Immaginare il 2023 come nuovo “annus horribilis” della cybersecurity non richiede un grande sforzo di fantasia. In effetti non esiste una buona ragione per pensare il contrario. Le organizzazioni criminali si sono consolidate, l’impetuosa corsa della digitalizzazione spalanca nuove superfici di attacco, le potenziali vittime faticano a colmare le lacune figlie di decenni di ritardo, nonostante spendano molti più soldi.

Proprio questo ultimo aspetto apre le porte a una prima riflessione che potrebbe trovare spazio nella testa dei vertici di alcune organizzazioni. Se dobbiamo considerare la sicurezza un investimento e non un costo come tutti vanno dicendo, allora prima o poi dovrà produrre qualcosa di spendibile sul mercato. La storia che si tratta di denaro allo scopo di prevenire perdite va bene fino a quando la somma contiene un numero limitato di “zeri”, poi diventa un po’ debole. Tuttavia, la sicurezza è in molti settori percepita come un valore, basta pensare al mondo dei trasporti, per esempio al settore automobilistico con l’ambito riconoscimento di 5 stelle nei test Euro NCAP.

Quest’anno qualcuno potrebbe immaginare che sia arrivato il momento di valorizzare la propria sicurezza digitale e quindi per i responsabili della cybersecurity potrebbe aprirsi un nuovo scenario, in cui alla lotta per evitare tagli di budget si sostituirebbe un altro tipo di problema: spiegare a interlocutori piuttosto “insoliti” (il capo del marketing, della comunicazione e via dicendo) come “vendere” e fare pagare ai clienti la sicurezza dei sistemi e dei prodotti. Una situazione che potrebbe offrire grandi soddisfazioni e spostare più vicino al “core business” un’area aziendale spesso considerata “un male necessario”. Vale la pena ricordare, però, che tante volte nulla è peggio di ottenere quello che si vuole.

Se il tema dell’emergere della figura professionale del business security manager viaggia sottotraccia, ben in vista è la continua attività di normazione in materia dell’Unione europea. Se il 2022 si chiude con il pensionamento della Direttiva NIS 1, in materia di sicurezza delle infrastrutture critiche, a favore della più impegnativa NIS 2, si è già aperto il dibattito attorno al nuovo regolamento denominato Cyber Resilience Act che ha l’obiettivo, come si legge sul sito della Commissione, di “proteggere i consumatori dai prodotti non sicuri introducendo norme comuni in materia di cibersicurezza per i fabbricanti e i venditori di prodotti digitali materiali e immateriali e di servizi ausiliari”. Se dovesse mantenere fede a quanto promette questa norma potrebbe investire come un vero e proprio uragano le imprese, soprattutto le nostre PMI che hanno da sempre un pessimo rapporto con la cybersecurity.

Un’ultima considerazione riguarda la vera parola d’ordine del 2022: intelligenza artificiale. In un mondo come quello delle nuove tecnologie che “brucia” in mesi i nuovi trend, si tratta di un tema che promette di restare sulla cresta dell’onda anche per l’anno che verrà. Quello che prevedono gli analisti è una vera e propria invasione di algoritmi intelligenti, tanto potenti quanto fragili. Sono già state studiate, prevalentemente in ambito accademico, almeno un centinaio di modalità per attaccare le intelligenze artificiali. Quello che si augurano i professionisti della cybersecurity è che tali tecniche restino confinate ai laboratori di ricerca anche per il 2023, ma forse peccano di ottimismo.

