Un attacco cyber può compromettere l'azienda sotto il profilo economico e finanziario.
Tra i principali compiti di un CfO, oltre alle mansioni ordinarie, che mi sembra superfluo elencare in questo contesto (magari sarà oggetto di un ulteriore intervento) vi è principalmente quella di saper gestire il rischio, nella sua accezione più ampia. Con la locuzione “gestire” si intende, ad ampio spettro, anche quelle che possono essere le relative procedure accessorie, come: sua prevenzione, sua mitigazione e risoluzione delle dinamiche derivanti.
A metà luglio del 2022, è entrato in vigore il decreto legislativo 17 giugno 2022 n. 83 contenente modifiche al Codice della crisi e dell’insolvenza in attuazione della cd Direttiva Insolvency (Direttiva sulla ristrutturazione e sull’insolvenza).
Il rinnovato richiamo alla responsabilità dell’imprenditore, che l’art. 2086 del Codice Civile concretizza attraverso l’adozione di adeguati assetti organizzativi. Risulta fondamentale garantire l’esistenza di un complesso economico che dovrà essere, appunto, adeguato per determinare una produzione di reddito per un lasso temporale di almeno 12 mesi.
Il sistema di gestione dei rischi dovrà essere adeguato alla tipologia di impresa oggetto di esame e sarà redatto con la massima accuratezza, improntato alla valutazione dei rischi “in fieri”. In tale contesto vanno evidenziati anche quei rischi che sono tipici di eventuali attacchi, di natura informatica, sia interni che esterni.
COSA FARE (Ct. “Alberto PAGANINI, Innovation Manager, esperto in Gestione del Rischio”)
Sempre a metà luglio del 2022, l’ennesima azienda italiana è stata colpita dalla “famigerata” banda del ransomware Lockbit, che ha pubblicato anche alcuni esempi di dati sottratti dalle infrastrutture IT dell’azienda per aumentare la pressione e indurre l’impresa a pagare il riscatto.
Qualora la vittima non voglia pagare il riscatto, inizia la doppia estorsione ovvero la minaccia della pubblicazione di dati sensibili precedentemente sottratti dalle infrastrutture IT dell’azienda attaccata.
Le infezioni da ransomware sono di alto impatto per qualunque azienda e possono compromettere la continuità aziendale. Il ripristino dei dati può essere un processo difficile e laborioso che richiede risorse specialistiche e costi elevati per un recupero affidabile.
CONCLUSIONI (Ct. “Alberto PAGANINI, Innovation Manager, esperto in Gestione del Rischio”)
Il Codice della crisi e dell’insolvenza interviene, attraverso il dovere e la responsabilità dell’imprenditore sancita dall’art. 2086 del Codice Civile, in un contesto ancora di poca attenzione nei confronti del governo dei rischi puri d’impresa. Questo è storicamente addebitabile alla tendenza dell’imprenditore a sottovalutare o ad ignorare i rischi di evento dannoso e alla scarsa propensione di sviluppare quell’atteggiamento orientato alla sicurezza, che trova più frequentemente riscontro altrove.
