“Il crimine informatico è diventato una minaccia sempre più dannosa per le imprese negli ultimi decenni, e la frequenza e la scala degli attacchi è cresciuta notevolmente durante la pandemia. La maggioranza degli investitori si concentra solo sulla disruption tecnologica, o sull’impatto economico che un attacco informatico può avere sugli investimenti, non riuscendo a cogliere però le implicazioni sociali più ampie“. Ad affermarlo è Martina Castelli, Research Analyst di MainStreet Partners, che di seguito spiega la visione nel detaglio.
Da una prospettiva ESG, la dimensione sociale del crimine informatico sta diventando infatti sempre più evidente, ancora di più quando gli attacchi sono utilizzati come arma e tattica di guerra.
Già nel periodo precedente all’invasione dell’Ucraina, i team dedicati alla sicurezza IT avevano registrato un aumento dei tentativi di accesso non autorizzati ai sistemi, mentre la “US Cybersecurity and Infrastructure Security Agency” e la BCE hanno lanciato l’allerta di possibili importanti attacchi. Nelle prime due settimane di marzo la criminalità informatica è aumentata in modo significativo approfittando dell’attenzione rivolta direttamente alla minaccia proveniente dalla Russia.
George Kurtz, CEO di CrowdStrike, una delle più grandi aziende di cybersecurity negli Stati Uniti, ha riferito alla CNBC che “i protagonisti della criminalità elettronica” considerano il conflitto Russia-Ucraina “come una distrazione, intensificando le loro attività e rubando sempre più soldi col passare dei giorni”.
Così, mentre l’allerta massima è stata innescata dalle preoccupazioni da parte della Russia dopo la condanna e le sanzioni dell’Occidente all’inizio del 2022, i cyberattacchi erano già una grande preoccupazione da mesi.
I cyberattacchi in cima alla lista delle priorità delle aziende
Secondo l’ultimo Risk Barometer di Allianz pubblicato a gennaio 2022, la minaccia di attacchi ransomware, violazioni di dati o gravi interruzioni delle comunicazioni ha prevalso su qualsiasi altra allerta aziendale, tra cui l’interruzione della supply chain, i disastri naturali e la pandemia COVID-19.
In totale, il 44% degli intervistati dell’Allianz Risk Barometer ha menzionato i cyberattacchi come la principale preoccupazione per il 2022 – ed è solo il secondo anno in cui la minaccia si è posizionata nella classifica negli 11 anni in cui è stata condotta la ricerca. Eppure, non dovrebbe sorprenderci, dato che le aziende hanno subito il 50% in più di tentativi di cyberattacco nel 2021 toccando il massimo storico nel quarto trimestre del 2021.
Gli attacchi informatici sono visti non solo come problemi tecnologici ma anche come danni reputazionali. Quando una società subisce una violazione, il prezzo delle sue azioni spesso scende in modo significativo e può richiedere un lungo tempo per riprendersi.
Una ricerca dell’Harvard Business Review cita l’esempio di Capital One, che ha denunciato pubblicamente un attacco nel luglio 2019: “Il prezzo delle azioni della società è sceso di quasi il 6% immediatamente perdendo il 13,89% in due settimane”.
Secondo la ricerca, un attacco di alto profilo ad Equifax nel settembre 2017 ha avuto conseguenze ancora più a lungo termine: “La società ha visto una reazione negativa da parte del mercato azionario, con il prezzo delle sue azioni che è precipitato da 142,72 dollari a 92,98 dollari in una sola settimana. Quel che è peggio, è che la sua quota di mercato è scesa significativamente e da allora ha avuto numerose difficoltà a risollevarsi”.
La rilevanza dell’ESG per il crimine informatico
Oltre all’impatto commerciale, gli investitori interessati ad applicare un obiettivo ESG ai loro investimenti considerano sempre più la criminalità informatica come un rischio sociale. Ciò è in parte dovuto alla regolamentazione. L’introduzione della “General Data Protection Regulation” in Europa nel 2018 e l’approvazione del “California Consumer Privacy Act” nello stesso anno, hanno mostrato la direzione di marcia sulla protezione delle informazioni personali sia per i clienti che per i dipendenti. Il potenziale di perdite finanziarie se non si presta sufficiente attenzione alla sicurezza da parte delle imprese è molto concreto, mentre l’interruzione dei servizi di base può avere un impatto diretto anche sulla società.
Le minacce informatiche che hanno preso di mira Vodafone Portugal nel febbraio di quest’anno ne sono un esempio. Sebbene nessun “dato sensibile dei clienti sia stato compromesso”, secondo l’azienda l’impatto è ricaduto su individui, imprese e servizi pubblici come ospedali e vigili del fuoco con un immediato impatto sociale sulle comunità locali.
Grandi investitori nella sicurezza informatica
Sebbene ad oggi non ci sia modo di mitigare completamente la minaccia degli attacchi informatici, le aziende che vogliono essere in prima linea contro questo tipo di crimine stanno investendo sempre più capitali in questo settore. Si prevede che la spesa globale per la sicurezza informatica salirà alle stelle tra il 2021 e il 2025, raggiungendo 1,75 trilioni di dollari, rispetto ai soli 3,5 milioni di dollari del 2004.[3]
Non sorprende che le grandi aziende tecnologiche abbiano assunto un ruolo guida al riguardo. Microsoft ha dichiarato che quadruplicherà gli investimenti in cybersecurity a 20 miliardi di dollari nei prossimi cinque anni, mentre Alphabet (Google) sta aggiungendo altri 10 miliardi di dollari alla sua spesa nello stesso periodo.
Perché la visione ESG è importante
Da una prospettiva ESG, le analisi e i rating sono fondamentali per aiutare gli investitori a valutare la capacità di un’azienda di gestire i rischi. A MainStreet Partners affrontiamo questo rischio da due punti di vista: dal lato del cliente, una violazione dei dati minerà la fiducia, mentre dal lato della governance è probabile che il top management debba considerare un investimento importante per ripristinare tale fiducia e rafforzare la sicurezza.
Il rischio informatico è incluso nella nostra analisi ESG attraverso lo screening delle controversie. Come intermediari proattivi per la misurazione dei rischi, prendiamo in esame anche l’importo complessivo che un’azienda destina agli investimenti per rafforzare i propri sistemi IT.
Con la crescita dell’influenza degli investimenti ESG, valutare la cybersicurezza come una componente dell’analisi dei punteggi sociale e di governance dovrebbe incoraggiare ulteriori investimenti da parte delle aziende che cercano di attirare il capitale degli investitori. Quelle aziende che non prestano sufficiente attenzione alla minaccia, e di conseguenza ottengono un rating basso in quest’area, probabilmente vedranno una maggiore reticenza da parte degli investitori globali che potrebbe avere un forte impatto sui loro piani di crescita in futuro.