Ricordo la strana sensazione quando, in piena pandemia, mi ritrovai di fronte a scaffali del supermercato tristemente semivuoti: prodotti alimentari e per l’igiene “saccheggiati” sull’onda del panico collettivo, o esauriti per perturbazioni di produzione e distribuzione legate al lockdown.
Un invito a non dare nulla per scontato, perché un imprevisto può ancora sconvolgere un’intera società; a riflettere sulla catena di delicati “incastri” che, oggi, non fa mai mancare nelle nostre case prodotti necessari o amati dalle nostre famiglie.
Nei mercati globalizzati, alla base di questi “incastri” c’è un universo di sistemi informatici in continuo dialogo, un’automazione che attraversa tutti gli attori delle filiere, trasforma materie prime in prodotti finiti e abilita processi rapidi e flessibili di marketing, vendita e distribuzione. Un “digitale invisibile” alla base della nostra quotidianità, nato ben prima del “digitale visibile” e facile dei social network sui nostri smartphone.
La digitalizzazione di ogni business è una necessità per le industrie, chiamate alla massima efficienza nel realizzare e distribuire su larga scala prodotti di qualità, sostenibili e al giusto prezzo: automazione degli impianti produttivi (Operational Technology), sensoristica connessa (Internet of Things), tracciabilità su blockchain, analisi di enormi quantità di dati (big data), sono solo alcune delle sfide digitali che l’Industry 4.0 deve affrontare per competere – incluse nuove opportunità e rischi dell’Intelligenza Artificiale.
Non stupisce, quindi, che il settore manifatturiero sia da un quinquennio il più colpito dagli attacchi cyber: i criminali informatici, dismessi felpa e cappuccio da hacker, operano in organizzazioni a delinquere internazionali, con finalità politiche, ideologiche ed economiche, e trovano soprattutto nelle industrie – che non possono permettersi blocchi delle attività – le vittime ideali delle loro estorsioni.
Chiare le cifre: il giro d’affari globale stimato del cybercrime è paragonabile a quello di una grande potenza, al terzo posto dopo il PIL di Stati Uniti e Cina, con crescita annua del 15%. I più recenti studi (Rapporti CLUSIT 2024 e 2025) vedono un incremento annuo degli attacchi del 12% nel 2023 e di oltre 27% nel 2024; il World Economic Forum conferma le minacce cyber tra le prime nella percezione dei decisori politici ed economici.
Un attacco cyber può compromettere i dati nella loro confidenzialità (dati visibili a chi non dovrebbe), integrità (dati alterati) e disponibilità (dati cancellati o sistemi bloccati). I rischi a cui le industrie sono soggette, quindi, sono di natura finanziaria (estorsioni, perdita di profitti) o legati alla proprietà intellettuale (furto di segreti industriali), ma anche di violazione di normative (come il Regolamento GDPR sui dati personali), inabilità a svolgere le proprie funzioni per giorni o settimane (business continuity) e danno reputazionale: sempre più spesso, le gang criminali espongono online i dati sottratti alle vittime.
Per un settore fondamentale, come quello alimentare, le violazioni ai sistemi di produzione e distribuzione potrebbero alterare la qualità del prodotto (con ricadute sulla salute) e la sua disponibilità nei negozi, generando nei consumatori un’estesa perdita di fiducia. La compromissione di cibo ed acqua, arma “non convenzionale”, può trovare nei mezzi informatici un nuovo veicolo, rafforzato da moventi economici.
Dunque, se il digitale è ormai parte del tessuto industriale e sociale, tale deve essere anche la cultura della protezione cyber nelle imprese: una sfida strutturale, continua ed evolutiva.
Tramontata l’era di una sicurezza puramente tecnologica e individuale (il classico antivirus, da solo, non è più la soluzione), il contesto impone di sviluppare una “cultura partecipata” del rischio cyber attraverso tutti gli attori produttivi e distributivi: può bastare un singolo anello debole a spezzare una catena, a mettere in pericolo un comparto, una comunità o un intero Paese.
Alla crescente determinazione degli attaccanti, ogni impresa può oggi contrapporre preventive misure tecniche, organizzative e procedurali che meglio combinano rischi e disponibilità finanziarie: sistemi di protezione, standard di riferimento e un’adeguata organizzazione possono costituire un efficace baluardo, se orchestrati in un disegno d’insieme e sponsorizzati da una direzione aziendale convinta che il rischio cyber è concreto. Analoga attenzione va poi richiesta ai partner da cui l’azienda dipende e che ne estendono la potenziale “superficie esposta”: fornitori di materie prime, servizi essenziali, logistica e distribuzione.
Senza dimenticare la cruciale componente umana: anche nel mondo cyber, le persone sono la prima e l’ultima linea di difesa. Pertanto, dipendenti e collaboratori vanno regolarmente formati ad individuare le nuove minacce del digitale, ricordando che l’intelligenza umana è un’arma efficace contro i possibili abusi dell’intelligenza artificiale. Think before you click, pensa prima di cliccare.
Recenti interventi normativi tracciano una strada ed includono anche requisiti di gestione degli incidenti: a livello europeo, la Direttiva NIS 2, volta a rafforzare la cyber sicurezza di servizi essenziali ed importanti in tutti i Paesi dell’Unione Europea – auspicando un “effetto traino” positivo sulla sicurezza di tutti gli attori di filiera.
Al di là della tutela della business continuity, del contenimento dei rischi e degli obblighi di legge, una valida postura di sicurezza cyber è oggi uno dei tratti distintivi e premianti del modo di operare di un’azienda. Un “biglietto da visita”, che racconta il “come” l’impresa lavora, non solo “cosa” produce: tutela dei dati di consumatori e dipendenti, protezione dei beni finanziari ed intellettuali, senso di responsabilità verso coloro che si affidano prodotti o servizi; in definitiva, impegno concreto a garantire l’esercizio della propria missione, non solo economica, ma anche civica e storica.
Cybersecurity Director Gruppo Barilla
