OSSERVATORIO I-COM SUI CONSUMATORI 2017
LA SICUREZZA NELL’ERA DIGITALELa difesa dei dati alla prova di internet
24 ottobre 2017
Sempre più utenti online ma ancora poco competenti
Nel 2016, il 71% degli italiani hautilizzato Internet almeno unavolta negli ultimi 12 mesi, undato in aumento di 14,2 p.p.rispetto a 5 anni prima, ma cheresta tuttavia nettamente al disotto della media UE (83,5%) edei Paesi del Nord Europa, chepresentano un dato moltoprossimo alla totalità
Fonte: Eurostat 2017
83,5
71,0
0102030405060708090
100
Lussem
burgo
Danimarca
Regno Unito
Svezia
Finlandia
Paesi Bassi
Germania
Estonia
Francia
Belgio
Austria
EU 28
Rep. Ceca
Irlanda
Slovacchia
Spagna
Latvia
Unghe
ria
Malta
Sloven
ia
Cipro
Lituania
Polonia
Croazia
Portogallo
Italia
Grecia
Romania
Bulgaria
In %
Individui che hanno navigato in Internet negli ultimi 12 mesi
2011 2016
Purtroppo, solo il 43,7% degliitaliani mostra di averecompetenze digitali, meglio solo diCipro, Romania e Bulgaria, e ben aldi sotto del dato europeo (56,2%).Anche in questo caso sono i Paesinordici a dominare la classifica
56,2
43,7
0
10
20
30
40
50
60
70
80
90
100
Lussem
burgo
Danimarca
Paesi Bassi
Finlandia
Regno Unito
Svezia
Germania
Austria
Belgio
Estonia
EU 28
Francia
Slovacchia
Croazia
Rep, Ceca
Spagna
Sloven
iaLituania
Unghe
riaLatvia
Malta
Portogallo
Grecia
Polonia
Irlanda
Italia
Cipro
Romania
Bulgaria
In %
Individui con competenze digitali di base o sopra la base (2016)
2
Sempre meno preoccupati dell’e‐commerce
Aumenta, nell’ultimoquinquennio, la percentuale diindividui che acquista online:nell’UE più di un cittadino su duepreferisce l’e‐commerce, un datocresciuto di 13 p.p. rispetto al2011. In Italia il dato cresce pocodi più (14 p.p.) ma resta basso nelcomplesso (29% nel 2016),rendendo il nostro Paese ancoraterzultimo tra i Paesi UE.
Fonte: Eurostat 2017
L’Italia è uno dei Paesi dove lapreoccupazione sulla sicurezza comeostacolo agli acquisti online èdiminuita, passando dal 24% al 17%,la variazione negativa più consistentea livello UE.
0
10
20
30
40
50
60
70
80
90
Regno Unito
Danimarca
Lussem
burgo
Svezia
Germania
Paesi Bassi
Finlandia
Francia
Irlanda
Austria
Belgio
Estonia
Slovacchia
UE 28
Rep. Ceca
Malta
Latvia
Spagna
Polonia
Sloven
ia
Unghe
ria
Lituania
Croazia
Grecia
Portogallo
Cipro
Italia
Bulgaria
Romania
%
Individui che ordinano beni e servizi online
2011 2016
0
5
10
15
20
25
30
35
Svezia
Francia
Finlandia
Letton
ia
Spagna
Romania
Danimarca
Portogallo
Paesi Bassi
Malta
Sloven
ia
Belgio
Italia
Estonia
Austria
Lussem
burgo
UE 28
Bulgaria
Irlanda
Regno Unito
Grecia
Croazia
Germania
Unghe
ria
Slovacchia
Cipro
Polonia
Lituania
Rep. Ceca
In %
Individui che non hanno acquistato online per ragioni di sicurezza
2010 20153
Fonte: Eurostat 2017
Più internet banking e transazioni cashless
Fonte: Eurostat 2017; World Payments Report 2017
Secondo le stime del World Payments Report2017, le transazioni cashless a livello globalecresceranno dai 433 miliardi nel 2015 a più di725 miliardi entro il 2020, ad un CAGR di circal’11%.In particolare, l’area geografica in cui letransazioni cashless cresceranno maggiormenteè l’Asia in via di sviluppo (31%).La crescita in Europa è, invece, inferiore allamedia globale e pari al 6,5%
*CEMEA = Central Europe, Middle East and Africa
39,1 41,9 44,9 48,1 51,4 55,244,7 48,7 54,9 60,5 66,7 72,855 70,7 92,8 120,6
159,1211,5
45,3 49,353,3
57,361,3
65,3
101,5108,1
115,4122,7
130,7
139,3
147,4153,9
161,1167,8
174,9
181,7
0
250
500
750
2015 2016 2017E 2018E 2019E 2020E
Transazio
ni se
nza contanti (m
iliardi)
Numero di transazioni mondiali (in miliardi), per area geografica, 2015‐2020
America Latina CEMEA* Asia in via di sviluppo
Asia sviluppata Europa (con Eurozona) Nord America
3640 42 44 46
49
20 21 2226 28 29
0
10
20
30
40
50
60
2011 2012 2013 2014 2015 2016
in %
Individui che usano l'internet banking
UE 28 Italia
‐20 p.p.
‐16 p.p.
Aumentano, in Italia, gli individui che utilizzanol’internet banking per accedere alle proprieinformazioni e operazioni bancarie, dal 20% del2011 al 29% del 2016, ma si allarga la forbicecon la media UE che da ‐16 p.p. passa a ‐20 p.p.nel quinquennio, risultando tra le ultimeposizioni, prima solo di Portogallo, Cipro,Grecia, Romania e Bulgaria.
4
Aumento di imprese con una finestra online
Fonte: Eurostat 2017
Il processo di digitalizzazione interessa anche le imprese e le modalità con le quali esse si presentano sulmercato. Il 71,3% delle imprese italiane possiede un proprio sito web o una homepage, un dato inferioredi circa 6 p.p. rispetto alla media europea. In tutti i Paesi UE la tendenza è stata negli anni crescente: nelperiodo considerato, la diffusione tra le imprese è aumentata, in alcuni Paesi anche in manierasignificativa. In Italia, la crescita è stata pari a 8,7 p.p.
0
10
20
30
40
50
60
70
80
90
100
In %
Imprese munite di un sito web o una homepage
2011 2016
5
Sempre più dati online
Relativamente all’esposizione degli utenti a potenziali abusi e violazioni di dati, esemplificativo è il datoEurostat che riporta un sostanziale aumento di utenti che utilizzano gli strumenti di archiviazione onlineper salvare dati personali.La propensione ad impiegare la rete come strumento di archiviazione prende, infatti, sempre più piede:In Italia, la percentuale di individui che adopera Internet a tal fine è cresciuta, nel periodo 2014‐2016, di3,6 p.p., passando dal 26,6% al 29,2%, leggermente meno che in media nell’UE (31,5% nel 2016)
6
0,0
10,0
20,0
30,0
40,0
50,0
60,0
Utenti internet che utilizzano lo spazio internet per salvare file (ultimo trimestre)
2014 2016
Fonte: Eurostat 2017
Cybersecurity: un problema sempre più stringente
Gli attacchi informatici continuano a crescere nel corso del tempo e il 2017 punta ad essere un annomolto delicato per la cybersecurity.Prendendo in considerazione i dati del Rapporto Clusit 2017 (che si basa su un campionecomplessivo di 5.738 attacchi noti di particolare gravità), si nota che dal 2011 al 2016, il numero diattacchi a livello globale, nei settori analizzati, è aumentato del 95%, passando da 469 a 913 casi. Inparticolare, nel settore «Servizi online/Cloud» il numero di attacchi nel 2016 è stato 12 volte quelloregistratosi nel 2011. La «Sanità» è stato il secondo settore per aumento (+630%), seguito dal settore«Banche/Finance» (+518%).
* Il dato 2011 per il settore GDO/retail non è disponibileFonte: Clusit 2017
‐200%
200%
600%
1000%
1400%
‐100
100
300
500
700
Numero di attacchi informatici, per settore
2011 2016 Var. % (asse dx)
7
Gli attacchi cyber
Secondo i dati Clusit, nel 2016 a livelloglobale, il 72% degli attacchi informatici hariguardato i cybercrime, con la restante fettasuddivisa tra hackeraggi (15%), spionaggio esabotaggio (8%) e guerra cibernetica (5%).
Fonte: Clusit 2017
72%
15%
8%5%
Distribuzione delle minacce informatiche (2016)
Cyber crimini Hackeraggio Spion./Sabot. Guerra cyber
Il cybercrime registra, nel quinquennio 2011‐2016, un aumento del 342%, passando da 170a 751 e attestandosi come il più frequentedegli attacchi. Lo spionaggio e il sabotaggiocrescono del 283%, seguiti dalla guerracibernetica (+257%) e dagli attacchi hacker(+41%). Complessivamente gli attacchiinformatici nel 2016 raggiungono quota 1050,in crescita pari del 227% rispetto al 2011.
342%
41%
283%257%
0%
50%
100%
150%
200%
250%
300%
350%
400%
0
100
200
300
400
500
600
700
800
Cyber crimini Hackeraggio Spion./Sabot. Guerra cyber
Distribuzione attacchi per finalità nel quinquennio
2011 2016 var.%
8
Le esperienze di violazione
L’Italia è il secondo Paese all’interno dell’UE per numerodi violazioni subite (il 6% di coloro che utilizzanoInternet), quasi il doppio della media europea.L’incidenza di attacchi è tuttavia diminuita (seppur dipoco) nel nostro Paese (‐0,5 p.p.), così come in altri Paesi.Più bassa la quota di individui che hanno subito perditeeconomiche per frodi informatiche (2,1%), in contrazionerispetto al 2010 (‐1,8 p.p.), a dispetto di Paesi qualiBelgio, Lussemburgo, Danimarca e Svezia, dove laproblematica è diventata più diffusa.Dai dati dell’Osservatorio Crif 2017, risulta che le fasced’età più colpite sono quelle comprese tra i 31 e i 40 annie quella tra i 41 e i 50 anni, che complessivamentespiegano esattamente metà delle frodi esaminatenell’osservatorio.
Fonte: Eurostat 2017; Osservatorio Crif 2017
0
2
4
6
8
10
Malta
Italia
Spagna
Romania
Lussem
burgo
Portogallo
Bulgaria
Regno Unito
EU 28
Unghe
riaSvezia
Danimarca
Paesi Bassi
Belgio
Francia
Austria
Polonia
Slovacchia
Germania
Croazia
Estonia
Grecia
Finlandia
Sloven
iaIrlanda
Latvia
Lituania
Cipro
Rep. Ceca
% utenti interne
t
Utenti internet (16‐74 anni) con esperienza diretta di violazione dei dati personali
2010 2015
0
2
4
6
8
10
12
Belgio
Lussem
burgo
Danimarca
Svezia
Regno Unito
Spagna
Francia
Malta
UE 28
Paesi Bassi
Portogallo
Germania
Austria
Finlandia
Irlanda
Italia
Unghe
riaRo
mania
Lituania
Sloven
iaBu
lgaria
Polonia
Croazia
Grecia
Estonia
Slovacchia
Rep. Ceca
Latvia
Cipro
In %
Utenti internet che hanno subito perdita economica per frodi informatiche
2010 2015
18‐3017%
31‐4023%
41‐5027%
51‐6019%
over 6014%
Vittime per fasce d'età (2016)
9
Cybersecurity: la duplice risposta delle imprese
Sale il livello di allerta tra le imprese che,nel quinquennio 2010‐2015, rispondono,in numero crescente, con formalipolitiche di sicurezza sull’ICT.Tra le imprese italiane appareparticolarmente sentito il problema: al2015, il 42,9% di esse (22,4% nel 2010)risultava aver formalizzato, all’internodella sua azienda, un politica di sicurezzainformatica, un dato nettamentesuperiore alla media europea (31,6%), matuttavia ancora basso se si considera laportata del fenomeno.
Fonte: Eurostat 2017; UnionCamere e InfoCamere 2017
0
10
20
30
40
50
60
Svezia
Portogallo
Italia
Irlanda
Croazia
Malta
Slovacchia
Danimarca
Cipro
Finlandia
Spagna
Regno Unito
Sloven
iaRe
p. Ceca
Belgio
UE 28
Paesi Bassi
Germania
Austria
Francia
Lussem
burgo
Romania
Grecia
Bulgaria
Latvia
Estonia
Polonia
Unghe
riaLituania
Imprese con una formale politica di sicurezza sull'ICT
2010 2015
Secondo una survey Vodafone, il 93% delleimprese, a livello globale, riconoscel’importanza della cybersecurity. Non a caso,stando ai dati UnionCamere, il settoresicurezza, dal 2011 a metà 2017, è cresciuto intermini sia di numero di imprese (+37%) che dinumero di operatori (+60%). Tuttavia, secondola survey Vodafone, solo il 41% delle impreseesaminate sa a chi rivolgersi.
505
3504
691
5.609
0
1.000
2.000
3.000
4.000
5.000
6.000
Imprese che si occupano di sicurezza Operatori impegnati nel settore sicurezza
UNITA'
Crescita del settore sicurezza
2011 metà 2017 10
La roadmap della Commissione UE
Proposta di regolamento sulla cibersicurezzaRelativo all’ENISA, che abroga il Reg. UE n.526/2013, e relativo alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazionePresentata il 13.9.2017 dalla Commissione UE
durante lo Stato dell’Unione 2017
Attribuendo all’ENISA più poteri e funzioni, con un mandato permanente ponendola al centro del processo di rafforzamento dei sistemi di sicurezza, grazie anche a simulazioni di attacchi informatici e al miglioramento della collaborazione e del coordinamento tra gli Stati membri.
Creazione Agenzia UE su CybersecurityAumentare lo staff di ENISA da 84 a 125 unità, con contestuale aumento del budget da € 11 milioni a € 23 milioni in 5 anni (€ 5 milioni per il 1° anno e progressivo raggiungimento spalmato in 4 anni).
Potenziamento del budget e personale
Rafforzare il lavoro della Commissione UE e degli Stati membri nello sviluppo, implementazione e revisione generale delle politiche sulla cybersecurity, soprattutto riguardo i settori strategici indentificati dalla Direttiva NIS (energia, trasporti e finanza).
Supporto a sviluppo e implementazione politiche di sicurezza
Diffondere informazioni utili in tempi breviper consentire alle Istituzioni, alle imprese e aicittadini di essere aggiornati e preparatiriguardo gli sviluppi della cybersecurity e irischi che, di volta in volta, si presentano ariguardo.
Supporto alle conoscenze e all’informazione
ENISAScadenza mandato:
2020(durata 7 anni)
Reg. (UE) n. 526/2013
11Fonte: Fact Sheet, State of the Union 2017, EU Commission
La roadmap della Commissione UE
Supportare e contribuire alla cooperazione, a livello europeo, all’interno della rete del CSIRTs(Computer Security Incident Response Teams) e fornire assistenza agli Stati membri nel fronteggiare gli incidenti di tipo informatico.
Cooperazione operativae gestione delle crisi
Monitorare e analizzare le tendenze di mercato pertinenti alla sicurezza informatica per migliorare l’incontro domanda/offerta, sostenendo politiche UE riguardo normazione e certificazione della cybersecurity ICT.
Ruolo chiave nella certificazione di cybersecurity
CertificazioneUE
Cybersecurity
Un sistema unico di certificazione di cybersecurity, a livello europeo, che offra uguali standard di sicurezza in tutti i Paesi Membri dell’UE per una maggior chiarezza e fiducia tra produttori ICT, rivenditori e consumatori.
Più chiarezza e fiducia sui prodotti
I sistemi europei di certificazione saranno preparati dall’ENISA, con la collaborazione del Gruppo europeo per la certificazione e, successivamente, adottati con atti esecutivi dalla Commissione UE
Un unico processo di sviluppo dei sistemi di certificazione
Gruppo europeo per la certificazione
composto dalle autorità nazionali di controllo degli Stati UE.
Compito: affiancare Commissioneed ENISA nella certificazione
Creazione di uno sportello unico, valido su tutto il territorio UE, presso cui le imprese ICT potranno rivolgersi per certificare i propri prodotti da immettere sul mercato, con costi certi e non troppo onerosi.
Agevolazione per le imprese
12Fonte: Fact Sheet, State of the Union 2017, EU Commission
La roadmap della Commissione UE
Le imprese, dovranno presentare domanda di certificazione ad organismi di valutazione accreditati da un apposito organismo di accreditamento. L’accredito ha durata massima di 5 anni, rinnovabile solo dopo una nuova valutazione di conformità dei requisiti previsti.
Organismi di valutazione costantemente monitorati
Un sistema unico di certificazione offre maggior affidabilità dei prodotti con grandi vantaggi sia per le imprese produttrici che per i consumatori.Le imprese non dovranno più adottare certificazioni differenti per accedere a determinati mercati.I consumatori non avranno davanti una jungla di certificati che rende poco chiaro il livello di sicurezza dei prodotti, incentivando gli stessi ad acquistare con maggior sicurezza e tranquillità.
Un passo in avanti per tutti
• SOG‐IS MRA (adottata da 12 Stati Membri più la Norvegia): profili di protezione su numero limitato di prodotti, quali firma digitale, tachigrafo digitale e smart card
• CPA (Commercial Product Assurance, UK): applicato su prodotti in vendita, certifica le buone pratiche di produzione in rispetto di standard di sicurezza, normalmente non riconosciuto da altri Paesi
• CSPN (Certification de Sécurité de Premier Niveau, Francia) simile al CPA, anch’esso normalmente non riconosciuto oltre i confini nazionali
Attuali certificazioni in UE
13Fonte: Fact Sheet, State of the Union 2017, EU Commission
La roadmap della Commissione UE
Intensificare le misure d'individuazione, tracciabilità e perseguimento dei cibercriminali.La Commissione intende adeguare le normative penali degli Stati membri per adeguare le pene alla gravità dei reati informatici.
Efficace risposta di diritto penale La proposta mira a contrastare duramente le pratiche di frodi e falsificazioni dei metodi di pagamento cashless, ponendo queste fattispecie di reato alla stregua di quelle contro i mezzi d’informazione.
Lotta alle frodi informatiche
Adeguare le leggi penali con comuni livelli minimi di pena (dai 2 ai 5 anni, a seconda della tipologia e gravità del reato), rafforzando il ruolo delle autorità preposte al controllo e al contrasto di tali comportamenti criminosi.
Rafforzamento delle pene
La proposta mira ad assicurare che le vittime di ciberattacchi possano accedere a tutte le informazioni necessarie, soprattutto riguardo l’assistenza e il supporto, puntando ad incentivare gli stessi a segnalare i ciberattacchi.
Maggior tutela delle vittime
14Fonte: Fact Sheet, State of the Union 2017, EU Commission
Questioni chiave
L’innovazione tecnologica corre sempre più velocemente ma su un binario differente rispettoall’innovazione sociale. Quanto può influire nell’accelerazione di quest’ultima l’avvento dellenuove tecnologie?
Da strumenti sofisticati, per addetti ai lavori, la presenza di smartphone ha rivoluzionato ilnostro modo di compiere operazioni quotidiane, come accedere al nostro conto in banca oleggere le notizie. Può la sempre più ampia diffusione delle tecnologie semplificare l’accessodegli individui a servizi fino ad ora troppo costosi, abbattendo barriere spazio‐temporali oltreche economiche? (Es. accesso a cure a distanza, esami specialistici senza spostarsi dalla propriaabitazione e a costi ridotti?) Se sì, in che modo e quanto inciderà sulla qualità della vita e quantosull’esposizione a rischi di violazione della privacy?
Da un lato si teme per la propria privacy, sull’accesso indesiderato di terzi a informazionipersonali ma, dall’altro, aumentano coloro che utilizzano Internet come strumento diarchiviazione di foto e dati personali. Qual è il modo con cui rassicurare gli utenti riguardol’inviolabilità dei propri dati sia da parte di terzi che da parte dei gestori dei servizi stessi?
Quanto sono realmente esposti gli individui verso possibili attacchi e come comprenderne,autonomamente, l’esposizione, cercando di attuare delle basilari best practice?
Quali politiche mettere in campo per incentivare le imprese ad innalzare i propri livelli disicurezza?
La cybersecurity viene spesso associata a determinate tecniche di sicurezza, sinonimo dicostante monitoraggio e di criptaggio di dati. Quanto tempo ancora la cybersecurity verràconsiderata esclusivamente un problema tecnico‐pratico piuttosto che anche un problemaculturale? Non è dall’educazione del cittadino ai rischi che bisogna partire? Se sì, comeprocedere?
Questioni chiave
Una risposta a livello europeo apre la strada ad una collaborazione tra gli Stati ma si continua aporre alla base un discorso territoriale, fatto comunque di confini fisici, mentre Internet, alcontrario, è borderless. Quanto potrà essere realmente efficace una politica europea dicontrasto ai cyber crimini? Una risposta globale sarà possibile? Se sì, tra quanto e in che modostrutturarla?
Piani strategici su diversi livelli istituzionali puntano a migliorare i sistemi di sicurezza ma l’uomorimane elemento centrale per il controllo e il contrasto degli attacchi informatici. Ci sarà unpiano strategico anche sul versante della formazione? Se sì, di che tipo e a che livello?
Maggior sicurezza implica maggior monitoraggio dei diversi soggetti esposti, dalle imprese aisingoli individui. La corsa verso una maggior sicurezza potrebbe implicare una riduzione dellaprivacy dei soggetti monitorati? In caso di esito positivo, in che modo individuare il punto diequilibrio?
Piazza dei Santi Apostoli 6600187 Romatel. +39 06 4740746fax +39 06 4746549
Rond Point Schuman 6 1040 Bruxellestel. + 32 (0) 22347882
[email protected] www.i-com.it
Grazie!