Cybersecurity e accesso al credito bancario: nuove regole 2025

La crescente importanza della cybersecurity

La cybersecurity non è più un’opzione, ma una necessità per tutte le aziende che operano, innanzitutto, in un contesto digitale ma anche per tutte le altre che competono nei settori industriali più tradizionali e che hanno necessità di accedere al credito bancario.

La dipendenza delle imprese dalle tecnologie informatiche rende fondamentale proteggere dati, know how, infrastrutture IT critiche e reputazione aziendale, per evitare danni economici e perdite finanziarie rilevanti a causa di violazioni o incidenti di sicurezza di vario genere.

I rischi legati alla sicurezza informatica sono, infatti, diventati dei veri e propri KPI di affidabilità delle imprese sul mercato, al punto tale che, oggi, la resilienza digitale è divenuta un requisito determinante anche per accedere al credito bancario.

Il monito della Banca d’Italia sul cybersecurity e credito

Nel documento “Cyber sicurezza: Una continua sfida per l’economia e per la società”, la Banca d’Italia ha lanciato un monito chiaro a tutte le imprese.

Il rapporto sottolinea che la crescente interconnessione digitale, pur apportando benefici significativi in termini di efficienza e accesso ai servizi, ha esposto il sistema economico a vulnerabilità senza precedenti. Come è notorio, gli attacchi cyber non sono più eventi isolati ma si configurano, sempre più spesso, come strumenti di pressione economica, spionaggio industriale e destabilizzazione politica.

Per questo motivo, le banche stanno ridefinendo i criteri per la concessione del credito, includendo tra i parametri di valutazione anche la resilienza informatica delle imprese.

La direzione tracciata è netta: le imprese prive di un adeguato livello di sicurezza informatica rischiano di vedersi negare l’accesso ai finanziamenti, dato che l’adeguatezza delle misure di sicurezza di un’impresa verrà considerata un elemento essenziale per la stabilità del sistema finanziario.

Ne consegue che gli audit di cybersecurity rappresenteranno, sempre più spesso, un passaggio obbligato per le società che vogliono accedere a prestiti bancari o ad agevolazioni.

Il rischio cyber come nuovo criterio di valutazione creditizia

Nel contesto attuale, i rischi legati alla cybersecurity non riguardano più soltanto la protezione dei dati, ma assumono rilievo patrimoniale.

Come sappiamo, un attacco informatico può generare blocchi produttivi, perdite di dati strategici, danni reputazionali, nonché sanzioni, anche rilevanti, da parte di varie Autorità (Garante, ACN, etc): tutti elementi che incidono direttamente sulla capacità di un’impresa di adempiere ai propri obblighi finanziari.

Le banche, attente alla tutela dei propri investimenti, non possono, quindi, trascurare un elemento di solvibilità così rilevante e stanno, di conseguenza, aggiornando i modelli di valutazione del merito creditizio per includere, al loro interno, anche indicatori di cyber resilienza.

Una PMI che non dispone di procedure di gestione del rischio cyber, piani di continuità operativa o sistemi aggiornati sarà considerata più rischiosa di un concorrente strutturato, a parità di parametri economico-finanziari, e avere maggiore difficoltà di accesso ai finanziamenti.

Questo approccio è perfettamente in linea, d’altra parte, con le recenti normative finalizzate ad elevare i livelli di sicurezza delle imprese europee:

ne sono un chiaro esempio ed anche un importante parametro.

La sicurezza informatica non può più considerarsi solo una questione tecnica, ma diventa, quindi, un elemento centrale della governance aziendale, con i suoi riflessi di responsabilità anche sull’organo gestorio delle imprese.

Normative europee e responsabilità del management aziendale

Con l’entrata in vigore di DORA e NIS2, il panorama regolamentare europeo impone, con tutta evidenza, un cambio di passo radicale.

I Consigli di Amministrazione e i dirigenti apicali sono oggi responsabili, anche in sede civile, per eventuali violazioni delle normative sulla sicurezza delle reti e dei sistemi informativi. Ciò implica che un’inadeguata gestione del rischio cyber può direttamente tradursi in conseguenze patrimoniali per l’impresa e per i suoi amministratori e, indirettamente, per i soci ed i finanziatori della società.

Nel quadro di tale elevata sensibilità e responsabilità, è intuibile che le banche, nella costruzione dello scoring creditizio delle aziende, inizino a considerare come imprescindibile l’accertamento del livello di compliance rispetto alle suddette normative, nonché l’adozione di misure tecniche e organizzative idonee ed adeguate al rischio tipico di impresa.

In questo modo gli istituti di credito possono valutare, con parametri obiettivi, non solo la situazione finanziaria attuale dell’impresa, ma anche la sua capacità di affrontare eventi imprevisti, come un attacco ransomware, che potrebbero comprometterne, nel breve periodo, la capacità operatività e la solvibilità; il tutto senza considerare, inoltre, il rischio sanzionatorio che può avere conseguenze altrettanto importanti (si pensi, ad esempio, al livello altissimo delle sanzioni irrogabili dall’ACN).

Standard ACN per dimostrare l’adeguatezza della cybersecurity

Ma come può, un’azienda, dimostrare di essere effettivamente dotata delle misure idonee a fronteggiare i rischi cyber più noti?

Un punto di riferimento importante, per le imprese, può essere rappresentato, oggi, dalla Determinazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) n. 164179 emanata nell’ambito della normativa NIS2, che include due allegati tecnici contenenti quelle che, per l’Autorità, rappresentano le misure minime di sicurezza informatica per i “soggetti importanti” (Allegato 1) e per i “soggetti essenziali” (Allegato 2).

Questi allegati stabiliscono, infatti, un framework strutturato e dettagliato di misure di sicurezza, suddiviso in aree di governo (Govern), identificazione dei rischi (Identify), protezione (Protect), rilevazione (Detect), risposta (Respond) e recupero (Recover).

Ogni area è declinata in sotto-misure verificabili, quali:

• l’esistenza di un inventario aggiornato degli asset informatici;
• l’adozione di politiche di sicurezza formalizzate;
• l’esecuzione periodica di vulnerability assessment e penetration test;
• l’impiego dell’autenticazione multifattore per l’accesso ai sistemi;
• la predisposizione di piani di business continuity e disaster recovery.

Per le imprese che desiderano ottenere finanziamenti bancari, dimostrare, quindi, la conformità ai criteri contenuti negli Allegati 1 e 2 della Determinazione ACN può sicuramente rappresentare un indicatore oggettivo e verificabile della propria resilienza.

È, anzi, assai probabile e prevedibile che tali indici saranno posti dagli Istituti di credito all’interno di apposite checklist di conformità, preliminari per l’istruttoria creditizia.

La resilienza informatica come requisito per l’accesso al credito

In uno scenario economico e d’impresa sempre più interconnesso e minacciato da rischi di sicurezza globali, è evidente che la cybersecurity diventa un asset strategico ineludibile per tutte le aziende. Non sarà più sufficiente essere economicamente solidi ma anche dimostrare di essere resilienti dal punto di vista informatico.

Le imprese che aspirano ad accedere al credito dovranno, quindi, dotarsi di una documentazione chiara, trasparente e verificabile sulla propria postura di sicurezza e, per farlo, potranno prendere spunto dall’elenco delle misure tecniche stilato dall’ACN nell’ambito degli standard previsti dalla normativa NIS2.

La sfida per il prossimo futuro è quella di integrare la cultura della cybersecurity nella strategia aziendale e nei processi operativi quotidiani per scongiurare il pericolo che l’assenza di sufficienti garanzie di sicurezza IT possa compromettere la bancabilità dell’impresa.

Solo in questo modo le aziende potranno aspirare a crescere in un contesto competitivo e sicuro, sostenute da un sistema finanziario che premia la resilienza digitale tanto quanto la solidità economica.