OSSERVATORIO I-COM SUI CONSUMATORI 2017

LA SICUREZZA NELL’ERA DIGITALELa difesa dei dati alla prova di internet

24 ottobre 2017

Sempre più utenti online ma ancora poco competenti

Nel 2016, il 71% degli italiani hautilizzato Internet almeno unavolta negli ultimi 12 mesi, undato in aumento di 14,2 p.p.rispetto a 5 anni prima, ma cheresta tuttavia nettamente al disotto della media UE (83,5%) edei Paesi del Nord Europa, chepresentano un dato moltoprossimo alla totalità

Fonte: Eurostat 2017

83,5

71,0

0102030405060708090

100

Lussem

burgo

Danimarca

Regno Unito

Svezia

Finlandia

Paesi Bassi

Germania

Estonia

Francia

Belgio

Austria

EU 28

Rep. Ceca

Irlanda

Slovacchia

Spagna

Latvia

Unghe

ria

Malta

Sloven

ia

Cipro

Lituania

Polonia

Croazia

Portogallo

Italia

Grecia

Romania

Bulgaria

In %

Individui che hanno navigato in Internet negli ultimi 12 mesi

2011 2016

Purtroppo, solo il 43,7% degliitaliani mostra di averecompetenze digitali, meglio solo diCipro, Romania e Bulgaria, e ben aldi sotto del dato europeo (56,2%).Anche in questo caso sono i Paesinordici a dominare la classifica

56,2

43,7

0

10

20

30

40

50

60

70

80

90

100

Lussem

burgo

Danimarca

Paesi Bassi

Finlandia

Regno Unito

Svezia

Germania

Austria

Belgio

Estonia

EU 28

Francia

Slovacchia

Croazia

Rep, Ceca

Spagna

Sloven

iaLituania

Unghe

riaLatvia

Malta

Portogallo

Grecia

Polonia

Irlanda

Italia

Cipro

Romania

Bulgaria

In %

Individui con competenze digitali di base o sopra la base (2016)

2

Sempre meno preoccupati dell’e‐commerce

Aumenta, nell’ultimoquinquennio, la percentuale diindividui che acquista online:nell’UE più di un cittadino su duepreferisce l’e‐commerce, un datocresciuto di 13 p.p. rispetto al2011. In Italia il dato cresce pocodi più (14 p.p.) ma resta basso nelcomplesso (29% nel 2016),rendendo il nostro Paese ancoraterzultimo tra i Paesi UE.

Fonte: Eurostat 2017

L’Italia è uno dei Paesi dove lapreoccupazione sulla sicurezza comeostacolo agli acquisti online èdiminuita, passando dal 24% al 17%,la variazione negativa più consistentea livello UE.

0

10

20

30

40

50

60

70

80

90

Regno Unito

Danimarca

Lussem

burgo

Svezia

Germania

Paesi Bassi

Finlandia

Francia

Irlanda

Austria

Belgio

Estonia

Slovacchia

UE 28

Rep. Ceca

Malta

Latvia

Spagna

Polonia

Sloven

ia

Unghe

ria

Lituania

Croazia

Grecia

Portogallo

Cipro

Italia

Bulgaria

Romania

% 

Individui che ordinano beni e servizi online

2011 2016

0

5

10

15

20

25

30

35

Svezia

Francia

Finlandia

Letton

ia

Spagna

Romania

Danimarca

Portogallo

Paesi Bassi

Malta

Sloven

ia

Belgio

Italia

Estonia

Austria

Lussem

burgo

UE 28

Bulgaria

Irlanda

Regno Unito

Grecia

Croazia

Germania

Unghe

ria

Slovacchia

Cipro

Polonia

Lituania

Rep. Ceca

In %

Individui che non hanno acquistato online per ragioni di sicurezza

2010 20153

Fonte: Eurostat 2017

Più internet banking e transazioni cashless

Fonte: Eurostat 2017; World Payments Report 2017

Secondo le stime del World Payments Report2017, le transazioni cashless a livello globalecresceranno dai 433 miliardi nel 2015 a più di725 miliardi entro il 2020, ad un CAGR di circal’11%.In particolare, l’area geografica in cui letransazioni cashless cresceranno maggiormenteè l’Asia in via di sviluppo (31%).La crescita in Europa è, invece, inferiore allamedia globale e pari al 6,5%

*CEMEA = Central Europe, Middle East and Africa

39,1 41,9 44,9 48,1 51,4 55,244,7 48,7 54,9 60,5 66,7 72,855 70,7 92,8 120,6

159,1211,5

45,3 49,353,3

57,361,3

65,3

101,5108,1

115,4122,7

130,7

139,3

147,4153,9

161,1167,8

174,9

181,7

0

250

500

750

2015 2016 2017E 2018E 2019E 2020E

Transazio

ni se

nza contanti (m

iliardi)

Numero di transazioni mondiali (in miliardi), per area geografica, 2015‐2020

America Latina CEMEA* Asia in via di sviluppo

Asia sviluppata Europa (con Eurozona) Nord America

3640 42 44 46

49

20 21 2226 28 29

0

10

20

30

40

50

60

2011 2012 2013 2014 2015 2016

in %

Individui che usano l'internet banking

UE 28 Italia

‐20 p.p.

‐16 p.p.

Aumentano, in Italia, gli individui che utilizzanol’internet banking per accedere alle proprieinformazioni e operazioni bancarie, dal 20% del2011 al 29% del 2016, ma si allarga la forbicecon la media UE che da ‐16 p.p. passa a ‐20 p.p.nel quinquennio, risultando tra le ultimeposizioni, prima solo di Portogallo, Cipro,Grecia, Romania e Bulgaria.

4

Aumento di imprese con una finestra online

Fonte: Eurostat 2017

Il processo di digitalizzazione interessa anche le imprese e le modalità con le quali esse si presentano sulmercato. Il 71,3% delle imprese italiane possiede un proprio sito web o una homepage, un dato inferioredi circa 6 p.p. rispetto alla media europea. In tutti i Paesi UE la tendenza è stata negli anni crescente: nelperiodo considerato, la diffusione tra le imprese è aumentata, in alcuni Paesi anche in manierasignificativa. In Italia, la crescita è stata pari a 8,7 p.p.

0

10

20

30

40

50

60

70

80

90

100

In %

Imprese munite di un sito web o una homepage

2011 2016

5

Sempre più dati online

Relativamente all’esposizione degli utenti a potenziali abusi e violazioni di dati, esemplificativo è il datoEurostat che riporta un sostanziale aumento di utenti che utilizzano gli strumenti di archiviazione onlineper salvare dati personali.La propensione ad impiegare la rete come strumento di archiviazione prende, infatti, sempre più piede:In Italia, la percentuale di individui che adopera Internet a tal fine è cresciuta, nel periodo 2014‐2016, di3,6 p.p., passando dal 26,6% al 29,2%, leggermente meno che in media nell’UE (31,5% nel 2016)

6

0,0

10,0

20,0

30,0

40,0

50,0

60,0

Utenti internet che utilizzano lo spazio internet per salvare file (ultimo trimestre)

2014 2016

Fonte: Eurostat 2017

Cybersecurity: un problema sempre più stringente

Gli attacchi informatici continuano a crescere nel corso del tempo e il 2017 punta ad essere un annomolto delicato per la cybersecurity.Prendendo in considerazione i dati del Rapporto Clusit 2017 (che si basa su un campionecomplessivo di 5.738 attacchi noti di particolare gravità), si nota che dal 2011 al 2016, il numero diattacchi a livello globale, nei settori analizzati, è aumentato del 95%, passando da 469 a 913 casi. Inparticolare, nel settore «Servizi online/Cloud» il numero di attacchi nel 2016 è stato 12 volte quelloregistratosi nel 2011. La «Sanità» è stato il secondo settore per aumento (+630%), seguito dal settore«Banche/Finance» (+518%).

* Il dato 2011 per il settore GDO/retail non è disponibileFonte: Clusit 2017

‐200%

200%

600%

1000%

1400%

‐100

100

300

500

700

Numero di attacchi informatici, per settore

2011 2016 Var. % (asse dx)

7

Gli attacchi cyber

Secondo i dati Clusit, nel 2016 a livelloglobale, il 72% degli attacchi informatici hariguardato i cybercrime, con la restante fettasuddivisa tra hackeraggi (15%), spionaggio esabotaggio (8%) e guerra cibernetica (5%).

Fonte: Clusit 2017

72%

15%

8%5%

Distribuzione delle minacce informatiche (2016)

Cyber crimini Hackeraggio Spion./Sabot. Guerra cyber

Il cybercrime registra, nel quinquennio 2011‐2016, un aumento del 342%, passando da 170a 751 e attestandosi come il più frequentedegli attacchi. Lo spionaggio e il sabotaggiocrescono del 283%, seguiti dalla guerracibernetica (+257%) e dagli attacchi hacker(+41%). Complessivamente gli attacchiinformatici nel 2016 raggiungono quota 1050,in crescita pari del 227% rispetto al 2011.

342%

41%

283%257%

0%

50%

100%

150%

200%

250%

300%

350%

400%

0

100

200

300

400

500

600

700

800

Cyber crimini Hackeraggio Spion./Sabot. Guerra cyber

Distribuzione attacchi per finalità nel quinquennio

2011 2016 var.%

8

Le esperienze di violazione

L’Italia è il secondo Paese all’interno dell’UE per numerodi violazioni subite (il 6% di coloro che utilizzanoInternet), quasi il doppio della media europea.L’incidenza di attacchi è tuttavia diminuita (seppur dipoco) nel nostro Paese (‐0,5 p.p.), così come in altri Paesi.Più bassa la quota di individui che hanno subito perditeeconomiche per frodi informatiche (2,1%), in contrazionerispetto al 2010 (‐1,8 p.p.), a dispetto di Paesi qualiBelgio, Lussemburgo, Danimarca e Svezia, dove laproblematica è diventata più diffusa.Dai dati dell’Osservatorio Crif 2017, risulta che le fasced’età più colpite sono quelle comprese tra i 31 e i 40 annie quella tra i 41 e i 50 anni, che complessivamentespiegano esattamente metà delle frodi esaminatenell’osservatorio.

Fonte: Eurostat 2017; Osservatorio Crif 2017

0

2

4

6

8

10

Malta

Italia

Spagna

Romania

Lussem

burgo

Portogallo

Bulgaria

Regno Unito

EU 28

Unghe

riaSvezia

Danimarca

Paesi Bassi

Belgio

Francia

Austria

Polonia

Slovacchia

Germania

Croazia

Estonia

Grecia

Finlandia

Sloven

iaIrlanda

Latvia

Lituania

Cipro

Rep. Ceca

% utenti interne

t

Utenti internet (16‐74 anni) con esperienza diretta di violazione dei dati personali

2010 2015

0

2

4

6

8

10

12

Belgio

Lussem

burgo

Danimarca

Svezia

Regno Unito

Spagna

Francia

Malta

UE 28

Paesi Bassi

Portogallo

Germania

Austria

Finlandia

Irlanda

Italia

Unghe

riaRo

mania

Lituania

Sloven

iaBu

lgaria

Polonia

Croazia

Grecia

Estonia

Slovacchia

Rep. Ceca

Latvia

Cipro

In %

Utenti internet che hanno subito perdita economica per frodi informatiche

2010 2015

18‐3017%

31‐4023%

41‐5027%

51‐6019%

over 6014%

Vittime per fasce d'età (2016)

9

Cybersecurity: la duplice risposta delle imprese

Sale il livello di allerta tra le imprese che,nel quinquennio 2010‐2015, rispondono,in numero crescente, con formalipolitiche di sicurezza sull’ICT.Tra le imprese italiane appareparticolarmente sentito il problema: al2015, il 42,9% di esse (22,4% nel 2010)risultava aver formalizzato, all’internodella sua azienda, un politica di sicurezzainformatica, un dato nettamentesuperiore alla media europea (31,6%), matuttavia ancora basso se si considera laportata del fenomeno.

Fonte: Eurostat 2017; UnionCamere e InfoCamere 2017

0

10

20

30

40

50

60

Svezia

Portogallo

Italia

Irlanda

Croazia

Malta

Slovacchia

Danimarca

Cipro

Finlandia

Spagna

Regno Unito

Sloven

iaRe

p. Ceca

Belgio

UE 28

Paesi Bassi

Germania

Austria

Francia

Lussem

burgo

Romania

Grecia

Bulgaria

Latvia

Estonia

Polonia

Unghe

riaLituania

Imprese con una formale politica di sicurezza sull'ICT

2010 2015

Secondo una survey Vodafone, il 93% delleimprese, a livello globale, riconoscel’importanza della cybersecurity. Non a caso,stando ai dati UnionCamere, il settoresicurezza, dal 2011 a metà 2017, è cresciuto intermini sia di numero di imprese (+37%) che dinumero di operatori (+60%). Tuttavia, secondola survey Vodafone, solo il 41% delle impreseesaminate sa a chi rivolgersi.

505

3504

691

5.609

0

1.000

2.000

3.000

4.000

5.000

6.000

Imprese che si occupano di sicurezza Operatori impegnati nel settore sicurezza

UNITA'

Crescita del settore sicurezza

2011 metà 2017 10

La roadmap della Commissione UE

Proposta di regolamento sulla cibersicurezzaRelativo all’ENISA, che abroga il Reg. UE n.526/2013, e relativo alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazionePresentata il 13.9.2017 dalla Commissione UE

durante lo Stato dell’Unione 2017

Attribuendo all’ENISA più poteri e funzioni, con un mandato permanente ponendola al centro del processo di rafforzamento dei sistemi di sicurezza, grazie anche a simulazioni di attacchi informatici e al miglioramento della collaborazione e del coordinamento tra gli Stati membri.

Creazione Agenzia UE su CybersecurityAumentare lo staff di ENISA da 84 a 125 unità, con contestuale aumento del budget da € 11 milioni a € 23 milioni in 5 anni (€ 5 milioni per il 1° anno e progressivo raggiungimento spalmato in 4 anni).

Potenziamento del budget e personale

Rafforzare il lavoro della Commissione UE e degli Stati membri nello sviluppo, implementazione e revisione generale delle politiche sulla cybersecurity, soprattutto riguardo i settori strategici indentificati dalla Direttiva NIS (energia, trasporti e finanza).

Supporto a sviluppo e implementazione politiche di sicurezza

Diffondere informazioni utili in tempi breviper consentire alle Istituzioni, alle imprese e aicittadini di essere aggiornati e preparatiriguardo gli sviluppi della cybersecurity e irischi che, di volta in volta, si presentano ariguardo.

Supporto alle conoscenze e all’informazione

ENISAScadenza mandato:

2020(durata 7 anni)

Reg. (UE) n. 526/2013

11Fonte: Fact Sheet, State of the Union 2017, EU Commission

La roadmap della Commissione UE

Supportare e contribuire alla cooperazione, a livello europeo, all’interno della rete del CSIRTs(Computer Security Incident Response Teams) e fornire assistenza agli Stati membri nel fronteggiare gli incidenti di tipo informatico.

Cooperazione operativae gestione delle crisi

Monitorare e analizzare le tendenze di mercato pertinenti alla sicurezza informatica per migliorare l’incontro domanda/offerta, sostenendo politiche UE riguardo normazione e certificazione della cybersecurity ICT.

Ruolo chiave nella certificazione di cybersecurity

CertificazioneUE

Cybersecurity

Un sistema unico di certificazione di cybersecurity, a livello europeo, che offra uguali standard di sicurezza in tutti i Paesi Membri dell’UE per una maggior chiarezza e fiducia tra produttori ICT, rivenditori e consumatori.

Più chiarezza e fiducia sui prodotti

I sistemi europei di certificazione saranno preparati dall’ENISA, con la collaborazione del Gruppo europeo per la certificazione e, successivamente, adottati con atti esecutivi dalla Commissione UE

Un unico processo di sviluppo dei sistemi di certificazione

Gruppo europeo per la certificazione

composto dalle autorità nazionali di controllo degli Stati UE.

Compito: affiancare Commissioneed ENISA nella certificazione

Creazione di uno sportello unico, valido su tutto il territorio UE, presso cui le imprese ICT potranno rivolgersi per certificare i propri prodotti da immettere sul mercato, con costi certi e non troppo onerosi.

Agevolazione per le imprese

12Fonte: Fact Sheet, State of the Union 2017, EU Commission

La roadmap della Commissione UE

Le imprese, dovranno presentare domanda di certificazione ad organismi di valutazione accreditati da un apposito organismo di accreditamento. L’accredito ha durata massima di 5 anni, rinnovabile solo dopo una nuova valutazione di conformità dei requisiti previsti.

Organismi di valutazione costantemente monitorati

Un sistema unico di certificazione offre maggior affidabilità dei prodotti con grandi vantaggi sia per le imprese produttrici che per i consumatori.Le imprese non dovranno più adottare certificazioni differenti per accedere a determinati mercati.I consumatori non avranno davanti una jungla di certificati che rende poco chiaro il livello di sicurezza dei prodotti, incentivando gli stessi ad acquistare con maggior sicurezza e tranquillità.

Un passo in avanti per tutti

• SOG‐IS MRA (adottata da 12 Stati Membri più la Norvegia): profili di protezione su numero limitato di prodotti, quali firma digitale, tachigrafo digitale e smart card

• CPA (Commercial Product Assurance, UK): applicato su prodotti in vendita, certifica le buone pratiche di produzione in rispetto di standard di sicurezza, normalmente non riconosciuto da altri Paesi

• CSPN (Certification de Sécurité de Premier Niveau, Francia) simile al CPA, anch’esso normalmente non riconosciuto oltre i confini nazionali

Attuali certificazioni in UE

13Fonte: Fact Sheet, State of the Union 2017, EU Commission

La roadmap della Commissione UE

Intensificare le misure d'individuazione, tracciabilità e perseguimento dei cibercriminali.La Commissione intende adeguare le normative penali degli Stati membri per adeguare le pene alla gravità dei reati informatici.

Efficace risposta di diritto penale La proposta mira a contrastare duramente le pratiche di frodi e falsificazioni dei metodi di pagamento cashless, ponendo queste fattispecie di reato alla stregua di quelle contro i mezzi d’informazione.

Lotta alle frodi informatiche

Adeguare le leggi penali con comuni livelli minimi di pena (dai 2 ai 5 anni, a seconda della tipologia e gravità del reato), rafforzando il ruolo delle autorità preposte al controllo e al contrasto di tali comportamenti criminosi.

Rafforzamento delle pene

La proposta mira ad assicurare che le vittime di ciberattacchi possano accedere a tutte le informazioni necessarie, soprattutto riguardo l’assistenza e il supporto, puntando ad incentivare gli stessi a segnalare i ciberattacchi.

Maggior tutela delle vittime

14Fonte: Fact Sheet, State of the Union 2017, EU Commission

Questioni chiave

L’innovazione tecnologica corre sempre più velocemente ma su un binario differente rispettoall’innovazione sociale. Quanto può influire nell’accelerazione di quest’ultima l’avvento dellenuove tecnologie?

Da strumenti sofisticati, per addetti ai lavori, la presenza di smartphone ha rivoluzionato ilnostro modo di compiere operazioni quotidiane, come accedere al nostro conto in banca oleggere le notizie. Può la sempre più ampia diffusione delle tecnologie semplificare l’accessodegli individui a servizi fino ad ora troppo costosi, abbattendo barriere spazio‐temporali oltreche economiche? (Es. accesso a cure a distanza, esami specialistici senza spostarsi dalla propriaabitazione e a costi ridotti?) Se sì, in che modo e quanto inciderà sulla qualità della vita e quantosull’esposizione a rischi di violazione della privacy?

Da un lato si teme per la propria privacy, sull’accesso indesiderato di terzi a informazionipersonali ma, dall’altro, aumentano coloro che utilizzano Internet come strumento diarchiviazione di foto e dati personali. Qual è il modo con cui rassicurare gli utenti riguardol’inviolabilità dei propri dati sia da parte di terzi che da parte dei gestori dei servizi stessi?

Quanto sono realmente esposti gli individui verso possibili attacchi e come comprenderne,autonomamente, l’esposizione, cercando di attuare delle basilari best practice?

Quali politiche mettere in campo per incentivare le imprese ad innalzare i propri livelli disicurezza?

La cybersecurity viene spesso associata a determinate tecniche di sicurezza, sinonimo dicostante monitoraggio e di criptaggio di dati. Quanto tempo ancora la cybersecurity verràconsiderata esclusivamente un problema tecnico‐pratico piuttosto che anche un problemaculturale? Non è dall’educazione del cittadino ai rischi che bisogna partire? Se sì, comeprocedere?

Questioni chiave

Una risposta a livello europeo apre la strada ad una collaborazione tra gli Stati ma si continua aporre alla base un discorso territoriale, fatto comunque di confini fisici, mentre Internet, alcontrario, è borderless. Quanto potrà essere realmente efficace una politica europea dicontrasto ai cyber crimini? Una risposta globale sarà possibile? Se sì, tra quanto e in che modostrutturarla?

Piani strategici su diversi livelli istituzionali puntano a migliorare i sistemi di sicurezza ma l’uomorimane elemento centrale per il controllo e il contrasto degli attacchi informatici. Ci sarà unpiano strategico anche sul versante della formazione? Se sì, di che tipo e a che livello?

Maggior sicurezza implica maggior monitoraggio dei diversi soggetti esposti, dalle imprese aisingoli individui. La corsa verso una maggior sicurezza potrebbe implicare una riduzione dellaprivacy dei soggetti monitorati? In caso di esito positivo, in che modo individuare il punto diequilibrio?

Piazza dei Santi Apostoli 6600187 Romatel. +39 06 4740746fax +39 06 4746549

Rond Point Schuman 6 1040 Bruxellestel. + 32 (0) 22347882

info@i-com.it www.i-com.it

Grazie!