Il 90% delle piccole e medie imprese (PMI) di Roma e del Lazio è privo di adeguate difese contro gli attacchi hacker. Il dato è emerso da una recente indagine condotta da Confindustria e Generali con il supporto dell’Agenzia per la cybersicurezza nazionale e degli Osservatori Digital Innovation del Politecnico di Milano e ha messo in luce una vulnerabilità diffusa che interessa circa 450mila aziende, ovvero il 75% delle oltre 600mila imprese attive sul territorio laziale.

Nonostante la digitalizzazione sia ormai parte integrante del lavoro quotidiano per il 60% delle PMI, la consapevolezza e la capacità di difendersi dai rischi informatici restano drammaticamente basse: solo una su dieci ha adottato iniziative concrete per proteggersi, contro una media nazionale comunque modesta del 15%.

Cybersecurity: perché le PMI sono così vulnerabili Le ragioni di questa fragilità sono molteplici e intrecciate tra loro. Da un lato, i costi elevati delle soluzioni di cybersicurezza rappresentano un ostacolo per le imprese, spesso a conduzione familiare, che faticano a destinare risorse a strumenti e formazione specialistica. Dall'altro, permane una diffusa diffidenza nell'affidare la sicurezza digitale a un dipendente interno, che dovrebbe frequentare corsi specifici e aggiornarsi costantemente. Il risultato è che il 30% degli imprenditori ammette di essere consapevole dei rischi ma di non poter sostenere gli investimenti necessari, mentre il 35% tenta di risolvere il problema in modo "artigianale", senza strumenti professionali. Un ulteriore 25% delle aziende, invece, non ha adottato alcuna misura difensiva. Questa mancanza di preparazione si traduce in una superficie d'attacco ideale per i cybercriminali, che vedono nelle PMI bersagli facili e redditizi. I settori più colpiti sono quelli dei servizi, della ristorazione, delle officine e degli studi professionali, ma nessun comparto può dirsi davvero al sicuro. Gli attacchi più frequenti sono di tipo ransomware, con richieste di riscatto che possono mettere in ginocchio anche le aziende più solide, ma non mancano episodi di phishing, furto di dati sensibili, blocco delle attività online (DDoS) e truffe informatiche sempre più sofisticate, spesso orchestrate da gruppi hacker internazionali.

Attacchi in crescita e nuove normative Il quadro si complica ulteriormente con l'entrata in vigore a ottobre 2024 della direttiva europea NIS2, che impone nuove regole e sanzioni per chi non si adegua agli standard minimi di sicurezza. Sebbene la normativa sia rivolta principalmente alle aziende di dimensioni maggiori e ai fornitori di servizi essenziali, le PMI che fanno parte della filiera produttiva o che intrattengono rapporti con la pubblica amministrazione – circa il 15% nel Lazio – sono coinvolte direttamente o indirettamente. Nel 2025, le imprese dovranno aggiornare i dati sulla piattaforma dell'Agenzia per la cybersicurezza nazionale, segnalare eventuali incidenti entro 24 ore e dotarsi di piani di risposta agli attacchi, pena l'esclusione da gare pubbliche e rapporti commerciali strategici. I dati della Polizia Postale confermano la gravità della situazione: nel 2024 sono stati registrati quasi 12mila attacchi informatici a infrastrutture critiche tra aziende pubbliche e private, con 59mila alert (+38% rispetto al 2023) e un aumento del 18% degli episodi di ransomware. L'Italia, secondo i più recenti report, è oggi tra i principali bersagli a livello globale, con un'incidenza di attacchi superiore alla media europea. Nonostante ciò, la consapevolezza resta bassa: solo il 44% delle PMI riconosce l'esistenza di un rischio cyber, ma meno della metà traduce questa consapevolezza in azioni concrete, mentre il 18% non possiede nemmeno gli strumenti di base per prevenire o gestire un attacco.