La cybersecurity è diventata un problema anche per esercizi commerciali, alberghi e ristoranti. A titolo di esempio vale la pena ricordare il caso dell’albergo al quale un ransomware ha bloccato le chiavi elettroniche delle stanze.
Sono, come ha spiegato una ricerca realizzata da Intellegit, startup dell’Università di Trento specializzata nella sicurezza, per conto di Confcommercio, minacce in continua evoluzione e destinate a crescere.
Quelle più frequenti per i commercianti possono essere divise in due macro categorie: attacchi contro gli strumenti informatici dell’attività commerciale (in particolar modo malware, attacchi DoS e black hat hacking) e attacchi contro l’attività commerciale attraverso strumenti informatici (specialmente le frodi tramite email di phishing).
Secondo la rilevazione effettuata da Intellegit presso i commercianti di Milano, Roma e Bari, è emerso che il 96,3% delle attività commerciali a rischio cybersecurity, facendo uso di un qualche tipo di strumento informatico.
Quasi un commerciante su due, però, non conosce le minacce: i meno consapevoli a Bari (47% non consapevole), situazione leggermente migliore a Roma (43%) e Milano (41%).
Ransomware e phishing
La misura di protezione contro la cyber-criminalità più utilizzata dai commercianti è costituita dai software antivirus e firewall (91,6% a Milano, 89,4% a Roma, 92,6% Bari). La meno utilizzata le coperture assicurative per i danni dovuti a cyber-attacchi (8,4% a Milano, 10,6% a Roma, 7,4% a Bari).
I commercianti sono particolarmente esposti ai rischi legati ai ransomware (meno della metà crea con regolarità copie di backup dei file utilizzati per l’attività) e alle truffe tramite email di phishing (a Milano, ad esempio, più di un commerciante su cinque dichiara di non fare attenzione ai messaggi di posta elettronica sospetti).
In media il 6,9% dei commercianti (del campione nelle tre città considerate) è stato vittima di un cyber-attacco negli ultimi 12 mesi. La situazione, però, è diversa da città a città. A Milano sono stati ben il 12% gli esercizi commerciali ad aver subito un episodio di cyber-criminalità, la metà di questi più di una volta (a dimostrazione del fatto che alcuni commercianti sono più esposti alle cyber-minacce).
Percentuali più basse a Roma e a Bari, dove a subire un cyber-attacco sono stati rispettivamente il 4% e il 3%. In generale, sulla base dei risultati del sondaggio di Intellegit e dell’indagine Confcommercio-Gfk, è possibile stimare (in modo logico) che in Italia siano stati più di 250.000 gli esercizi commerciali vittime di cyber-criminalità negli ultimi 12 mesi (novembre 2016 – ottobre 2017).
In media solo il 44,4% degli episodi di cyber-criminalità è stato denunciato alle autorità competenti. Esistono però differenze tra città. A Bari i commercianti hanno riportato tutti i casi di cyber-criminalità subiti alle forze dell’ordine. A Milano, al contrario, viene denunciato un episodio su tre, mentre a Roma solo uno su quattro.
Siti poco sicuri
Un’analisi di vulnerabilità condotta da Intellegit su un campione di siti web di esercizi commerciali aventi sede in tre città campione (Milano, Roma e Bari) ha evidenziato come un sito su due sia poco o per nulla sicuro (48% del totale del campione) e quindi molto esposto ad attacchi da parte dei cyber-criminali.
La maggior frequenza di siti internet molto vulnerabili riguarda esercizi commerciali aventi sede a Bari (61%, contro il 43% di Milano e il 40% di Roma).
Una delle falle di cybersecurity più sfruttate per attaccare un sito internet riguarda le vulnerabilità dei Cms quando questi non vengono utilizzati nella loro versione più aggiornata (e per questo più sicura).
L’analisi ha evidenziato che un sito su tre dei commercianti che fanno uso di Cms (il 34,2%) è un bersaglio particolarmente vulnerabile a eventi di cyber-criminalità dal momento che utilizza una versione arretrata e obsoleta.
Tre tipi di costi di cybersecurity
I costi di cybersecurity nel commercio in Italia sono di tre tipologie: di protezione (sostenuti dai commercianti per dotarsi di sistemi di sicurezza contro le cyber-minacce), diretti (perdite monetarie subite da un commerciante nel caso sia stato vittima di un cyber-attacco) e indiretti (quantificazione monetaria di una serie di danni immateriali cui un commerciante può incorrere come conseguenza di un episodio di cyber-criminalità).
Intellegit ha sviluppato una metodologia (che utilizza i risultati del sondaggio sulla cyber-criminalità somministrato ai commercianti in tre città campione e dell’indagine 2017 Confcommercio-Gfk Italia sui fenomeni criminali, incrociandoli con dati Mise e Istat) per stimare in modo logico quali sono stati i costi arrecati dalla cyber-criminalità al commercio in Italia negli ultimi 12 mesi (novembre 2016 – ottobre 2017).
In totale, i costi di protezione stimati sostenuti dai commercianti nel periodo considerato dall’analisi ammontano a 885.600.000 euro. Nonostante ciò, le perdite dirette subite sono state di oltre 854.000.000 euro. Tra i possibili costi indiretti, infine, è stato possibile calcolare il valore monetario delle ore che i commercianti che hanno subito un cyber-attacco hanno perso per risolvere il problema, che supera i 54.460.000 euro.
In totale, negli ultimi 12 mesi (novembre 2016 – ottobre 2017) la cyber-criminalità ha arrecato ai commercianti italiani costi che sfiorano i due miliardi di euro (ovvero pari a circa 1.800.000.000 euro). Questa stima è sicuramente per difetto dal momento che non include le perdite indirette diverse dalle ore di lavoro impiegate per risolvere il problema.
