Il tema delle competenze in cybersicurezza è assolutamente centrale nel tessuto imprenditoriale europeo e italiano poiché va di pari passo con la profonda trasformazione digitale in corso e, in particolare, da un più ampio ricorso a soluzioni ICT nell’ambito delle attività di business. Come rilevato da una survey condotta da I-Com su un campione di 145 imprese appartenenti a vari settori (tra cui: utilities, trasporti, tlc e digitale), la maggior parte dei rispondenti ha indicato la mancanza di competenze interne e sul mercato del lavoro tra i fattori principali che rendono più difficoltosa la compliance rispetto alle norme in materia di cybersicurezza. Simili risultanze si collocano in un contesto che vede lo skills shortage tra le minacce maggiormente impattanti sul futuro della cybersecurity a livello eurounitario, come testimonia un recente studio dell’ENISA.

L’IMPEGNO DELLE IMPRESE EUROPEE E ITALIANE

L’indagine “Cyberskills” condotta da Eurobarometer tra il 24 aprile e il 17 maggio scorso su richiesta della Commissione europea ha consentito di registrare l’impegno di oltre 12.900 imprese attive in diversi settori economici dell’UE su tematiche connesse alla cybersicurezza e, in particolare, su aspetti relativi alla formazione del personale. La metodologia utilizzata è quella dell’intervista telefonica di figure manageriali IT o, dove non disponibili, di soggetti che ricoprono comunque ruoli decisionali (es: ceo, general manager).

Non sorprende che sia stato registrato un generale consenso in merito alla priorità riconosciuta alla cybersecurity in azienda (per le voci “molto alta” e “abbastanza alta”), sia se si guarda la media UE (71%), sia con riguardo al valore medio italiano (83%). Tuttavia, non andrebbe sottovalutato che il 26% delle imprese europee sembra non riconoscere una reale importanza alla cybersicurezza (per le voci “abbastanza bassa” e “molto bassa”). Sul punto è interessante notare come nel nostro Paese si abbia mediamente una maggiore considerazione della materia (13%).

Fonte: Eurobarometer, Cyberskills, maggio 2024

Sia a livello UE che italiano larga parte dei dipendenti che si occupano direttamente di cybersecurity nelle aziende rispondenti provengono da ambiti professionali non legati a questo campo. Focalizzandosi sull’Italia, il 66% del campione ha dichiarato che il personale è stato trasferito da un altro ruolo non collegato alla cybersicurezza (57% in UE), mentre nel 50% dei casi (34% per l’UE) si è trattato di una nuova assunzione. In misura simile al dato europeo, solo il 19% delle imprese italiane ha assunto nuove risorse umane in ambito cyber che già lavoravano nel settore o che erano a inizio carriera.

Fonte: Eurobarometer, Cyberskills, maggio 2024

Pertanto, è possibile ipotizzare che un elevato ricorso ad addetti senza un’esperienza pregressa in cybersicurezza testimoni una significativa criticità nel rinvenire personale competente sul mercato del lavoro. A conferma di quanto detto, tra le principali sfide segnalate dalle imprese europee c’è la difficoltà a trovare candidati qualificati (45%), seguita dalla mancanza di candidati (44%) e – con un deciso distacco – da un’insufficiente conoscenza sui ruoli connessi alla cybersicurezza (22%).

Fonte: Eurobarometer, Cyberskills, maggio 2024

Per di più, il grafico riportato di seguito mostra come le aziende italiane abbiano mediamente una maggiore necessità di personale qualificato (espresso in Full-Time Equivalent) rispetto a quelle europee. Nonostante ciò, a prevalere è la quota di rispondenti che ha dichiarato di non avere bisogno al momento di ulteriori figure specializzate in cybersicurezza (87% in UE e 77% in Italia). Le motivazioni possono essere ricondotte, quantomeno parzialmente, a quanto espresso nella precedente figura, in particolar modo al budget a disposizione, alla necessità di una formazione continua, così come a uno sviluppo tecnologico piuttosto sostenuto, per cui si preferisce utilizzare le risorse già a disposizione internamente al fine di ottimizzare i costi.

Fonte: Eurobarometer, Cyberskills, maggio 2024

Ad ogni modo, le imprese italiane intervistate che erogano formazione in cybersicurezza ai propri dipendenti prediligono insistere sull’awareness (78%), seguita dalla conoscenza del quadro delle minacce (79%) e dalle policy (52%). Inoltre, si evidenziano alcune discrepanze significative tra i soggetti italiani ed europei in tema di incident response e reporting (34% Italia vs 46% UE), così come sul cloud management (18% vs 36%) e in tema di cyber crisis management (41% vs 33%).

Fonte: Eurobarometer, Cyberskills, maggio 2024

Negli ultimi 12 mesi la maggior parte delle imprese italiane ha performato meglio in termini di coinvolgimento dei dipendenti a iniziative di awareness e formazione in cybersecurity. Infatti, il 47% ha coinvolto con successo tutti i dipendenti dell’organizzazione rispetto al 38% registrato in media tra quelle europee. Tuttavia, appare preoccupante che una fetta importante, corrispondente al 35% tra le italiane e al 40% tra le europee, coinvolge meno della metà dei dipendenti in questo tipo di iniziative, il che richiama tutti gli stakeholders coinvolti a porre una più incisiva e urgente attenzione sul tema, soprattutto nei confronti di quei soggetti maggiormente esposti ad attacchi e incidenti di natura cibernetica – tra cui certamente le PMI – anche in considerazione dei potenziali effetti negativi che possono espandersi verso le realtà più strutturate e strategiche.

Fonte: Eurobarometer, Cyberskills, maggio 2024

L’EDUCAZIONE PRIMARIA E SECONDARIA IN CYBERSICUREZZA

Il 29 maggio scorso l’ENISA ha pubblicato il report “Cybersecurity education maturity assessment” nell’ambito del quale ha valutato lo stato dell’arte in 13 Stati Membri, ivi compresa l’Italia, con riguardo all’implementazione di framework normativi, policy, strategie e iniziative operative per favorire l’educazione primaria e secondaria nel campo della cybersicurezza. I risultati ottenuti mostrano come, in media, i Paesi UE abbiano raggiunto un livello di maturità del 66%, avendo già posto in essere una serie di iniziative dedicate all’educazione in cybersecurity. Si registra tuttavia anche un’ampia eterogeneità in merito alla tipologia di approccio adottato, preferendo l’attuazione di azioni concrete prettamente a livello decentralizzato, le quali risultano in una fase prematura in termini di implementazione.

Nel report vengono evidenziate anche delle buone pratiche poste in essere nei singoli Stati Membri per favorire un più efficace coordinamento e scambio di informazioni nell’Unione. Ad esempio, per l’Italia è richiamato il programma promosso dal Cybersecurity National Lab “CyberHighSchools”, che attualmente coinvolge più di 500 scuole sul territorio, fornendo corsi di livello base e avanzato col supporto di docenti universitari e incentivando gli studenti delle scuole superiori a prendere parte alle olimpiadi italiane della cybersicurezza (OliCyber), le quali hanno superato i 4.000 partecipanti nell’edizione 2023. Inoltre, tale iniziativa comprende alcune attività dedicate specificamente alle studentesse che non possiedono un background di studi scientifici, allo scopo di ridurre il gender gap nel settore della cybersicurezza.

Ulteriori iniziative di questo tipo, messe in campo da soggetti pubblici e/o privati, sono riportate nei capitoli 5 e 6 dell’ultimo rapporto annuale dell’Osservatorio sulla Cibersicurezza di I-Com “La sfida della cibersicurezza per un’Italia sempre più digitale. Politiche, competenze, regole”.

CONCLUSIONI

Dal quadro sin qui esposto emerge chiaramente come l’Unione Europea e l’Italia si stiano impegnando particolarmente per migliorare la propria postura di cybersicurezza, insistendo in maniera sempre più incisiva sulla formazione del fattore umano, anche grazie all’impulso fornito dalle numerose misure legislative varate negli ultimi anni. La partita sul futuro della cybersecurity, come più volte evidenziato, si gioca sulla messa a terra di simili iniziative in maniera sostanziale e quanto più capillare possibile. Fa ben sperare che nelle recenti conclusioni del Consiglio dell’Unione (Council Conclusions on the Future of Cybersecurity: implement and protect together) sia piuttosto marcata la necessità di sostenere lo sviluppo di competenze per colmare lo skills gap in quest’ambito, incoraggiando in tal senso la cooperazione tra tutti gli stakeholders, inclusi il settore pubblico, privato e il mondo dell’accademia.

Dopo la laurea triennale in "Scienze Investigative" presso l'Università degli Studi di Foggia, ha conseguito con lode la laurea magistrale in "Scienze Giuridiche della Sicurezza - Sicurezza e circolazione dei dati" presso la stessa Università. Dal 2023 è ricercatore per l'Istituto per la Competitività (I-Com), occupandosi di temi inerenti la cybersicurezza, la new space economy e l'intelligenza artificiale.