OSSERVATORIO I-COM SUI CONSUMATORI 2017 - LA SICUREZZA NELL'ERA DIGITALE La difesa dei dati alla prova di internet 24 ottobre 2017
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
OSSERVATORIO I-COM SUI CONSUMATORI 2017
LA SICUREZZA NELL’ERA DIGITALE
La difesa dei dati alla prova di internet
24 ottobre 2017
Sempre più utenti online ma ancora poco competenti
Individui che hanno navigato in Internet negli ultimi 12 mesi
100
Nel 2016, il 71% degli italiani ha 90 83,5
utilizzato Internet almeno una 80 71,0
volta negli ultimi 12 mesi, un 70
60
dato in aumento di 14,2 p.p.
In %
50
rispetto a 5 anni prima, ma che 40
30
resta tuttavia nettamente al di 20
sotto della media UE (83,5%) e 10
0
dei Paesi del Nord Europa, che
Rep. Ceca
Paesi Bassi
Portogallo
Lussemburgo
Regno Unito
Germania
Belgio
Slovacchia
Grecia
Ungheria
Danimarca
Austria
Malta
Lituania
Svezia
Estonia
Polonia
Croazia
Italia
Romania
Bulgaria
Finlandia
Francia
EU 28
Irlanda
Spagna
Latvia
Slovenia
Cipro
presentano un dato molto
prossimo alla totalità
2011 2016
Individui con competenze digitali di base o sopra la base (2016)
100
90
Purtroppo, solo il 43,7% degli
80
70 italiani mostra di avere
56,2
60 competenze digitali, meglio solo di
In %
50 43,7
40
Cipro, Romania e Bulgaria, e ben al
30 di sotto del dato europeo (56,2%).
20
10
Anche in questo caso sono i Paesi
0 nordici a dominare la classifica
Paesi Bassi
Lussemburgo
Portogallo
Regno Unito
Germania
Belgio
Slovacchia
Grecia
Danimarca
Austria
Estonia
Croazia
Rep, Ceca
Spagna
Lituania
Ungheria
Malta
Polonia
Irlanda
Italia
Romania
Bulgaria
Finlandia
Svezia
EU 28
Francia
Slovenia
Latvia
Cipro
2
Fonte: Eurostat 2017
Sempre meno preoccupati dell’e‐commerce
Individui che ordinano beni e servizi online
Aumenta, nell’ultimo
90
quinquennio, la percentuale di 80
individui che acquista online: 70
nell’UE più di un cittadino su due 60
50
preferisce l’e‐commerce, un dato
%
40
cresciuto di 13 p.p. rispetto al 30
2011. In Italia il dato cresce poco 20
10
di più (14 p.p.) ma resta basso nel 0
complesso (29% nel 2016),
Rep. Ceca
Paesi Bassi
Francia
Irlanda
Portogallo
Regno Unito
Lussemburgo
Germania
Belgio
Slovacchia
Grecia
Danimarca
Austria
Malta
Ungheria
Spagna
Lituania
Polonia
Croazia
Italia
Bulgaria
Romania
Svezia
Estonia
UE 28
Finlandia
Latvia
Slovenia
Cipro
rendendo il nostro Paese ancora
terzultimo tra i Paesi UE.
2011 2016
Individui che non hanno acquistato online per ragioni di sicurezza
35
30
L’Italia è uno dei Paesi dove la
25
preoccupazione sulla sicurezza come
20
ostacolo agli acquisti online è
In %
15
diminuita, passando dal 24% al 17%,
10 la variazione negativa più consistente
5 a livello UE.
0
Paesi Bassi
Portogallo
Belgio
Lussemburgo
Grecia
Germania
Slovacchia
Ungheria
Lettonia
Italia
Austria
Lituania
Rep. Ceca
Svezia
Francia
Spagna
Malta
Romania
Danimarca
Estonia
Polonia
Finlandia
UE 28
Bulgaria
Irlanda
Croazia
Slovenia
Regno Unito
Cipro
3
Fonte: Eurostat 2017 2010 2015
Più internet banking e transazioni cashless
Secondo le stime del World Payments Report Numero di transazioni mondiali (in miliardi), per area geografica, 2015‐2020
2017, le transazioni cashless a livello globale 750
Transazioni senza contanti (miliardi)
cresceranno dai 433 miliardi nel 2015 a più di 181,7
725 miliardi entro il 2020, ad un CAGR di circa 174,9
l’11%. 500 167,8 139,3
161,1
In particolare, l’area geografica in cui le 153,9 130,7
147,4 65,3
transazioni cashless cresceranno maggiormente 115,4
122,7
61,3
è l’Asia in via di sviluppo (31%). 250 101,5
108,1
53,3
57,3
211,5
49,3 159,1
La crescita in Europa è, invece, inferiore alla 45,3 92,8
120,6
55 70,7
media globale e pari al 6,5% 44,7 48,7 54,9 60,5 66,7 72,8
39,1 41,9 44,9 48,1 51,4 55,2
0
2015 2016 2017E 2018E 2019E 2020E
America Latina CEMEA* Asia in via di sviluppo
Asia sviluppata Europa (con Eurozona) Nord America
Individui che usano l'internet banking *CEMEA = Central Europe, Middle East and Africa
60
49
Aumentano, in Italia, gli individui che utilizzano
46
50
40 42 44 l’internet banking per accedere alle proprie
40 36 ‐20 p.p. informazioni e operazioni bancarie, dal 20% del
2011 al 29% del 2016, ma si allarga la forbice
in %
30 ‐16 p.p.
20 28 29 con la media UE che da ‐16 p.p. passa a ‐20 p.p.
26
20 21 22 nel quinquennio, risultando tra le ultime
10
posizioni, prima solo di Portogallo, Cipro,
0
2011 2012 2013 2014 2015 2016
Grecia, Romania e Bulgaria.
UE 28 Italia
4
Fonte: Eurostat 2017; World Payments Report 2017
Aumento di imprese con una finestra online
Il processo di digitalizzazione interessa anche le imprese e le modalità con le quali esse si presentano sul
mercato. Il 71,3% delle imprese italiane possiede un proprio sito web o una homepage, un dato inferiore
di circa 6 p.p. rispetto alla media europea. In tutti i Paesi UE la tendenza è stata negli anni crescente: nel
periodo considerato, la diffusione tra le imprese è aumentata, in alcuni Paesi anche in maniera
significativa. In Italia, la crescita è stata pari a 8,7 p.p.
Imprese munite di un sito web o una homepage
100
90
80
70
60
In %
50
40
30
20
10
0
2011 2016
5
Fonte: Eurostat 2017
Sempre più dati online
Relativamente all’esposizione degli utenti a potenziali abusi e violazioni di dati, esemplificativo è il dato
Eurostat che riporta un sostanziale aumento di utenti che utilizzano gli strumenti di archiviazione online
per salvare dati personali.
La propensione ad impiegare la rete come strumento di archiviazione prende, infatti, sempre più piede:
In Italia, la percentuale di individui che adopera Internet a tal fine è cresciuta, nel periodo 2014‐2016, di
3,6 p.p., passando dal 26,6% al 29,2%, leggermente meno che in media nell’UE (31,5% nel 2016)
Utenti internet che utilizzano lo spazio internet per salvare file (ultimo trimestre)
60,0
50,0
40,0
30,0
20,0
10,0
0,0
2014 2016
6
Fonte: Eurostat 2017
Cybersecurity: un problema sempre più stringente
Gli attacchi informatici continuano a crescere nel corso del tempo e il 2017 punta ad essere un anno
molto delicato per la cybersecurity.
Prendendo in considerazione i dati del Rapporto Clusit 2017 (che si basa su un campione
complessivo di 5.738 attacchi noti di particolare gravità), si nota che dal 2011 al 2016, il numero di
attacchi a livello globale, nei settori analizzati, è aumentato del 95%, passando da 469 a 913 casi. In
particolare, nel settore «Servizi online/Cloud» il numero di attacchi nel 2016 è stato 12 volte quello
registratosi nel 2011. La «Sanità» è stato il secondo settore per aumento (+630%), seguito dal settore
«Banche/Finance» (+518%).
Numero di attacchi informatici, per settore
700 1400%
500 1000%
300 600%
100 200%
‐100 ‐200%
2011 2016 Var. % (asse dx)
* Il dato 2011 per il settore GDO/retail non è disponibile 7
Fonte: Clusit 2017
Gli attacchi cyber
Distribuzione delle minacce informatiche (2016)
Secondo i dati Clusit, nel 2016 a livello 5%
8%
globale, il 72% degli attacchi informatici ha
riguardato i cybercrime, con la restante fetta
15%
suddivisa tra hackeraggi (15%), spionaggio e
sabotaggio (8%) e guerra cibernetica (5%).
72%
Cyber crimini Hackeraggio Spion./Sabot. Guerra cyber
Il cybercrime registra, nel quinquennio 2011‐ Distribuzione attacchi per finalità nel quinquennio
2016, un aumento del 342%, passando da 170 800 400%
a 751 e attestandosi come il più frequente 700 342% 350%
600 300%
degli attacchi. Lo spionaggio e il sabotaggio 283%
257%
500 250%
crescono del 283%, seguiti dalla guerra 400 200%
cibernetica (+257%) e dagli attacchi hacker 300 150%
(+41%). Complessivamente gli attacchi 200 100%
informatici nel 2016 raggiungono quota 1050, 100 41% 50%
in crescita pari del 227% rispetto al 2011. 0
Cyber crimini Hackeraggio Spion./Sabot. Guerra cyber
0%
2011 2016 var.%
8
Fonte: Clusit 2017
Le esperienze di violazione
Utenti internet (16‐74 anni) con esperienza diretta di violazione dei dati
personali L’Italia è il secondo Paese all’interno dell’UE per numero
10 di violazioni subite (il 6% di coloro che utilizzano
Internet), quasi il doppio della media europea.
8
L’incidenza di attacchi è tuttavia diminuita (seppur di
% utenti internet
6 poco) nel nostro Paese (‐0,5 p.p.), così come in altri Paesi.
4
Più bassa la quota di individui che hanno subito perdite
economiche per frodi informatiche (2,1%), in contrazione
2
rispetto al 2010 (‐1,8 p.p.), a dispetto di Paesi quali
0 Belgio, Lussemburgo, Danimarca e Svezia, dove la
Slovacchia
Rep. Ceca
Romania
Danimarca
Paesi Bassi
Francia
Irlanda
Lussemburgo
Portogallo
Regno Unito
Belgio
Germania
Grecia
Cipro
Malta
Italia
Spagna
Bulgaria
Ungheria
Austria
EU 28
Croazia
Lituania
Svezia
Polonia
Estonia
Finlandia
Slovenia
Latvia
problematica è diventata più diffusa.
Dai dati dell’Osservatorio Crif 2017, risulta che le fasce
d’età più colpite sono quelle comprese tra i 31 e i 40 anni
2010 2015 e quella tra i 41 e i 50 anni, che complessivamente
Utenti internet che hanno subito perdita economica per frodi
spiegano esattamente metà delle frodi esaminate
12 informatiche nell’osservatorio.
10
Vittime per fasce d'età (2016)
8
In %
6 over 60 18‐30
14% 17%
4
2
51‐60
0 19%
31‐40
Rep. Ceca
Paesi Bassi
Belgio
Lussemburgo
Regno Unito
Portogallo
Germania
Grecia
Slovacchia
Danimarca
Spagna
Malta
Austria
Ungheria
Lituania
Svezia
Francia
UE 28
Irlanda
Italia
Romania
Bulgaria
Polonia
Croazia
Estonia
Finlandia
Slovenia
Latvia
Cipro
23%
41‐50
27%
2010 2015
9
Fonte: Eurostat 2017; Osservatorio Crif 2017
Cybersecurity: la duplice risposta delle imprese
Sale il livello di allerta tra le imprese che, Imprese con una formale politica di sicurezza sull'ICT
nel quinquennio 2010‐2015, rispondono, 60
in numero crescente, con formali 50
politiche di sicurezza sull’ICT.
40
Tra le imprese italiane appare
30
particolarmente sentito il problema: al
2015, il 42,9% di esse (22,4% nel 2010) 20
risultava aver formalizzato, all’interno 10
della sua azienda, un politica di sicurezza 0
informatica, un dato nettamente
Rep. Ceca
Portogallo
Italia
Grecia
Germania
Croazia
Malta
Cipro
Spagna
Belgio
Francia
Bulgaria
Estonia
Lituania
Svezia
Danimarca
Finlandia
Paesi Bassi
Ungheria
Irlanda
Regno Unito
UE 28
Lussemburgo
Austria
Romania
Latvia
Polonia
Slovacchia
Slovenia
superiore alla media europea (31,6%), ma
tuttavia ancora basso se si considera la
portata del fenomeno. 2010 2015
Crescita del settore sicurezza
5.609
6.000 Secondo una survey Vodafone, il 93% delle
5.000 imprese, a livello globale, riconosce
4.000
l’importanza della cybersecurity. Non a caso,
3504
stando ai dati UnionCamere, il settore
UNITA'
3.000
sicurezza, dal 2011 a metà 2017, è cresciuto in
2.000 termini sia di numero di imprese (+37%) che di
1.000 505 691 numero di operatori (+60%). Tuttavia, secondo
la survey Vodafone, solo il 41% delle imprese
0
Imprese che si occupano di sicurezza Operatori impegnati nel settore sicurezza esaminate sa a chi rivolgersi.
2011 metà 2017
10
Fonte: Eurostat 2017; UnionCamere e InfoCamere 2017La roadmap della Commissione UE
Proposta di regolamento sulla cibersicurezza
ENISA Relativo all’ENISA, che abroga il Reg. UE n.526/2013, e
Scadenza mandato:
relativo alla certificazione della cibersicurezza per le
2020
(durata 7 anni) tecnologie dell’informazione e della comunicazione
Reg. (UE) n. 526/2013 Presentata il 13.9.2017 dalla Commissione UE
durante lo Stato dell’Unione 2017
Creazione Agenzia UE su Cybersecurity Potenziamento del budget e personale
Attribuendo all’ENISA più poteri e funzioni, con Aumentare lo staff di ENISA da 84 a 125 unità,
un mandato permanente ponendola al centro del con contestuale aumento del budget da € 11
processo di rafforzamento dei sistemi di milioni a € 23 milioni in 5 anni (€ 5 milioni per
sicurezza, grazie anche a simulazioni di attacchi il 1° anno e progressivo raggiungimento
informatici e al miglioramento della spalmato in 4 anni).
collaborazione e del coordinamento tra gli Stati
membri.
Supporto a sviluppo e implementazione
Supporto alle conoscenze e all’informazione politiche di sicurezza
Rafforzare il lavoro della Commissione UE e
Diffondere informazioni utili in tempi brevi
degli Stati membri nello sviluppo,
per consentire alle Istituzioni, alle imprese e ai
implementazione e revisione generale delle
cittadini di essere aggiornati e preparati
politiche sulla cybersecurity, soprattutto
riguardo gli sviluppi della cybersecurity e i
riguardo i settori strategici indentificati dalla
rischi che, di volta in volta, si presentano a
Direttiva NIS (energia, trasporti e finanza).
riguardo.
Fonte: Fact Sheet, State of the Union 2017, EU Commission 11La roadmap della Commissione UE
Cooperazione operativa Ruolo chiave nella certificazione di
e gestione delle crisi cybersecurity
Supportare e contribuire alla cooperazione, a Monitorare e analizzare le tendenze di mercato
livello europeo, all’interno della rete del CSIRTs pertinenti alla sicurezza informatica per
(Computer Security Incident Response Teams) migliorare l’incontro domanda/offerta,
e fornire assistenza agli Stati membri nel sostenendo politiche UE riguardo normazione
fronteggiare gli incidenti di tipo informatico. e certificazione della cybersecurity ICT.
Un unico processo di sviluppo dei sistemi di
certificazione
Gruppo europeo per la I sistemi europei di certificazione saranno Certificazione
certificazione preparati dall’ENISA, con la collaborazione del
composto dalle autorità nazionali di UE
Gruppo europeo per la certificazione e,
controllo degli Stati UE. Cybersecurity
Compito: affiancare Commissione successivamente, adottati con atti esecutivi dalla
ed ENISA nella certificazione Commissione UE
Più chiarezza e fiducia sui prodotti Agevolazione per le imprese
Un sistema unico di certificazione di Creazione di uno sportello unico, valido su tutto
cybersecurity, a livello europeo, che offra uguali il territorio UE, presso cui le imprese ICT
standard di sicurezza in tutti i Paesi Membri potranno rivolgersi per certificare i propri
dell’UE per una maggior chiarezza e fiducia tra prodotti da immettere sul mercato, con costi certi
produttori ICT, rivenditori e consumatori. e non troppo onerosi.
12
Fonte: Fact Sheet, State of the Union 2017, EU CommissionLa roadmap della Commissione UE
Organismi di valutazione
costantemente monitorati Un passo in avanti per tutti
Le imprese, dovranno presentare domanda di Un sistema unico di certificazione offre maggior
certificazione ad organismi di valutazione affidabilità dei prodotti con grandi vantaggi sia
accreditati da un apposito organismo di per le imprese produttrici che per i consumatori.
accreditamento. L’accredito ha durata massima Le imprese non dovranno più adottare
di 5 anni, rinnovabile solo dopo una nuova certificazioni differenti per accedere a
valutazione di conformità dei requisiti previsti. determinati mercati.
I consumatori non avranno davanti una jungla di
certificati che rende poco chiaro il livello di
sicurezza dei prodotti, incentivando gli stessi ad
acquistare con maggior sicurezza e tranquillità.
Attuali certificazioni in UE
• SOG‐IS MRA (adottata da 12 Stati Membri più la
Norvegia): profili di protezione su numero limitato di
prodotti, quali firma digitale, tachigrafo digitale e
smart card
• CPA (Commercial Product Assurance, UK): applicato
su prodotti in vendita, certifica le buone pratiche di
produzione in rispetto di standard di sicurezza,
normalmente non riconosciuto da altri Paesi
• CSPN (Certification de Sécurité de Premier Niveau,
Francia) simile al CPA, anch’esso normalmente non
riconosciuto oltre i confini nazionali
13
Fonte: Fact Sheet, State of the Union 2017, EU CommissionLa roadmap della Commissione UE
Efficace risposta di diritto penale Lotta alle frodi informatiche
Intensificare le misure d'individuazione, La proposta mira a contrastare duramente le
tracciabilità e perseguimento dei pratiche di frodi e falsificazioni dei metodi di
cibercriminali. pagamento cashless, ponendo queste
La Commissione intende adeguare le fattispecie di reato alla stregua di quelle
normative penali degli Stati membri per contro i mezzi d’informazione.
adeguare le pene alla gravità dei reati
informatici.
Rafforzamento delle pene
Maggior tutela delle vittime Adeguare le leggi penali con comuni livelli
minimi di pena (dai 2 ai 5 anni, a seconda
La proposta mira ad assicurare che le vittime della tipologia e gravità del reato),
di ciberattacchi possano accedere a tutte le rafforzando il ruolo delle autorità preposte al
informazioni necessarie, soprattutto riguardo controllo e al contrasto di tali comportamenti
l’assistenza e il supporto, puntando ad criminosi.
incentivare gli stessi a segnalare i
ciberattacchi.
Fonte: Fact Sheet, State of the Union 2017, EU Commission 14Questioni chiave L’innovazione tecnologica corre sempre più velocemente ma su un binario differente rispetto all’innovazione sociale. Quanto può influire nell’accelerazione di quest’ultima l’avvento delle nuove tecnologie? Da strumenti sofisticati, per addetti ai lavori, la presenza di smartphone ha rivoluzionato il nostro modo di compiere operazioni quotidiane, come accedere al nostro conto in banca o leggere le notizie. Può la sempre più ampia diffusione delle tecnologie semplificare l’accesso degli individui a servizi fino ad ora troppo costosi, abbattendo barriere spazio‐temporali oltre che economiche? (Es. accesso a cure a distanza, esami specialistici senza spostarsi dalla propria abitazione e a costi ridotti?) Se sì, in che modo e quanto inciderà sulla qualità della vita e quanto sull’esposizione a rischi di violazione della privacy? Da un lato si teme per la propria privacy, sull’accesso indesiderato di terzi a informazioni personali ma, dall’altro, aumentano coloro che utilizzano Internet come strumento di archiviazione di foto e dati personali. Qual è il modo con cui rassicurare gli utenti riguardo l’inviolabilità dei propri dati sia da parte di terzi che da parte dei gestori dei servizi stessi? Quanto sono realmente esposti gli individui verso possibili attacchi e come comprenderne, autonomamente, l’esposizione, cercando di attuare delle basilari best practice? Quali politiche mettere in campo per incentivare le imprese ad innalzare i propri livelli di sicurezza? La cybersecurity viene spesso associata a determinate tecniche di sicurezza, sinonimo di costante monitoraggio e di criptaggio di dati. Quanto tempo ancora la cybersecurity verrà considerata esclusivamente un problema tecnico‐pratico piuttosto che anche un problema culturale? Non è dall’educazione del cittadino ai rischi che bisogna partire? Se sì, come procedere?
Questioni chiave Una risposta a livello europeo apre la strada ad una collaborazione tra gli Stati ma si continua a porre alla base un discorso territoriale, fatto comunque di confini fisici, mentre Internet, al contrario, è borderless. Quanto potrà essere realmente efficace una politica europea di contrasto ai cyber crimini? Una risposta globale sarà possibile? Se sì, tra quanto e in che modo strutturarla? Piani strategici su diversi livelli istituzionali puntano a migliorare i sistemi di sicurezza ma l’uomo rimane elemento centrale per il controllo e il contrasto degli attacchi informatici. Ci sarà un piano strategico anche sul versante della formazione? Se sì, di che tipo e a che livello? Maggior sicurezza implica maggior monitoraggio dei diversi soggetti esposti, dalle imprese ai singoli individui. La corsa verso una maggior sicurezza potrebbe implicare una riduzione della privacy dei soggetti monitorati? In caso di esito positivo, in che modo individuare il punto di equilibrio?
Grazie!
Piazza dei Santi Apostoli 66
00187 Roma
tel. +39 06 4740746
fax +39 06 4746549
Rond Point Schuman 6
1040 Bruxelles
tel. + 32 (0) 22347882
info@i-com.it
www.i-com.itPuoi anche leggere
