La crescente esposizione delle imprese italiane al rischio cibernetico pone una nuova sfida per le banche: integrare il cyber risk nelle valutazioni del merito creditizio.
Una recente pubblicazione della Banca d’Italia propone quindi un indicatore di vulnerabilità cyber basato su AI e Large Language Model, capace di trasformare informazioni non strutturate in segnali quantitativi utili per il risk assessment.
Un cambio di paradigma che apre la strada a nuovi modelli di valutazione del rischio.
Dal rischio operativo al rischio di credito
La digitalizzazione dei processi aziendali, accelerata dalla pandemia, ha ampliato in modo significativo la superficie di attacco delle imprese italiane. Se per anni il rischio cibernetico è stato considerato prevalentemente un tema operativo o IT, oggi emerge con sempre maggiore evidenza la sua rilevanza finanziaria.
Un attacco informatico può infatti interrompere la continuità operativa, compromettere i flussi di cassa, generare costi legali e danni reputazionali. Fino a incidere direttamente sulla capacità di un’impresa di rimborsare il proprio debito.
In altre parole, il cyber risk è diventato un fattore strutturale di rischio di credito, anche, e soprattutto, per le imprese non finanziarie.
È quanto emerge dalla pubblicazione di Banca d’Italia “The Cyber Risk of Non-Financial Firms”, a cura di Francesco Columba, Manuel Cugliari, Marco Orlandi e Federica Vassalli, pubblicato a gennaio 2026, che ha chiarito come costruire un indicatore di vulnerabilità al rischio cibernetico da utilizzare nei modelli di valutazione del credito degli istituti bancari.
L’indicatore di rischio cibernetico
Il lavoro sottolinea come continuare a valutare il merito creditizio senza considerare il cyber risk significhi sottostimare il rischio reale. Lo studio parte quindi dallo spiegare come potere costruire un indice di vulnerabilità cyber per le imprese non finanziarie italiane, da integrare in prospettiva nei sistemi di credit assessment, come l’ICAS (Italian Credit Assessment System).
Per misurare il cyber risk è però necessario andare oltre le informazioni strutturate presenti nei bilanci e andare a esplorare invece dati non strutturati raccolti nelle varie news, comunicazioni aziendali o report di settore.
L’indice di vulnerabilità cyber si basa quindi sull’integrazione di tre grandi fonti di dati non strutturati:
- 24.544 bilanci aziendali tra il 2019 e il 2024, analizzati in sezioni mirate come note integrative, relazioni sulla gestione e report di revisione;
- 7 milioni di articoli di stampa provenienti dal database Factiva;
- 10 fonti web specializzate in cybersecurity, monitorate sistematicamente.
Una base informativa che consente di cogliere non solo gli incidenti subiti, ma anche il livello di consapevolezza, disclosure e preparazione delle imprese.
Da qui, gli autori hanno sviluppato una tassonomia dedicata al contesto italiano, composta da circa 300 concetti organizzati in sei macro-categorie:
- Regolamenti e standard (es. GDPR, ISO 27001);
- Certificazioni professionali;
- Tecnologie e sistemi di difesa;
- Processi e strategie di gestione del rischio;
- Attacchi cibernetici;
- Organizzazioni e affiliazioni nazionali e internazionali.
L’architettura AI per tradurre i testi in numeri
Al cuore del modello è presente un’architettura integrata di Intelligenza Artificiale, che supera i limiti degli approcci rule-based.
Attraverso tecniche di Natural Language Processing e un Large Language Model (Microsoft Phi-4), il sistema estrae segnali rilevanti da testi eterogenei, li classifica secondo la tassonomia e, infine, li traduce in punteggi quantitativi.
Il risultato è un sistema di scoring composito che distingue tra elementi mitiganti (tecnologie, processi, certificazioni) e fattori di rischio, in particolare la disclosure di attacchi cyber, che comporta penalità significative.
Alto cyber risk nelle imprese italiane
D’altronde gli attacchi cibernetici a danno delle imprese italiane sono in forte aumento dal 2019: si è passati da 14 incidenti documentati nel 2019 a 232 nel 2023.
I settori più colpiti sono il manifatturiero, trainato dalla diffusione di sistemi interconnessi e Industria 4.0; i servizi professionali, scientifici e tecnici; e il commercio e la riparazione di veicoli. E la minaccia più frequente è rappresentata dai ransomware, seguiti da data breach e attacchi di phishing.
L’indice di rischio cibernetico, su una scala da 0 a 100, mostra valori medi elevati (intorno a 82-83), con una forte concentrazione di imprese nelle fasce di rischio più alte.
Un attacco lascia la sua cicatrice
Un risultato particolarmente rilevante riguarda il comportamento delle imprese prima e dopo un attacco cibernetico. Dopo un incidente, aumenta in modo significativo la quantità e la varietà di informazioni sulla cybersecurity divulgate nei bilanci.
Le aziende rafforzano processi, adottano nuove tecnologie e formalizzano la conformità normativa.
Tuttavia, l’indice di rischio cresce comunque nel breve periodo, perché la penalità associata all’attacco supera gli effetti mitiganti delle contromisure introdotte. Un segnale importante per le banche: un attacco lascia una traccia persistente nel profilo di rischio dell’impresa.
Sviluppi futuri
Gli sviluppi futuri annunciati dagli autori prevedono l’integrazione dell’indice e di una Probability of Default aggiustata per il cyber risk nel sistema ICAS della Banca d’Italia.
Per le banche, significa ripensare il risk assessment in chiave digitale. Per le imprese, significa che la cybersecurity non è più solo un costo IT, ma un fattore che incide direttamente sull’accesso al credito.
