Il Sole 24 Ore 1 marzo 2024 di Valerio Vallefuoco

Anche Barbados, Uganda e Gibilterra escono dal monitoraggio rafforzato

Importanti novità per la regolamentazione antiriciclaggio internazionale dalla ultima sessione plenaria di Parigi del Gafi (Gruppo di azione finanziaria internazionale) del 23 febbraio. Tra i principali risultati vi è una nuova guida basata sul rischio per l’attuazione della raccomandazione 25 sulla titolarità effettiva e la trasparenza degli istituti giuridici. I delegati della rete globale Gafi composta da oltre 200 Stati hanno deciso di sottoporre a consultazione pubblica una serie di opzioni per potenziali modifiche alla raccomandazione 16 e alla sua nota interpretativa sui bonifici bancari. Le revisioni proposte adattano gli standard Gafi ai cambiamenti dei modelli di business e degli standard di messaggistica dei sistemi di pagamento e a garantire che rimangano neutrali dal punto di vista tecnologico.

L’assemblea ha finalizzato le modifiche alla sua metodologia di valutazione per riflettere le recenti revisioni degli standard Gafi per proteggere le organizzazioni non profit da potenziali abusi per il finanziamento del terrorismo. Il Gafi ha inoltre identificato delle giurisdizioni con attività di asset virtuali di importanza rilevante, per sostenerle nell’implementazione dei requisiti del Gafi per la supervisione e la regolamentazione di questa attività.

Quanto agli aggiornamenti delle liste, rimossi quattro Paesi dalla lista di monitoraggio rafforzato a seguito di ispezioni in questi Paesi. Sono uscite dalla lista grigia Barbados, Gibilterra, Uganda ma soprattutto gli attesissimi Emirati Arabi Uniti. Questi ultimi hanno rafforzato l’efficacia del loro regime antiriciclaggio e antiterrorismo per rispettare gli impegni del piano d’azione relativi alle carenze strategiche individuate dal Gafi nel febbraio 2022, tra cui: (1) aumento delle richieste segnalazioni di operazioni sospette in uscita per facilitare le indagini in materia di riciclaggio e finanziamento del terrorismo; (2) miglioramento della comprensione dei rischi di riciclaggio e finanziamento del terrorismo da parte delle autorità di vigilanza delle attività e professioni non-finanziarie, applicando sanzioni efficaci e proporzionate per le inadempienze in materia di riciclaggio e finanziamento del terrorismo che coinvolgono gli intermediari finanziari e le attività e professioni non-finanziarie e aumentando la presentazione di segnalazioni di operazioni sospette per tali settori; (3) sviluppo di una migliore comprensione del rischio di abuso delle persone giuridiche e attuando misure di attenuazione basate sul rischio per impedirne l’abuso; (4) fornitura di ulteriori risorse alla locale Uif per aumentare la sua capacità di fornire informazioni finanziarie; (5) aumento delle indagini e i procedimenti giudiziari in materia di riciclaggio; (6) garanzia di l’effettiva attuazione dei controlli sugli operatori attraverso la sanzione della non conformità ,dimostrando una migliore comprensione dell’evasione delle sanzioni Onu tra il settore privato. Gli EAU non sono quindi più soggetti al processo di monitoraggio rafforzato del Gafi.

La plenaria ha infine approvato la nomina di un nuovo presidente del Gafi (2024-2026): Elisa de Anda Madrazo, messicana, assumerà l’incarico il 1° luglio 2024.

Il Sole 24 Ore 5 marzo 2024 di Alessandro Mastromatteo e Benedetto Santacroce

Con il sistema interscambio possibile inviare documenti fuori campo Iva

Nei rapporti B2B divieto di fatturazione elettronica per il soggetto non residente, non stabilito in Italia, ma identificato direttamente o con rappresentante fiscale: tramite SdI potrà essere trasmesso solamente un documento a fini contabili o organizzativi, tranne nelle operazioni con consumatori finali in cui risulta debitore di imposta. Con la risposta a interpello n. 58/E, pubblicata ieri, l’Agenzia delle entrate conferma quanto già indicato con precedenti documenti di prassi, ribadendo il formale divieto di emissione di fatture per un soggetto non residente, consentendogli tuttavia, attraverso il Sistema di interscambio, l’invio di un documento contabile fuori campo Iva con codice natura N.2.2..

L’istanza di interpello è stata formulata da una società sammarinese: le spedizioni di prodotti finiti, in favore della clientela italiana, unionale o estera, sono effettuate da un centro di logistica ubicato sul territorio nazionale. Avvalendosi di un rappresentante fiscale, l’interpellante intende procedere, da un lato, alla trasmissione di fatture elettroniche per cessioni intraunionali e per le esportazioni; dall’altro, nei confronti di clientela italiana, all’invio di un documento con validità esclusivamente contabile in quanto il cliente, in qualità di debitore di imposta, è tenuto ad assolvere l’Iva mediante autofattura o inversione contabile.

Nel ripercorrere la disciplina normativa circa la documentazione degli scambi commerciali con San Marino, le Entrate ricordano come quando il cedente/prestatore è un soggetto non residente, l’assolvimento dell’imposta tramite inversione contabile deve essere realizzato dal cessionario/committente stabilito. Cedente o prestatore non residente, anche se identificato in Italia, non è infatti tenuto all’emissione della fattura tramite l’identificativo Iva italiano.

Tuttavia, in relazione ad una cessione interna, la disciplina normativa non esclude che il rappresentante fiscale possa emettere un documento non rilevante Iva nei confronti di soggetto residente.

In assenza di obbligo di documentazione tramite fattura elettronica, l’operatore non residente, per necessità organizzative o anche solo di migliore e più trasparente gestione dei rapporti tra le parti, potrà emettere documenti a fini contabili in relazione alla cessione di beni presenti sul territorio nazionale indicando, oltre al codice natura N2.2., anche che la relativa imposta sarà assolta dal cessionario nazionale ex articolo 17, comma 2, del decreto Iva.

Il Sole 24 Ore 15 Gennaio 2024 di Rosanna Acierno

Ho presentato nel 2019 dichiarazione integrativa, per l’anno di imposta 2015, per mancata compilazione del quadro RW, relativamente a un fabbricato posseduto al 50% in Francia, del valore totale di 310.000 euro. L’agenzia delle Entrate vuole emettere nei miei confronti atto di contestazione, poiché, a suo dire, la sanzione del 3% sul valore del patrimonio non dichiarato doveva essere calcolata su 310.000 euro, e non, come ho fatto io, su 155.000 euro, che è il valore da me posseduto dell’abitazione. Ha ragione l’Agenzia?

La tesi sostenuta dall’agenzia delle Entrate è conforme al disposto normativo.

Si fa rilevare, infatti, che, secondo quanto stabilito dall’articolo 5, comma, 2 del Dl 167/1990, la mancata compilazione del quadro RW è punita con una sanzione dal 3 al 15% del valore dell’immobile non dichiarato (o con sanzione dal 6 al 30% del valore dell’immobile non dichiarato, ove quest’ultimo sia detenuto in un “paradiso fiscale”), a nulla rilevando la quota di possesso.

Il Sole 24 Ore 13 gennaio 2024 di Antonio Criscione

I giudici smontano le difese dell’istituto sulla responsabilità

«Nonostante la banca non abbia alcun dovere generale di monitorare la regolarità delle operazioni ordinate dal cliente, nondimeno, in presenza di circostanze anomale idonee a ledere l’interesse del correntista, questa, in applicazione dei doveri di esecuzione del mandato secondo buona fede, deve rifiutare l’esecuzione o almeno informare il cliente». La Cassazione con la sentenza 30588/2023, ribadisce il concetto per cui, in presenza di circostanze anomale che possono ledere l’interesse del correntista, la banca in applicazione dei doveri di esecuzione del mandato secondo buona fede, deve rifiutare l’esecuzione dell’operazione o almeno informare il cliente. «La peculiarità di questa sentenza – spiega l’avvocato Antonio Pinto – è però soprattutto nella confutazione analitica di tre eccezioni che la banca aveva sollevato». Le tre circostanze invocate, dalla banca sono: il fatto che vi era stato un terzo che aveva posto in essere una condotta illecita a danno della cliente, il fatto che la banca non poteva sapere che la cliente era gravemente malata, il fatto che la banca aveva comunicato mediante gli estratti periodici del conto corrente tutte le operazioni eseguite. «La Cassazione ha affermato – continua Pinto – che sussiste comunque la responsabilità contrattuale della banca, anche in presenza dei tre eventi pur provati dall’istituto di credito. Ciò perché, secondo la Corte, l’accertata inosservanza degli obblighi di protezione (di astensione dall’operazione o almeno di informativa specifica sulla operazione anomala) sono comunque sufficienti ad integrare la negligenza e quindi la colpa contrattuale, foriera di responsabilità. Si tratta di un principio importante e spendibile anche in materia di cause per frode informatica o per violazioni di norme di protezione in materia di vendita di prodotti finanziari». Pinto ricorda anche un’ulteriore ragione di utilità della sentenza, stavolta sotto il profilo processuale. Infatti, era accaduto che la cliente in citazione aveva proposto solo una domanda di responsabilità contrattuale per violazione del mandato professionale contenuto nel contratto di conto corrente e solo in sede di memoria di precisazione della domanda aveva anche formulato la domanda di inadempimento delle regole inerenti la gestione patrimoniale della cliente. «La Cassazione afferma – conclude Pinto – che nel giudizio di responsabilità per inadempimento contrattuale del professionista, non costituisce mutamento della domanda, ma semplice ed ammissibile emendatio libelli. Il principio è importante ed utile per le difese dei clienti, perché spesso – solo dopo che la banca si costituisce e deposita tutta la documentazione utile – è possibile individuare altre ragioni di doglianza rispetto alla domanda principale».

l Sole 24 Ore  15 Gennaio 2024 di Pasquale Mirto

Si chiede se sono trasmissibili agli eredi gli accertamenti sulla tassa rifiuti (Tari) non pagati dal genitore deceduto.

La risposta è affermativa. Va premesso che l’articolo 65 del Dpr 600/1973 («Disposizioni comuni in materia di accertamento delle imposte sui redditi») prevede che gli eredi rispondono in solido delle obbligazioni tributarie il cui presupposto si è verificato anteriormente alla morte del dante causa.

La notifica degli atti intestati al dante causa può essere effettuata agli eredi impersonalmente e collettivamente nell’ultimo domicilio dello stesso, ed è efficace nei confronti degli eredi che, almeno trenta giorni prima, non abbiano effettuato la comunicazione in merito alle proprie generalità e al proprio domicilio fiscale.

La giurisprudenza di legittimità ha elevato la disposizione di cui al citato articolo 65 a principio generale applicabile in qualsiasi rapporto tributario, compreso quello afferente ai tributi comunali, per i quali si veda Cassazione, 7 giugno 2019, n. 15437.

Il Sole 24 Ore 18 gennaio 2024 di Giuseppe Latour

CASA

L’aliquota resta al 21% se si dà in locazione breve una sola unità, mentre oltre le quattro l’attività assume forma imprenditoriale

La cedolare secca al 26% si applicherà solo a partire dal secondo immobile concesso in affitto breve. L’aumento della tassazione, previsto dalla legge di Bilancio a partire dal gennaio del 2024, avrà un impatto ridotto rispetto alle prime ipotesi. Non riguarderà tutte le locazioni, ma soltanto una quota limitata, perché chi affitta un solo immobile non subirà alcun aumento.

Gli affitti brevi – va ricordato – sono quei contratti in cui un privato concede in locazione a un altro privato un immobile abitativo, per un periodo inferiore a 30 giorni, fornendo anche servizi collegati alla locazione dell’immobile come il cambio di biancheria o la connessione a internet.

L’iter legislativo

L’aumento della tassazione dal 21% (previsto fino al 2023) al 26% per questo tipo di locazioni, nel caso in cui venga scelta l’imposta sostitutiva anziché il concorso al reddito complessivo, è stato oggetto di diversi interventi di rifinitura nel corso dei lavori parlamentari. Se all’inizio era stato raccontato che la stretta sui bed and breakfast avrebbe riguardato solo le terze case, la formulazione scelta dal Governo non garantiva questo risultato. La tassazione più elevata veniva, infatti, applicata a tutte le unità, in caso di «destinazione alla locazione breve di più di un appartamento per ciascun periodo d’imposta».

Il testo andato in Gazzetta Ufficiale ha sciolto però tutti i dubbi, dopo un intervento di limatura nel corso del passaggio parlamentare. E ha stabilito che ai redditi derivanti dai contratti di locazione breve si applica di norma l’aliquota del 26% in caso di opzione per l’imposta sostitutiva nella forma della cedolare secca. Questa regola generale trova, però, un’eccezione. L’aliquota è, allora, ridotta al 21% per i redditi «derivanti dai contratti di locazione breve relativi a una unità immobiliare individuata dal contribuente in sede di dichiarazione dei redditi».

In sostanza, allora, chi concede in locazione breve un solo immobile potrà continuare ad applicare l’aliquota del 21%, mentre chi concede in locazione breve più unità potrà scegliere di applicare a una il 21% e alle altre il 26 per cento. La scelta, come detto, andrà effettuata al momento della dichiarazione dei redditi. Bisogna anche ricordare che, nel caso in cui le unità concesse in locazione breve siano più di quattro, l’attività di affitto si intende svolta in forma imprenditoriale. Non viene, allora, applicata in queste situazioni nessuna cedolare secca.

Le ritenute

Collegato al tema della tassazione c’è quello delle ritenute. Gli intermediari che, di solito, intervengono negli affitti brevi sono infatti obbligati ad applicare una ritenuta pari al 21% su quanto incassano. Al locatore, cioè, verrà versata una somma decurtata della ritenuta che si paga all’erario. Nella legge di Bilancio 2024 viene specificato che questa ritenuta è sempre pagata a titolo di acconto. In questo modo, in caso di cedolare al 21%, la ritenuta esaurirà l’obbligazione, mentre in caso di cedolare al 26% bisognerà versare ancora la differenza.

In questo contesto, la Manovra interviene anche sul tema degli intermediari, spiegando cosa succede quando i corrispettivi vengono incassati da soggetti non residenti in Italia. È sufficiente che il soggetto non residente abbia una stabile organizzazione in Italia o in uno Stato membro dell’Unione europea perché debba adempiere agli obblighi di trattenere la ritenuta, proprio attraverso la stabile organizzazione. Nel caso in cui non abbia una stabile organizzazione, invece, bisognerà nominare un rappresentante fiscale.

La sostanza, allora, è che le piattaforme che fanno da intermediari dovranno sempre accollarsi gli adempimenti legati alla ritenuta.

Il Sole 24 Ore 05 Febbraio 2024 di Stefano Mazzocchi

Una persona fisica residente in Italia, che lavora nella Repubblica di San Marino come “frontaliere”, possiede un reddito da lavoro dipendente estero superiore a 30mila euro, derivante dal modello IGR-G della Repubblica di San Marino, rilasciato dal datore di lavoro sammarinese. Di conseguenza, nel quadro RC del modello Redditi Pf vengono riportati, al rigo RC1, l’importo lordo del reddito (superiore a 30mila euro) e, al rigo RC5, l’importo al netto della “quota esente frontalieri”, che, nel caso in oggetto, è inferiore ai 30mila euro.

Il contribuente in questione può accedere al regime forfettario?

A norma dell’articolo 1, comma 57, lettera d-ter, della legge 190/2014 (di Stabilità per il 2015), non possono avvalersi del regime forfettario i soggetti che nell’anno precedente hanno percepito redditi di lavoro dipendente e redditi assimilati a quelli di lavoro dipendente, di cui rispettivamente agli articoli 49 e 50 del Tuir (Dpr 917/1986), eccedenti l’importo di 30mila euro.

Ai fini della non applicabilita? della causa di esclusione in commento, rilevano solo le cessazioni del rapporto di lavoro intervenute nell’anno precedente a quello di applicazione del regime forfettario (circolare 10/E/2016, paragrafo 2.3). Con la risposta a istanza di interpello 102/2020, l’agenzia delle Entrate, in riferimento alla risoluzione 7/2020, ha precisato che a determinare l’esclusione dal regime forfettario è l’importo lordo superiore a 30mila euro.

Si ritiene, pertanto, che, nel caso in esame, non sia possibile fruire del regime di favore, essendo stato superato il limite previsto per i redditi da lavoro dipendente. A nulla rileva il fatto che si sia in presenza di un reddito estero

Il Sole 24 Ore 19 gennaio 2024 di Alessandro Galimberti

I Paesi potranno imporre limiti inferiori. Più spazio ai controlli delle identità

Obbligo di due diligence su chi movimenta criptovalute – con soglia a mille euro – faro sulle plusvalenze e sulle compensazioni del calcio professionistico, tracciabilità integrale del commercio dei beni di lusso, dei preziosi. di opere d’arte , auto di lusso, aerei e yacht, e infine (prima) stretta unionale sui pagamenti in contanti.

Il nuovo pacchetto antiriciclaggio Ue, che ieri ha registrato l’«accordo provvisorio» tra Consiglio e Parlamento, apre scenari nuovi e davvero molto incisivi nella lotta al money laundering continentale. A cominciare dal metodo e dall’impianto legislativo, con la scelta di trasferire le norme che si applicano al settore privato in un nuovo regolamento, mentre verrà emanata una direttiva sull’organizzazione dei sistemi istituzionali di prevenzione del riciclaggio e del finanziamento del terrorismo a livello nazionale negli Stati membri.

L’accordo provvisorio di ieri sul nuovo regolamento antiriciclaggio permetterà di armonizzare le norme antiriclaggio in tutta l’Ue, colmando i buchi legislativi nei singoli Stati membri utilizzati per riciclare con disinvoltura enormi quantità di denaro, con danni collaterali anche all’ economia e al mercato europeo.

I soggetti obbligati, dalle istituzioni finanziarie alle banche, le agenzie immobiliari, i servizi di gestione patrimoniale, i casinò e i commercianti, sono notoriamente i guardiani (gate keeper) della lotta al riciclaggio e al finanziamento del terrorismo, in quanto hanno una posizione privilegiata per individuare le attività sospette.

L’accordo provvisorio espande l’elenco dei “guardiani” al settore delle criptovalute, obbligando tutti i fornitori di servizi di cripto-asset (Casp) a condurre una due diligence sui loro clienti. Ciò significa che dovranno verificare fatti e informazioni e segnalare attività sospette, applicare misure di due diligence quando effettuano transazioni di importo pari o superiore a mille euro. L’accordo aggiunge anche le transazioni con portafogli privati (self-hosted).

Una vera e propria rivoluzione è quella che sta per arrivare nel mercato del lusso con il debutto dei nuovi ingressi nell’elenco dei soggetti obbligati tra cui i commercianti di beni di lusso – metalli preziosi, pietre preziose, gioiellieri, orologiai e orafi – i commercianti di automobili, aerei e yacht di lusso e di beni culturali a cominciare dalle opere d’arte).

Novità in vista anche per il calcio professionistico e i suoi facoltosi agenti, poiché nel tempo si è rilevato un rischio potenziale nel sistema di plusvalenze e compensazioni.

Stretta anche sui pagamenti in contanti, con l’individuazione di un limite-soglia unionale di 10milA euro, ma con i singoli Stati membri che potranno imporre un limite inferiore: il controllo anche sulle transazioni occasionali in contanti sarà comunque obbligatorio tra i 3mila e i 10mila euro, con l’identificazione del disponente.

Maggiore attenzione sulla titolarità effettiva che verrà individuata riferendosi a persone che controllano o godono effettivamente dei benefici della proprietà di un’entità giuridica (come una società, una fondazione o un trust), anche se il titolo o la proprietà sono intestati a un altro nome.

L’accordo prevede la registrazione della titolarità effettiva di tutte le entità straniere che possiedono beni immobili con retroattività fino al 1° gennaio 2014.

Il Sole 24 Ore lunedì 15 gennaio 2024 di Giuseppina Satta

Se è provata l’imprudenza del cliente nel condividere i codici di accesso

La banca non deve rimborsare al cliente vittima di phishing le somme sottrattegli dal conto corrente se dimostra la sua condotta «fortemente imprudente» nell’aver comunicato al truffatore le credenziali di accesso. Lo ha precisato il Tribunale di Roma con la sentenza 16588 del 15 novembre scorso.

Il caso

A rivolgersi al tribunale è stato un cliente, che ha agito contro la banca presso la quale aveva attivato un rapporto di conto corrente con servizio di pagamenti telematici. Il cliente invocava il grave inadempimento contrattuale dell’istituto per non aver impedito – in assenza di adeguati sistemi di sicurezza – l’illecita captazione dei suoi codici di accesso al servizio di home banking e per aver consentito a terzi di sottrarre somme dalla sua carta di debito prepagata. Di qui la richiesta di rimborso.

La banca declinava ogni responsabilità, ritenendo che la truffa fosse stata realizzata in conseguenza della negligente condotta del cliente.

La decisione

Secondo il tribunale, il cliente non ha diritto a ottenere il risarcimento dalla banca. Questa ha infatti dimostrato di avere predisposto un sistema di autenticazione forte a doppio fattore per l’accesso al servizio di home banking (come previsto dal decreto legislativo 11/2010), consistente nell’utilizzo combinato di password statiche e password dinamiche utilizzabili una volta sola e generate dall’applicazione della banca installata sullo smartphone del cliente. Ma queste cautele sono state neutralizzate dalla condotta del cliente che, prima, si è collegato a un link contenuto in un messaggio (che sembrava inviato dalla banca), inserendo i codici di accesso al servizio di home banking; poi, ha comunicato al frodatore – che nel frattempo l’aveva contattato telefonicamente – anche le password variabili di accesso al conto, consentendo così il compimento della truffa. Infine, il cliente ha persistito nella sua condotta anche dopo aver ricevuto gli alert dalla banca circa l’imminente compimento delle operazioni dispositive.

Il tribunale ha quindi valutato il comportamento del correntista come «fortemente imprudente», anche tenuto conto che la banca aveva realizzato una massiccia campagna antifrode proprio concentrata sul fenomeno del phishing, esortando i clienti a non condividere con altri le credenziali di accesso al conto.

Per il tribunale, le frodi perpetrate mediante phishing sono talmente diffuse e note da rendere inescusabile la condotta dell’utente dei servizi di pagamento che decida di comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario.

Il Sole 24 Ore 3 gennaio 2024 di Alessandro Curioni (Esperto di cyber security)

SCENARI 2024/SICUREZZA

La strada che porta le nostre Pmi verso la cyber security non è lunga, ma lunghissima, non difficile, ma difficilissima. I numeri non lasciano dubbi. Il 72,7 % non ha mai svolto attività di formazione in materia; il 79% non adotta l’autenticazione a due fattori per tutti i suoi dipendenti, il 65,3 % non ha mai effettuato verifiche sulla sicurezza dei propri sistemi, per esempio attraverso un penetration test, il 73,3 % non sa cosa sia un attacco ransomware e il 51,9 % degli intervistati ammette di non sapere cosa sia il phishing.

I dati sono significativi non soltanto perché il campione è di

oltre 800 aziende, ma anche per i player convolti, molto vicini allo specifico mercato: Grenke, azienda di leasing operativo leader proprio nel segmento Pmi, e Clio Security, che opera come società

di consulenza nel medesimo ambito, che hanno affidato a Cerved, forte di una base dati consolidata di circa 700 mila imprese,

la raccolta delle informazioni.

I numeri sono senza dubbio rappresentativi e presi singolarmente ci dicono quanto sia grande la distanza che separa la spina dorsale della nostra economia da un corretto approccio alla cyber security, ma è dalla loro analisi che scopriamo perché questa via sia anche difficilissima. In questo senso una prima indicazione arriva da quel 59,7% di rispondenti che dichiara come il tema della cyber security rivesta un’elevata importanza per la propria organizzazione. Apparentemente sembra del tutto incongruo rispetto alle desolanti percentuali di cui sopra. In realtà una spiegazione esiste ed emerge se prendiamo in considerazione altri dati. Il primo si rileva dalle ragioni per cui il 40,3 % delle imprese non considera la cyber security rilevante. Nel 60 % dei casi affermano che la motivazione risiede nel fatto di non trattare dati sensibili, con un riferimento indiretto al mondo della privacy, elemento che viene confermato da quel 75,1 % di rispondenti che ritiene adeguate le misure adottate dalla sua azienda per la protezione dei dati personali. Aggiungiamo infine che quel 37,3 % di aziende che ritiene di avere svolto attività di formazione per i suoi dipendenti, nel 60 % dei casi l’ha affidata al Data Protection Officer, figura prevista dal Regolamento Europeo per la Protezione dei Dati.

Tali dati segnalano piuttosto chiaramente che le nostre Pmi, nella stragrande maggioranza dei casi, si sono create un’immagine mentale per cui la cyber security si riduce alla conformità rispetto alle normative in materia di protezione dei dati, ignorando completamente che si tratta di due temi molto diversi. Questa situazione produce effetti deleteri perché da un lato stabilisce un senso di falsa di sicurezza, dall’altro determina una resistenza psicologica a investire su problematiche che si ritiene di avere risolto. In questo senso un’indicazione indiretta, che peraltro sfata un diffuso luogo comune, ci arriva dal fatto che appena il 2,4 % del 40,3% delle aziende che non considera la cyber security una priorità (parliamo quindi di una percentuale ridicola) dichiara di non avere denaro da investire sul tema. In buona sostanza quello che si pensava fosse un problema di risorse è invece diventato culturale: e purtroppo, in quanto tale, ha il difetto di appartenere alla categoria di quelli più difficili da risolvere.

Il fatto che il tema della cultura sia una criticità lo dimostra un’altra evidenza. Nello specifico è necessaria una premessa. Precisiamo subito che il rispondente alle interviste è stata la persona che all’interno dell’azienda prende le decisioni in materia di cyber security. Nel 32 % dei casi è risultato essere il titolare, nel 53,5% un altro soggetto con mansioni diverse all’interno dell’organizzazione, nel 9,6 % il Chief information officer e solo nel 4,6 % il responsabile della sicurezza che poteva essere il Chief security officer o Chief information security officer. La carenza di personale specialistico o comunque con competenze adeguate produce una conoscenza pressoché nulla sia delle tecnologie di cyber security sia delle forme più diffuse di attacco informatico.

A titolo esemplificativo, l’85% degli intervistati non conosce l’attacco noto come DDoS (Distributed Denial of Service), nonostante questa sigla da almeno un anno imperversi su tutti i media. Analogamente il 91,1% non sa cosa sia un Xdr (Extended Detection And Response), senza dubbio una tecnologia evoluta per la prevenzione degli attacchi, ma che da anni è ben nota a chi si occupa di cyber security. In definitiva questa ricerca ci pone di fronte a una situazione estremamente critica. Le nostre Pmi sono convinte di essere «sicure» sulla base di una falsa equivalenza tra cyber security e protezione dei dati, una situazione che renderà molto difficile spingerle verso un miglioramento della loro postura. Questo non soltanto in una situazione di costante crescita degli attacchi, ma anche a poco più di un anno dall’entrata in vigore di due normative europee che pongono una forte attenzione sulla sicurezza della supply chain di cui tantissime di queste Pmi sono parte integrante. Il riferimento è al Regolamento Dora, per la resilienza del sistema finanziario europeo, e alla Direttiva Nis 2, destinata a elevare il livello di cyber security delle infrastrutture critiche, ma non solo.

Lo scenario che si apre per il sistema delle Pmi italiane non è più soltanto quello di subire un attacco che le metta in ginocchio, ma anche la concreta possibilità di trovarsi a scalare rapidamente e verso il basso le classifiche dei fornitori di grandi aziende

e pubbliche amministrazioni di tutta Europa che

progressivamente dovranno introdurre proprio la cyber security come elemento qualificante dei propri partner. Tra la fine

del 2024 e l’inizio del 2025 centinaia di migliaia di aziende italiane potrebbero trovarsi alle prese con una tempesta, magari non perfetta, ma senza dubbio terribilmente lunga.

Esperto di cyber security