Le autorità europee faticano definire i costi legati al cybercrime, poiché mancano approcci comuni e casi di studio compatibili.

Con l’aumento dei casi di infiltrazione e degli attacchi cibernetici, non c’è da stupirsi se vi sia un sempre maggiore interesse per quello che è l’impatto economico di tali azioni; tuttavia, fare una stima dei costi effettivi risulta difficile, almeno secondo l’ENISA, l’agenzia europea per la sicurezza delle reti e dell’informazione, la quale ha riscontrato molte difficoltà a stabilire un modello affidabile: la dichiarazione è presente in un report sull’impatto degli attacchi alle infrastrutture contenenti informazioni critiche, dove l’agenzia ha riscontrato una mancanza di un approccio uniforme all’analisi degli attacchi, specialmente nella zona europea, il che ha reso più complicata la stesura di stime e cifre quanto più vicine alla realtà.

La possibilità di capire i costi e l’impatto economico delle minacce digitali è un fattore fondamentale per poter sviluppare delle politiche difensive adeguate, coerenti ed efficaci. Senza di esse si corre il rischio di perdere troppo terreno rispetto alla crescita del cybercrime e di non riuscire a realizzare una rete di misure in grado di garantire una protezione che soddisfi realmente le necessità delle aziende. Per questo motivo è necessario stabilire dei criteri comuni ai quali fare riferimento per l’analisi delle casistiche: infatti, stando alle dichiarazione dell’ENISA, la moltitudine di casi di studio è caratterizzata da un’enorme diversità di punti di vista, i quali sono principalmente influenzati da necessità di business, piuttosto che da bisogni reali.

I danni del cybercrime: concreti e d’immagine

Il documento indica come i settori che registrano l’impatto economico più alto sono quello finanziario, quello energetico e quello dell’informatica e della comunicazione, mentre gli attacchi più frequenti sono DoS/DDoS e minacce interne. Da questo scenario si è riscontrato che ogni ambito ha dei diversi livelli di perdita e, soprattutto, che ci sono diversi modi di intendere il danno economico, ovvero:

• Il danno tangibile, quello causato da sistemi che richiedono un pagamento per la restituzione di alcuni file (come nel caso dei ransomware), che causano un disservizio (come, ad esempio, gli attacchi  ad un portale e-commerce) o che mirano al furto diretto di denaro.
• Il danno intangibile, ossia quello causato da attacchi che hanno come risultato il furto dei dati dei clienti o che comunque espongono la vulnerabilità del sistema di sicurezza di un’azienda. In questo caso, è la cattiva pubblicità derivata dall’ìmpossibilità a fornire un livello di protezione adeguato che causa il danno economico.

Mentre il primo tipo di danno può essere misurato con una certa precisione, il secondo è molto difficile da stabilire, specialmente nell’ottica di un’indagine o di un caso di studio. Perciò, la mancanza di un modello univoco e i continui cambiamenti nel mondo del cybercrime fanno si che gli addetti ai lavori possano stimare solamente i costi delle azioni riparatrici e dei sistemi di protezione, ma senza poterli accostare a previsioni e valutazioni sulle perdite, specialmente quelle derivanti da danni reputazionali e risarcimenti ai clienti e ai partner. Tutto ciò si traduce in una minore fiducia nella sicurezza digitale e, di conseguenza, in tutti gli strumenti digitali.

Questa situazione fa capire ancora di più l’importanza di quel modello comune richiesto dall’ENISA e senza il quale sarà difficile sviluppare dei sistemi di sicurezza in grado di convincere le aziende ad investire nel digitale e nella cybersecurity.