Per anni il rischio cibernetico è rimasto confinato nei capitoli “IT” o “operativi” dei documenti aziendali. Un incidente informatico era considerato un problema tecnico, da risolvere con patch, backup e consulenti specializzati. Oggi quel confine salta.

La Banca d’Italia ha fissato il cambio di paradigma in un testo pubblicato il 19 gennaio: il cyber risk è un fattore strutturale di rischio di credito e può – anzi deve – entrare nei modelli con cui le banche valutano l’affidabilità delle imprese.

Il messaggio ha implicazioni sistemiche. Un attacco informatico non è più solo un costo straordinario o un disservizio temporaneo: può interrompere la continuità operativa, ridurre i flussi di cassa, generare contenziosi e danni reputazionali. Può incidere sulla capacità di un’azienda di rimborsare il proprio debito. Bankitalia propone quindi di misurare il rischio cyber con strumenti quantitativi e integrarlo nei processi di credit assessment.

Cyber rischio entra nel merito creditizio per Banca d’Italia: dal bilancio ai dati non strutturati

Il punto di partenza è una constatazione semplice: i bilanci da soli non bastano più. Le informazioni davvero rilevanti sul rischio cibernetico – incidenti subiti, livello di preparazione, maturità dei processi di sicurezza – si trovano spesso fuori dai prospetti contabili, disperse in testi non strutturati.

Da qui la scelta di costruire un indicatore di vulnerabilità cyber capace di “leggere” il linguaggio delle imprese. Il modello analizza migliaia di bilanci, milioni di articoli di stampa e fonti web specializzate in cybersecurity, per intercettare segnali che vanno oltre il dato numerico: riferimenti a standard e certificazioni, descrizioni di attacchi, investimenti in tecnologie di difesa, strategie di gestione del rischio.

È un passaggio chiave anche dal punto di vista culturale. La cybersecurity non viene più valutata solo per ciò che “manca” dopo un incidente, ma per ciò che l’impresa comunica prima, durante e dopo un evento critico.

L’AI che trasforma i testi in punteggi di merito creditizio

Il cuore del sistema è un’architettura di Intelligenza Artificiale basata su tecniche di Natural Language Processing e su un Large Language Model – nello specifico Microsoft Phi-4 – progettata per estrarre informazioni rilevanti da testi eterogenei e trasformarle in segnali quantitativi.

L’AI classifica i contenuti secondo una tassonomia costruita ad hoc per il contesto italiano, distinguendo tra elementi mitiganti (come tecnologie di difesa, processi, certificazioni) e fattori di rischio, in particolare la disclosure di incidenti cyber. Il risultato finale è uno score di vulnerabilità che può essere affiancato agli indicatori finanziari tradizionali.

Non si tratta di un semplice esercizio accademico. L’obiettivo dichiarato è l’integrazione, in prospettiva, nel Italian Credit Assessment System (ICAS), il sistema di valutazione del credito utilizzato dalla Banca d’Italia. Un passaggio che, se completato, renderebbe il cyber risk una variabile strutturale nei processi decisionali bancari.

Un rischio in crescita, soprattutto per alcuni settori

I dati che emergono dall’analisi spiegano perché questo passaggio non sia più rinviabile. Gli attacchi informatici contro le imprese italiane sono aumentati in modo netto negli ultimi anni, con una crescita particolarmente marcata a partire dal 2019. I settori più esposti sono il manifatturiero – spinto dall’interconnessione dei sistemi e dall’Industria 4.0 – i servizi professionali e il commercio.

Il ransomware si conferma la minaccia dominante, seguito da data breach e phishing. Ma il dato forse più significativo è un altro: l’indice di rischio cyber resta elevato nel tempo, con una forte concentrazione di imprese nelle fasce di vulnerabilità più alte. Segno che, nonostante l’aumento degli investimenti in sicurezza, la superficie di attacco cresce più rapidamente delle difese.

La “cicatrice” lasciata da un attacco

Uno degli aspetti più interessanti riguarda il comportamento delle imprese dopo un incidente. Dopo un attacco, le aziende tendono a migliorare la disclosure sulla cybersecurity nei bilanci, rafforzano i processi interni e adottano nuove tecnologie. Tuttavia, nel breve periodo, l’indice di rischio aumenta comunque.

Il motivo è semplice e spietato: la penalità associata all’evento subito pesa più delle misure correttive introdotte. In altre parole, un attacco lascia una cicatrice persistente nel profilo di rischio dell’impresa. Un segnale importante per il sistema bancario, ma anche un monito per le aziende che ancora considerano la cybersecurity come un costo accessorio.

Cyber rischio è rischio creditizio: implicazioni per banche e imprese

Se questo approccio verrà adottato su larga scala, le conseguenze si sentiranno. Per le banche significa ripensare il risk assessment in chiave digitale, integrando competenze cyber e strumenti di AI nei processi di valutazione. Per le imprese, soprattutto non finanziarie, significa che la cybersecurity diventa una leva di accesso al credito, non più solo una voce di spesa IT.

In prospettiva, investire in sicurezza informatica, governance e trasparenza potrebbe incidere sul costo del denaro tanto quanto migliorare un indicatore di bilancio. È il segnale più forte che viene da Bankitalia: nell’economia digitale, il rischio informatico è rischio finanziario. E ignorarlo è ancora di più, su più livelli, follia aziendale.