Secondo la ricerca Sicurezza IT: focus sul settore finanziario in Italia condotta da Kaspersky un quarto delle aziende italiane del settore bancario e finanziario, durante la pandemia, ha subito una violazione causata volontariamente o involontariamente dai Dipendenti. 
Le società finanziarie sono considerate un bersaglio redditizio da parte dei cybercriminali, sia per i forti flussi di denaro registrati e le enormi quantità di dati sensibili dei clienti sia per il grado di digitalizzazione del settore, che dall’inizio della pandemia, ha dovuto gestire l’accesso da remoto per i dipendenti. Il comportamento e le competenze dei dipendenti in materia di rischi informatici sono infatti un fattore da non sottovalutare nel settore finanziario italiano. Questo perché spesso i dipendenti non ricevono formazione IT adeguata.

Dipendenti: il punto d’accesso per gli attacchi

Il 13% degli intervistati considera i dipendenti che non conoscono policy e pratiche aziendali relative alla sicurezza la principale minaccia, percentuale che cresce al 22% tra le aziende di piccole e medie dimensioni, e che si riduce all’8% nelle grandi aziende. Il 7% indica smart-working e lavoratori da remoto come potenziale rischio e vulnerabilità. Tra gli intervistati è diffusa anche la consapevolezza che un minimo errore involontario possa mettere in pericolo interi segmenti dei sistemi aziendali.
I dipendenti che ignorano o non conoscono le policy aziendali sono considerati pericolosi quanto la mancanza di personale dedicato alla sicurezza IT (13%).

Non sono ancora diffuse sessioni regolari di formazione

Solo l’8% degli intervistati invece afferma che sono stati utilizzati i programmi non aggiornati come gateway per accedere alla rete aziendale. Il 10% riferisce di aver subito attacchi tramite un service provider esterno o tramite un’azienda partner. Che si tratti di aprire un allegato, cliccare un link infetto o effettuare il download di un software non autorizzato, i criminali informatici spesso prendono di mira i dipendenti per trovare una via d’accesso alla rete aziendale. D’altronde, nonostante le società finanziarie garantiscano una formazione sulla Sicurezza Informatica al personale IT maggiore rispetto a quella offerta a qualsiasi altro ruolo professionale, c’è sicuramente ampio margine di miglioramento: le sessioni regolari di formazione dei dipendenti non sono ancora abbastanza diffuse.

La sicurezza del reparto IT 

Nelle società con oltre 1.000 dipendenti le aree con il maggior numero di personale regolarmente formato su cyber minacce e comportamenti di sicurezza informatica appartengono al reparto IT, seguiti da dirigenti e analisti. Solo un terzo dei responsabili IT (33%) dichiara che il 100% del reparto IT effettua training regolari, mentre stimano che in media due terzi del totale siano regolarmente formati (67%). Una percentuale riflessa anche tra dirigenti (64%) e altri reparti come assistenti esecutivi (61%), marketing (56%), analisti e trader (62%) e contabilità (59%). In generale, quindi, solo poco più della metà dei dipendenti (54%-67%) ha seguito sessioni di formazione dedicate alla sicurezza informatica.