Quanto costa un attacco informatico ad una PMI italiana?

Le PMI italiane, sebbene siano piuttosto inclini a sottovalutare il rischio, sono spesso soggette a compromissioni ed attacchi informatici.

Infatti, stando al campione di aziende medio-piccole intervistate nell’ultimo rapporto Clusit 2023, nel 44% dei casi non c’è alcuna figura responsabile per la privacy e la cybersecurity.

Un dato quantomai allarmante, se si pensa che l’Italia è diventata uno dei principali bersagli di cyberattacchi a livello globale.

Per tale ragione, abbiamo voluto delineare una stima dei costi diretti e indiretti, che le piccole e medie imprese del nostro Paese si trovano a fronteggiare in caso di attacco hacker.
Impatto finanziario diretto: Analisi dei costi immediati
Danneggiamento della reputazione aziendale: Implicazioni a lungo termine
Ripristino e risanamento: Costi di recupero dopo un attacco
Responsabilità legale
Investimenti nella prevenzione: Costi di sicurezza informatica per le PMI

Impatto finanziario diretto: Analisi dei costi immediati

Per quanto riguarda l’analisi costi diretti di un attacco informatico per una PMI, bisogna innanzitutto considerare diversi parametri, tra cui:

Estensione dell’infrastruttura danneggiata
Tipologia di minaccia,che influisce sui costi associati alla risoluzione del problema, alla riparazione dei sistemi colpiti e al ripristino delle operazioni.
Tempo di inattività: se un attacco informatico rende i sistemi inutilizzabili o interrompe le operazioni dell’azienda per un certo periodo di tempo, ciò può comportare una significativa perdita di produttività e di entrate
Recupero dei dati: la PMI dovrà impegnare risorse umane e tecnologiche per recuperare o ripristinare i dati persi. Questo può richiedere l’acquisto di servizi di recupero dati specializzati o l’impiego di personale interno per svolgere tali attività.
Risposta all’incidente: che può includere l’acquisizione di servizi di security as-a-service, l’identificazione delle vulnerabilità e le misure di risposta e mitigazione degli incidenti. Questi servizi possono comportare costi elevati a causa dell’urgenza e della competenza richiesta.

Nel report Cost of a data Breach 2022, IBM ha stimato a 3,74 milioni le ricadute medie di un attacco informatico in Italia, dato che si attestava a 3,61 milioni solo l’anno precedente.

A questo vanno aggiunte le rilevazioni riportate nell’ultimo rapporto Clusit, che attestano un aumento generalizzato nella severity degli attacchi, con aumento di 200 punti degli incidenti critici registrati (passati dai 400 del 2021, ai 600 del 2022).

E ciò sempre tenendo a mente che si tratta soltanto di quelli effettivamente rilevati e segnalati.

Danneggiamento della reputazione aziendale: Implicazioni a lungo termine

In aggiunta ai costi diretti, possiamo menzionare le inevitabili ricadute sul piano reputazionale. Le quali, in ogni caso, hanno un costo economico (forse anche più salato degli oneri diretti).

Analizziamone in dettaglio i risvolti concreti:

Perdita di fiducia dei clienti: quando i consumatori apprendono che i loro dati personali sono stati compromessi o che i sistemi dell’azienda sono stati violati, potrebbero sentirsi insicuri e dubbiosi sulla capacità dell’azienda di proteggere le loro informazioni sensibili. Ciò può portare a una perdita di clientela e a una diminuzione delle vendite a lungo termine.
Impatto sulle relazioni commerciali: i partner commerciali e i fornitori potrebbero valutare attentamente la continuità delle loro collaborazioni con l’azienda colpita da un attacco informatico. La percezione negativa legata alla sicurezza informatica può influenzare le decisioni di partnership future e potenzialmente danneggiare le opportunità di crescita e di sviluppo dell’azienda.
Diffusione negativa sul mercato: le notizie riguardanti un attacco informatico possono diffondersi rapidamente attraverso i canali di comunicazione, i social media e i mezzi di informazione. La copertura mediatica negativa può amplificare il danneggiamento della reputazione dell’azienda e influenzare la percezione del pubblico
Difficoltà nel reclutamento di personale: un’azienda con una reputazione compromessa a causa di un attacco informatico potrebbe trovarsi di fronte a difficoltà nel reclutamento di nuovo personale qualificato. I candidati potenziali potrebbero preferire lavorare per aziende che sono considerate più sicure e affidabili dal punto di vista della sicurezza informatica. Questo può creare sfide nella costruzione di un team competente e motivato per supportare le operazioni produttive.
Costi di ripristino della reputazione: ripristinare la reputazione di un’azienda danneggiata richiede tempo, sforzo e risorse finanziarie significative. L’azienda dovrà intraprendere azioni concrete per dimostrare un miglioramento della sicurezza informatica, implementare nuove politiche e procedure, e comunicare in modo trasparente ed efficace con i clienti, i partner commerciali e il pubbico

Ripristino e risanamento: Costi di recupero dopo un attacco

Oltre alle misure di contenimento della minaccia, bisogna anche valutare tutti i costi a lungo termine legati al ripristino e risanamento delle infrastrutture IT.

Questi possono includere diversi aspetti che sono essenziali per riprendere le normali operazioni e garantire una maggiore sicurezza.

Di seguito sono descritti alcune delle principali voci di spesa associate al ripristino e risanamento a seguito di un attacco informatico:

Valutazione dei danni e delle vulnerabilità che può può richiedere l’impiego di esperti in sicurezza informatica per individuare i punti deboli nell’infrastruttura, nelle reti e nei sistemi dell’azienda
Riparazione e ripristino dei sistemi: dopo aver identificato le vulnerabilità e le aree danneggiate, l’azienda dovrà investire nella riparazione e nel ripristino dei sistemi informatici. Ciò può comportare la sostituzione o la riparazione di hardware danneggiato, l’installazione di nuovi software e l’implementazione di misure di sicurezza aggiuntive. Questi costi possono includere l’acquisto di licenze software, l’assunzione di professionisti IT o l’impiego di fornitori di servizi esterni.
Recupero dei dati: lel caso in cui i dati aziendali siano stati compromessi o persi durante l’attacco, l’azienda dovrà investire risorse per il recupero dei dati. Questo può includere il ricorso a servizi di recupero dati specializzati, il ripristino da backup o l’impiego di soluzioni di ripristino dei dati. I costi associati al recupero dei dati possono variare in base alla quantità di dati persi e alla complessità del processo di recupero.
Rafforzamento delle misure di sicurezza: dopo un attacco, è fondamentale rafforzare le misure di sicurezza informatica per prevenire futuri attacchi. Ciò può comportare l’implementazione di nuove politiche di sicurezza, l’aggiornamento dei sistemi e dei software, l’adozione di soluzioni di sicurezza avanzate come firewall e sistemi di rilevamento delle intrusioni, e la formazione del personale sull’importanza della sicurezza informatica. Questi costi includono spese per l’acquisizione di nuove tecnologie e per la formazione dei dipendenti.
Monitoraggio e mitigazione dei rischi: dopo un attacco, è necessario monitorare costantemente i sistemi e le reti per rilevare eventuali anomalie o attività sospette. Ciò può richiedere l’acquisizione di strumenti di monitoraggio e software di sicurezza avanzati, nonché il coinvolgimento di esperti in sicurezza informatica per la gestione continua dei rischi.

Da tener presente che i costi associati al monitoraggio e alla mitigazione dei rischi possono essere sia a breve che a lungo termine, poiché, com’è noto, la sicurezza informatica è un insieme di strategie e non si risolve con singoli interventi,

È importante notare che i costi di recupero e risanamento possono variare in base all’entità e alla complessità dell’attacco subito dalla PMI. È consigliabile che l’azienda coinvolga esperti in sicurezza informatica per valutare la situazione specifica e stabilire un piano di ripristino adeguato.

Responsabilità legale

Considerata la giurisdizione nazionale ed internazionale in materia di sicurezza e tutela di dati e infrastrutture, passiamo ora in rassegna gli oneri legali cui le Piccole-Medie imprese devono sottostare in caso di violazione dei sistemi.

Stando a quanto sancito dal GDPR, infatti, nel caso in cui l’attacco fosse imputabile a inadempienze dell’azienda colpita, le sanzioni si attesterebbero tra i 20 milioni di euro o l’equivalente del 4% del fatturato annuo lordo globale.

Ma c’è di più, perché la gravità della colpa verrebbe valutata anche in base alla tempestività e la trasparenza con cui l’azienda ha comunicato la violazione ai titolari dei dati esfiltrati.

A ciò si aggiungerebbero

Eventuali sanzioni penali, che in Italia prevedono fino a 5 anni di reclusione
Azioni collettive e class-action: i clienti o i dipendenti che hanno subito danni a seguito dell’attacco informatico possono intraprendere azioni legali contro l’azienda. Queste azioni possono essere presentate come cause individuali o come azioni collettive rappresentative di un gruppo di persone colpite
Risarcimenti e riparazioni: se l’azienda viene ritenuta responsabile per i danni subiti dai clienti o dai dipendenti a causa dell’attacco informatico, potrebbe essere tenuta a fornire risarcimenti finanziari per coprire le perdite subite, i costi aggiuntivi sostenuti o il danno alla reputazione. Questi risarcimenti possono includere il rimborso dei danni finanziari diretti, come la frode finanziaria, nonché il pagamento di danni morali o punitivi
Indagini e costi legali: l’azienda coinvolta nell’attacco informatico potrebbe dover affrontare indagini legali e regolatorie per stabilire le cause e le responsabilità dell’incidente. Queste indagini possono richiedere la collaborazione con autorità competenti, esperti forensi digitali e consulenti legali specializzati

Investimenti nella prevenzione: Costi di sicurezza informatica per le PMI

Quanto visto finora, può essere d’aiuto nel delineare le voci di costo di un eventuale scenario d’attacco.

Come abbiamo avuto modo di constatare, questi non sono di natura meramente economica, ma anche legale e reputazionale.

Il che conferma la regola che, in cybersecurity come in medicina, “prevenire è meglio che curare”.

Se, da un lato, le somme versate per il ripristino dei sistemi possono essere considerate delle mere passività nel bilancio, dall’altro le spese sostenute per mettere in piedi una solida strategia di sicurezza possono tradursi in profittevoli investimenti.

La protezione dei sistemi e dei dati aziendali, infatti, è essenziale per preservare la sicurezza e la continuità operativa di ogni realtà produttiva.

Ma, in quest’ultimo caso, quali sarebbero le soluzioni su cui investire?

Acquisizione di tecnologie e soluzioni di sicurezza, tra cui firewall, antivirus, sistemi di rilevamento delle intrusioni, software di crittografia e soluzioni di gestione delle identità. I costi possono variare in base alle dimensioni dell’azienda e alla complessità delle infrastrutture
Aggiornamento e manutenzione dei sistemi: ciò comporta costi associati all’acquisto di licenze software, all’implementazione di patch di sicurezza e alla manutenzione regolare dei sistemi per garantire la sicurezza e la compatibilità
Formazione e sensibilizzazione del personale: le PMI dovrebbero fornire al personale le competenze e le conoscenze necessarie per riconoscere le minacce informatiche, evitare le trappole del phishing, utilizzare password robuste e adottare buone pratiche di sicurezza. Questo può comportare costi per corsi di formazione, materiali didattici e programmi di consapevolezza sulla sicurezza
Audit e valutazioni della sicurezza, effettuati internamente o da fornitori esterni specializzati che comportano costi associati alla pianificazione, all’esecuzione e alla revisione delle valutazioni della sicurezza.
Gestione dei rischi e pianificazione della continuità aziendale: al pari delle grandi aziende, anche le PMI dovrebbero adottare approcci strutturati per la gestione dei rischi e la pianificazione della continuità aziendale. Ciò include l’identificazione dei rischi informatici, la valutazione delle loro conseguenze e la messa in atto di misure preventive e reattive

Autore articolo
Gli ultimi articoli

Ilaria Della Queva

Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.