La diffusione della digitalizzazione e la connessione permanente portata da Internet hanno aumentato le opportunità di business anche per i piccoli imprenditori ma, al tempo stesso, i rischi informatici. Tuttavia a security non è la preoccupazione principale delle microimprese e degli small office. Il 42% delle PMI ammette di aver subito almeno un incidente e il 27% di aver riscontrato da due a cinque violazioni, che, per il 40% dei casi, hanno coinvolto anche i dati personali dei clienti.  Lo rivela uno studio dal titolo “From data boom to data doom: the risks and rewards of protecting personal data”, pubblicato da Kaspersky Lab, che evidenzia come il 70% delle PMI intervistate si ritenesse al riparo dai rischi di attacchi informatici. Un’analisi dell’Osservatorio Information Security & Privacy del Politecnico di Milano (realizzata su un campione di oltre 500 PMI, fra 10 e 249 addetti) classifica il 52% degli intervistati nella categoria degli inconsapevoli, mentre solo il 18% presenta una situazione ideale, a livello di strumenti e organizzazione, per poter affrontare i rischi informatici in modo adeguato. Questa situazione peggiora se si prendono in considerazione aziende più piccole (con meno di 10 dipendenti), dimensione tipica dello small office o delle organizzazioni artigiane e commerciali, gestite da piccoli imprenditori, dove spesso sono scarse la cultura informatica, le risorse e il tempo da dedicare alle attività di security. Tuttavia è presente la preoccupazione della perdita dei dati che può incidere sulla continuità del business e sulla possibilità di accesso ai servizi interni e rivolti ai clienti e riguarda l’87% delle PMI, secondo quanto evidenziato dallo studio di Kaspersky Lab.

Il primo passo è dunque comprendere quali siano i reali rischi informatici per una microimpresa. Il report 2019 di Clusit  (autorevole associazione indipendente sulla sicurezza informatica) evidenzia l’aumento del 43,8% degli attacchi gravi compiuti per finalità di cybercrime e l’ulteriore rafforzamento, nel biennio 2017-2018, del trend, già presente nell’anno precedente, quando si era assistito alla diffusione di attività criminali “spicciole”, come campagne di estorsione realizzate tramite phishing e ransomware, che hanno colpito moltissime organizzazioni e cittadini italiani. Si indica con ransomware un malware che crea limitazioni nell’uso di un dispositivo informatico, ad esempio criptando i dati (cryptolocker) presenti, o impedendo in altro modo l’accesso al dispositivo stesso (locker-ransomware), con l’obiettivo di richiedere un riscatto alla vittima per consentirgli nuovamente l’accesso ai suoi dati. Anche le attività di phishing, pur rappresentando un sistema datato e ben noto, sono aumentate del 30% e riescono ancora a colpire diverse vittime anche attraverso tecniche sempre più raffinate, rese possibili da una produzione diventata industriale e a costi decrescenti. La minaccia arriva via email, imitando per aspetto e contenuti i messaggi legittimi di fornitori di servizi, con l’obiettivo di estorcere denaro o informazioni sensibili. Altre possibili minacce arrivano dal web, spesso da siti insospettabili compromessi all’insaputa dei proprietari, sfruttando alcune vulnerabilità di sistema, per diffondere malware che infettano chiunque vi acceda senza le opportune protezioni. Queste, come altre attività a largo spettro, sono in aumento, a differenza del passato quando il cybercrime si focalizzava soprattutto su settori specifici (banche, sanità, settore pubblico…) e grandi organizzazioni.

Al fenomeno della digitalizzazione che rende ormai impossibile isolare qualunque l’azienda, si aggiunge la mobilità che consente di  lavorare non solo in ufficio, dal proprio computer, ma da qualunque luogo utilizzando smartphone e tablet, a volte personali ma connessi per necessità ai dati e ai processi aziendali. I cyber criminali si sono attrezzati e, secondo il rapporto Clusit già citato, circa il 12% dei malware in circolazione è rivolto alle principali piattaforme mobili (come Android e iOS). Al rischio di attacchi diretti a tablet e smartphone si aggiunge poi la possibilità di smarrimento o furto dei dispositivi mobili che possono contenere informazioni critiche. In conclusione, nessuna azienda, sia essa una grande impresa o una microimpresa, uno small office o uno studio professionale, può considerarsi al riparo dai rischi informatici. I piccoli imprenditori dovranno dunque prendere le opportune precauzioni, organizzative e tecnologiche, per la sicurezza delle informazioni interne e dei loro clienti, e garantire così la continuità della propria attività.