Non solo danni operativi e costi legati al ripristino dei servizi vitali per l’azienda: nel contesto attuale, un incidente di sicurezza informatica rischia di avere un impatto fortissimo sulla brand reputation dell’impresa. I casi di cronaca sono numerosi e vedono protagonisti non solo giganti dell’hi-tech come Yahoo!, ma anche società operanti in altri settori come Equifax, uscita con le ossa rotte da un data breach clamoroso nel 2017. Ma quali sono i meccanismi che innescano le cyber minacce a livello di reputazione? Quali sono i rischi che si corrono?
Una questione di fiducia
Se un tempo il legame tra brand reputation e sistemi informatici appariva evidente soltanto per le società che operavano nel settore tecnologico, oggi le cose sono cambiate radicalmente. Qualsiasi azienda, indipendentemente dall’area in cui opera, si trova a gestire enormi quantità di informazioni. Dati più o meno sensibili relativi ai clienti, i fornitori e gli impiegati che se da una parte rappresentano un patrimonio utile per ottimizzare le attività di business, dall’altra fanno sorgere una responsabilità precisa: trattarli e proteggerli con la massima cura. In pratica, occorre tener presente che qualsiasi soggetto con cui l’azienda ha una relazione, si aspetta che le informazioni che fornisce all’impresa siano tenute al sicuro.
Nel caso di un attacco informatico in grado di mettere a repentaglio questi dati, il legame di fiducia si spezza e le ripercussioni non si limitano a chi ha contatti diretti con l’azienda, ma travolgono l’intero brand.
L’impatto del GDPR sulla brand reputation
Il nuovo regolamento europeo sulla protezione dei dati (GDPR) è stato accolto con una certa soddisfazione dagli esperti di cyber security non solo per i contenuti a livello di prescrizioni, ma anche per l’impatto a livello di awareness sulle aziende, troppo spesso portate a sottovalutare il tema della sicurezza informatica. In particolare, l’obbligo di denuncia di eventuali violazioni e la presenza di un regime sanzionatorio hanno finalmente portato molti dirigenti a dare la giusta considerazione alla protezione dei dati.
Nell’ottica della brand reputation gioca un ruolo di primo piano proprio il tema delle sanzioni. La previsione di una multa per il mancato rispetto delle norme contenute nel regolamento europeo influisce infatti sulla percezione che l’opinione pubblica ha delle aziende che rimangono coinvolte in un incidente di sicurezza informatica, innescando l’assioma per cui chi non è in grado di proteggersi dai pirati informatici difficilmente sarà in grado di operare in maniera efficiente, corretta ed efficace.
La vittima di un attacco informatico viene normalmente identificata come uno sprovveduto e, a livello di reputazione, si innesca un meccanismo che ricorda quello che negli USA viene riassunto con la domanda retorica “comprereste un’auto usata da quest’uomo?”. L’impatto di una risposta negativa sulla reputazione di un’azienda è facilmente immaginabile.
Non solo data breach
La violazione dei sistemi informatici dell’azienda è un evento che ha immediata risonanza sui media e un impatto immediato sulla brand reputation.
Nel considerare il quadro generale del peso che hanno le cyber minacce sulla reputazione aziendale è indispensabile però considerare una declinazione diversa, meno “traumatica” ma altrettanto determinante. È quella che riguarda il livello di pressione esercitato sui clienti finali da parte degli attacchi hacker che sfruttano, in qualsiasi modo, il brand dell’azienda. Tra questi, per esempio, rientrano le campagne di phishing (gli attacchi che mirano a rubare le credenziali di accesso dei clienti a un servizio) e truffe di vario genere che sfruttano il marchio o l’identity dell’azienda.
Ogni incidente di sicurezza informatica che coinvolge un cliente comporta l’avvio di procedure a livello di customer care e, in ogni caso, un qualche inconveniente per l’utente. In epoca di social network, qualsiasi episodio di questo tipo rappresenta un tassello che rischia di andare a comporre un’immagine complessivamente negativa del brand. Di più: anche quando non si traducono in reali violazioni dei sistemi dei clienti, il semplice “rumore di fondo” generato da questo tipo di attività è più che sufficiente a deteriorare l’immagine dei servizi offerti.
La reputazione verso partner e fornitori
Se la percezione della brand reputation sul mercato consumer rappresenta l’aspetto più evidente del legame tra cyber minacce e immagine a livello di opinione pubblica, un aspetto troppo trascurato è quello che riverbera nei rapporti con le altre imprese. L’impatto su partner e fornitori non si limita alle dinamiche trattate in precedenza. Esistono piuttosto delle considerazioni estremamente pratiche che portano le aziende a considerare la reputazione a livello di cyber security nella scelta delle collaborazioni che intendono avviare. Nel nuovo panorama legato alla digital transformation, infatti, le partnership a livello commerciale o produttivo comportano necessariamente un livello di comunicazione e di messa in comune delle infrastrutture IT che creano una sorta di interdipendenza tra le imprese. In altre parole, chi sceglie un partner si trova di fatto a condividere una parte dei rischi di sicurezza. La conferma arriva dalla cronaca, dalla quel emergono numerosi casi (soprattutto in ambito finanziario) in cui i pirati informatici hanno sfruttato le debolezze a livello di cyber security di un’azienda per avviare una catena di attacchi che ha coinvolto, nella fase finale, partner e collaboratori. Un fenomeno che sta portando molte aziende a prevedere assessment specifici sulla cyber security come requisito per l’avvio di partnership.