, il doppio del 2022. Nel complesso, la formazione specializzata in materia di cybersecurity in Italia ha raggiunto quota 51 corsi di studio interamente dedicati.
Per quanto riguarda la distribuzione regionale della complessiva offerta formativa, questa appare piuttosto disomogenea con una forte concentrazione nel Lazio (45 tra corsi e singoli insegnamenti), Piemonte (32), Campania (25) e Lombardia (21). Tuttavia, se si considerano i dati normalizzati per il numero di università presenti sul territorio regionale, la classifica varia mostrando in prima posizione il Piemonte con 8 corsi per università, seguito da Liguria (4) e Sicilia (2,8). Le regioni che invece non presentano alcun corso formativo sulla cibersicurezza (anche a causa della scarsa offerta di livello universitario) sono la Basilicata e la Valle d’Aosta.
Le nuove possibilità aperte dal digitale, quindi, richiedono sempre maggiori competenze, sia di base che – soprattutto – specialistiche. “Sicuramente sono necessarie ulteriori azioni finalizzate a incentivare una maggiore capillarità a livello territoriale dell’offerta didattica in cibersicurezza” spiega il presidente I-Com e tra i curatori dello studio Stefano da Empoli, “e, in questo senso, è auspicabile una più intensa collaborazione tra pubblico e privato, che passi anche attraverso la forma dei partenariati. La riforma degli Istituti Tecnici Superiori, a questo proposito”, continua da Empoli, “gioca un ruolo-chiave: gli ITS potrebbero fungere da anello di congiunzione tra realtà scolastica e mondo del lavoro e costituire così un ulteriore tassello in direzione del rafforzamento di un ecosistema della cibersicurezza”. Attualmente, infatti, la formazione garantita da questi istituti sul territorio viene ritenuta non sufficiente da parte delle imprese. Secondo l’ultimo rapporto dell’Istituto Nazionale Documentazione Innovazione Ricerca Educativa (INDIRE), nel 2022 risultano presenti sul territorio nazionale 120 ITS. La regione che ne ospita il numero maggiore è la Lombardia (20), seguita dalla Sicilia (11), mentre al terzo posto si trovano a pari merito Calabria, Campania e Toscana (9). Parametrando il dato sulla diffusione alla popolazione regionale risulta in testa la Calabria (4,9 ITS ogni milione di abitante), la Liguria (4 ogni milione di abitanti) e l’Abruzzo (3,9 per milione di abitanti).
Dallo studio emerge inoltre che l’Italia è uno dei paesi più bersagliati dai criminali informatici, presentando una quota del 3,26% dei dispositivi mobili e del 10,74% dei pc fissi che sono stati infettati da malware (fonte: Comparitech). Questo dato è notevolmente superiore a quello fatto registrare da altre grandi economie europee come Germania, che presenta un 1,63% di infezioni sul mobile e 4,94% da PC, e Francia, 2,56% mobile e 6,71% PC.
Nel 2021 le pubbliche amministrazioni sono risultate l’obiettivo privilegiato dei cybercriminali, attirando il 69% delle azioni ostili accertate in Italia: un dato che, seppure in calo, rende l’idea dell’importanza di innalzare le difese cibernetiche della PA. Gli enti più colpiti sono le amministrazioni statali, diventate il target di più della metà degli attacchi individuati (56%), precedendo gli enti locali (20%). Inoltre, è proseguito anche nel 2021 il trend riguardante le azioni malevole dirette a strutture sanitarie pubbliche, passate dal 4% al 10%.
Riguardo al settore privato, i soggetti che hanno subìto il maggior numero di azioni ostili sono quelli del comparto energetico, la cui quota è passata dal 2% del 2020 al 24% del 2021, seguiti dalle TLC che si sono attestate sul 12% (+10 punti percentuali). A crescere sono anche gli attacchi sferrati verso le organizzazioni appartenenti al settore dei trasporti (+8 punti percentuali) e al farmaceutico/sanitario (+2 punti percentuali). Tendenza opposta è invece quella fatta registrare dalle infrastrutture digitali/servizi IT e dal bancario, che passano entrambi dall’11% al 6%.
Se da un lato la trasformazione digitale ha aperto un nuovo mondo di opportunità per individui e imprese, dall’altro ha fatto sì che anche persone senza alcun rudimento riguardo il funzionamento delle nuove tecnologie si affacciassero ai canali digitali, esponendosi a nuove minacce come il cyber-crime. Gran parte della popolazione italiana risulta ancora ampiamente impreparata ad affrontare problematiche di sicurezza informatica. Sulla base dei dati raccolti dal Censis, solo il 24,3% dichiara di avere una buona conoscenza di cosa si intende per cibersicurezza, laddove il 58,6% risulta averne ha un’idea approssimata ed il restante 17,1% è completamente a digiuno. Tuttavia, il 64,6% è stato bersaglio del cosiddetto fenomeno del phishing, la ricezione di mail ingannevoli volte a truffare i malcapitati inducendoli a rivelare informazioni personali sensibili. Un ulteriore 44,9% della popolazione italiana ha avuto un PC o un laptop infettato da un virus informatico.
Eppure sembra mancare un’adeguata consapevolezza sui pericoli informativi da parte sia delle popolazione che delle imprese. Colpisce a quest’ultimo riguardo che praticamente un’azienda su due (il 48%) reputi la cybersecurity un tema poco importante o per nulla rilevante (fonte: ISTAT).
Il Rapporto sottolinea come le iniziative volte a sensibilizzare cittadini e imprese sul tema sembrano, seppur lodevoli, ancora relativamente poche e spesso messe in campo solo da aziende private che faticano ad estendere la partecipazione ad un più ampio ecosistema. Queste attività andrebbero intensificate, con una più intensa collaborazione pubblico-privato e un coordinamento centrale capace di poter mettere a fattore comune gli sforzi e poter aspirare in questo modo a raggiungere risultati effettivi per il paese con il coinvolgimento di una parte sempre più ampia della popolazione nazionale.
Secondo lo studio I-Com, nel contesto italiano non sembra attualmente configurarsi la necessità di ulteriori integrazioni normative in merito. Accanto alla disciplina sul perimetro opera infatti la normativa Golden Power, che attribuisce poteri speciali al Governo in settori strategici ed in particolare difesa e sicurezza nazionale, tecnologia 5G, energia, trasporti, comunicazioni e nuovi settori. Ebbene, il sistema di governance incentrato sull’ACN e l’ecosistema normativo che ruota intorno a Golden Power e perimetro di sicurezza nazionale cibernetica rende il nostro paese all’avanguardia nella tutela della cybersecurity e, al netto di qualche fine-tuning che potrà rendersi necessario, di fatto già sostanzialmente compliant con gli obblighi e le previsioni previste a livello UE con l’adozione della direttiva NIS 2. La sfida ora è dunque soprattutto quella della buona attuazione.
A livello europeo, di particolare interesse per la rapida implementazione di standard sicuri per il 5G, risultano i lavori in seno all’ENISA per la creazione degli European Common Criteria, che superino i lunghi tempi di esecuzione ed aggiornamento delle valutazioni, la complessità e i costi elevati degli attuali Common Criteria. Le tempistiche di rilascio – previste non prima di alcuni anni – richiedono però l’analisi di soluzioni ponte per far sì che gli operatori di rete possano garantire sufficienti livelli di sicurezza e una rapida transizione verso lo standard 5G. In questo senso, l’utilizzo di standard più snelli e condivisi a livello internazionale (come il NESAS) permetterebbe da subito di garantire un adeguato livello di sicurezza riducendo i costi e i tempi che le imprese devono sostenere e spingere al contempo verso un rapido incremento delle certificazioni volontarie.
