Crimini informatici: fino a 66mila euro i danni per una Pmi

Parecchie decine di migliaia di euro. Tanto costa ad una Pmi subire un attacco informatico. Per entrare più nel dettaglio occorre capire di che attacco si tratta. Un ransomware, ovvero l’azione che impedisce l’accesso al sistema bloccando i dispositivi, pesa per 59mila euro. Un danno economico che calcola, tra gli altri, i costi di ripristino ed il fermo attività, a cui si aggiunge il riscatto - quando viene pagato - che mediamente può aggirarsi sui 35mila dollari. Il phising, che avviene quando i criminali informatici chiedono un pagamento a un dato link o conto, insinuandosi in mail, messaggistica o addirittura clonando voci con cui fanno telefonate perfettamente credibili, può costare intorno ai 66mila euro.

I numeri del report

I dati provengono dal report 2025 «Cost of a Data breach» di Ibm security, dal Rapporto Clusit 2025 e da statistiche di «Let’s Co», ma «se parliamo di medie o grandi aziende i costi sono molto più alti» spiega Giannini Gianfilippo, membro del board di No Hat e tra gli organizzatori dell’omonima conferenza internazionale su sicurezza informatica e privacy che ieri ha portato a Bergamo 900 partecipanti.

I numeri sono stati forniti durante l’executive track tenuta dal professionista informatico Sunil Venanzini, all’interno della sessione dedicata alle aziende del territorio. «Questo tipo di eventi, come il No Hat, è fondamentale per le piccole e medie imprese - spiega Giannini -. I controlli sulla sicurezza implementati anche solo pochi anni fa possono oggi risultare superati rispetto al ritmo con cui si muovono le cyber gang. Investire nella consapevolezza e nella resilienza digitale è una scelta strategica, ma anche una necessità per adeguarsi ai requisiti posti dalla direttiva NIS2, che impone standard di sicurezza sempre più stringenti a un numero crescente di aziende».

Casi pratici, analisi e soluzioni concrete

È questo il metodo con cui No Hat, giunto quest’anno alla 7 edizione tratta il tema della cybersecurity, proponendo tantissime sessioni di ricerca su temi specifici.

La lunga maratona di 17 interventi in 12 ore è stata aperta da Katie Moussouris, vero e proprio riferimento mondiale per le attività di «bug bounty» (ovvero la caccia al bug) che oggi parlerà anche alla platea di BergamoScienza per la conferenza di chiusura. A seguire l’esperto di sicurezza di Amazon web services (Aws) Federico Maggi ha presentato l’approccio di una grande realtà internazionale all’Intelligenza Artificiale e alle sue implicazioni nella cybersecurity: «Ogni servizio di Intelligenza Artificiale ha una struttura basata su un modello linguistico con una componente probabilistica. Quando interagiamo con Chatgpt sembra di parlare con una macchina pensante, ma non è così. Per addestrare un modello di IA - aggiunge - occorre un hardware specifico come schede video o Asic, circuiti integrati progettati su misura per questo tipo di lavoro».

Gli hacker etici

E su questo punto insiste: «Noi di Aws abbiamo sviluppato un Asic che costituisce la base dei nostri datacenter, ma quando si produce un nuovo hardware c’è sempre un rischio: come facciamo ad assicurarci che sia privo di vulnerabilità?». Qui entra in gioco la comunità degli hacker etici: «Se ci sono criticità nel software, le possiamo risolvere facilmente: aggiorniamo il codice e siamo salvi. Ma se la vulnerabilità sta nell’hardware, rischiamo perdite enormi: una volta che un chip è pronto, non lo puoi più modificare», continua l’ingegnere specializzato in cybersecurity. «L’Intelligenza Artificiale deve avere delle solide basi computazionali, se vuole essere veramente sicura. Nuove vulnerabilità emergono ogni giorno: il nostro appello alla comunità degli hacker è di non limitarsi al software. Guardate anche all’hardware: sappiamo che è un lavoro più difficile, ma aiutateci a incrementare la sicurezza dei nostri prodotti».