La vera moda del Natale è la cyber-sicurezza

L'industria della moda, nel pieno della sua trasformazione digitale e del boom degli acquisti online, sta affrontando sfide senza precedenti nel campo della sicurezza informatica. Nello specifico, la stagione natalizia 2023 che si è già aperta porta sia opportunità che rischi per brand e aziende, dato che il rush degli acquisti di fine anno rappresenta un’occasione molto ghiotta per hacker e criminali informatici. E se l'industria ha fatto presto ad adattarsi agli aspetti positivi di questa trasformazione, è rimasto imperativo dare la massima priorità alle misure di sicurezza informatica: in primo luogo per proteggere la brand reputation e anche la propria proprietà intellettuale insieme ai i dati dei clienti. Questo spostamento nel mondo online è evidente: già nel 2021 il 43% dei clienti che prima non avevano mai acquistato abbigliamento online hanno abbracciato l’e-commerce. Ma il boom del digitale, al di là delle sfide logistiche derivanti dalla creazione di un retail network alternativo, ha determinato una minaccia crescente da parte dei criminali informatici. Nel 2021, le imprese di tutti i settori hanno subito oltre il 50% in più di tentativi di attacchi informatici ogni settimana – e quel numero è andato solo crescendo. I cyber-attacchi non solo sono aumentati in frequenza, ma sono anche diventati più sofisticati, evolvendo costantemente le loro tecniche per stare un passo avanti alla protezione aziendale. La moda, con le sue transazioni ad alto costo, è presto diventata un obiettivo principale per le minacce informatiche nonostante l'esistenza del Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea che aggiunge un ulteriore livello di importanza alla protezione dei dati. 

L'industria della moda affronta sfide specifiche che richiedono soluzioni di sicurezza informatica su misura. I marchi che vendono direttamente ai consumatori e i retailer multimarca conservano enormi quantità di dati personali, tra cui cronologia degli acquisti, comportamenti d'acquisto, scansioni del corpo e informazioni sulle taglie in certi casi – ma anche numeri di telefono, indirizzi, dati fiscali e personali. Il furto di queste informazioni sensibili può avere conseguenze catastrofiche sia per i clienti che per i brand, per cui un cyber-attacco porterebbe a una perdita di fiducia da parte dei consumatori. Le piccole imprese, in particolare, sono vulnerabili, con il 60% di esse che, dopo un attacco informatico, rischia la chiusura entro sei mesi secondo The Interline. Per dare un esempio di sfida informatica specifica del mondo della moda, il magazine cita le edizioni limitate: «Uno dei settori della moda in più rapida crescita è quello dei prodotti in edizione limitata: i grandi marchi creano un piccolo lotto di nuovi prodotti, che creano una domanda estremamente elevata. Una conseguenza involontaria di ciò è il valore di resell estremamente redditizio dei prodotti popolari […]. In genere, i clienti esistenti e di lunga data hanno la priorità quando si tratta di accedere a questi prodotti in edizione limitata. I reseller, quindi, possono trarre enormi vantaggi dall'accesso a un gran numero di account più vecchi, consentendo loro di saltare la coda attraverso il targeting manuale o di catturare quote significative di prodotti in calo attraverso l'uso di bot».

I brand e retailer di moda sono vulnerabili a diversi tipi di attacco, tra cui i backend di eCommerce, gli strumenti di collaborazione con i fornitori e i dispositivi IoT nei negozi. L’idea che la sicurezza informatica sia una specie di blocco unico, monolitico, e possa essere impostata come una sorta di muro protettivo e poi abbandondata a svolgere il proprio lavoro in autonomia è una credenza abbastanza comune su molti livelli – specialmente nel caso di manager non ferratissimi sull’argomento. Questo significa che la cyber-sicurezza richiede un team vero e proprio, sempre attivo, che si occupi di eseguire test regolari, simulazioni di attacco e test di penetrazione per stare al passo con tattiche degli hacker. E questo è il motivo per cui quello della cyber-sicurezza è diventato un costo fisso aggiuntivo per numerose aziende, non solo brand. E ci sono anche alcune aziende che esitano nell’investire nella sicurezza informatica a causa delle spese percepite. Rimane comunque vero che il costo di superare le sfide poste da un attacco informatico supera di gran lunga l'investimento iniziale nelle misure di sicurezza informatica – e in base alle norme vigenti in UE non c’è nemmeno troppa scelta. Ma i numeri parlano spesso da sé: le principali violazioni dei dati negli ultimi anni non solo hanno comportato significative perdite finanziarie, ma anche danni irreparabili alla fiducia dei clienti con conseguente diminuzione delle vendite e delle relazioni a lungo termine con i clienti. La scarsità di lavoratori con adeguate competenze in questo campo, poi, contribuisce all'aumento dei costi per assumere professionisti per un team di sicurezza interno. L'esternalizzazione rimane un'opzione, ma anche i fornitori sono molto richiesti. 

E veniamo dunque all’incipiente periodo natalizio. Il rush degli acquisti di fine anno crea condizioni ideali per gli attaccanti informatici. L'afflusso di messaggi di marketing nelle caselle di posta affollate e le richieste dei clienti forniscono un'occasione perfetta per hacker e cyber-criminali per sfruttare le vulnerabilità dell’intero sistema, dalle aziende ai clienti. Un rapporto di S-RM citato in un recente articolo di BoF indica una crescita dell'11% nel costo medio di un incidente nel 2023 rispetto all'anno scorso, una cifra di circa 1,7 milioni di dollari. Qualunque brand o retailer, che gestisca ampie banche dati di clienti e informazioni sensibili, è un bersaglio assai attraente per un data heist. E in effetti, sempre secondo Marc Bain di BoF, il settore della vendita al dettaglio assegna la quota più alta dei budget IT alla sicurezza informatica. Tuttavia, l'investimento complessivo nel settore però indica solo la percentuale di budget che viene investito e non quantifica l’investimento effettivo. In altre parole: il retail è il settore che investe maggiormente in termini proporzionali, ma numerose aziende spendono cifre più alte che corrispondo a frazioni inferiori del proprio budget. Insomma, i dati dicono che la prudenza non è davvero mai abbastanza. 

A questo discorso va aggiunto quello dell’aumento delle criticità portato dall'avvento dell'intelligenza artificiale generativa che ha dato un’arma in più, per così dire, sia agli attaccanti che ai difensori. Mentre l'IA facilita attacchi più sofisticati, offre anche ai team di sicurezza la possibilità di semplificare processi e individuare rapidamente minacce riconoscendo pattern ricorrenti analizzando grandi quantità di dati. Secondo gli esperti, la regola d’oro per garantire la cyber-sicurezza sta nel collaborare con i colleghi del settore per condividere informazioni sulle minacce emergenti e sui modelli di attacco. Dato che l’efficienza in questi casi è essenziale servirà anche sviluppare un piano di risposta agli incidenti completo per ridurre al minimo i tempi di inattività e valutare e adattare le policy di sicurezza informatica e le soluzioni per adattarsi al panorama digitale in costante evoluzione.