In un contesto in cui attacchi informatici, ransomware e furti di dati aumentano di anno in anno, la domanda non è più “se investire” nella cybersicurezza, ma “quanto”. Per aziende e pubbliche amministrazioni, i costi legati alla protezione digitale sono diventati parte integrante della strategia operativa, tanto quanto l’energia o il personale. Ma quanto si spende davvero? E quanto costa subire un attacco?
Nel 2024, secondo i dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, il mercato della sicurezza informatica in Italia ha toccato i 2,48 miliardi di euro, in crescita del 15% rispetto all’anno precedente.
Le aziende italiane hanno investito mediamente il 9% del proprio budget ICT in cybersicurezza, in crescita rispetto all’8,3% del 2023. Solo il 15% delle PMI italiane ha però una struttura dedicata alla cybersecurity, contro il 53% delle grandi imprese. Ben il 36% delle aziende italiane ha subito almeno un attacco informatico negli ultimi 12 mesi.
Le aziende più attive in termini di investimento sono quelle dei settori bancario, assicurativo e industriale, ma crescono anche logistica, trasporti e sanità, spinte dall’entrata in vigore della Direttiva NIS2 e dagli obblighi del Cyber Resilience Act europeo.
Oltre ai costi della prevenzione, bisogna considerare quelli, spesso molto più elevati, della remediation dopo un attacco.
Esempi di attacco e costo
Attacco ransomware a un comune di media dimensione: blocco dei servizi per 3 settimane, riscatto richiesto di 250.000 euro, costi di ripristino stimati in oltre 500.000 euro, considerando perdita di dati, comunicazione pubblica, consulenze e implementazione di nuove misure.
PMI manifatturiera con 120 dipendenti: un attacco di phishing ha causato l’accesso a informazioni bancarie e bonifici fraudolenti per un totale di 95.000 euro. I costi indiretti (fermo produzione, reputazione, legalità) hanno superato i 150.000 euro.
Grande azienda logistica: in seguito a una violazione dei sistemi IT, ha dovuto sospendere le operazioni per 48 ore. Il danno stimato: 2,5 milioni di euro, tra mancati ricavi, risarcimenti e recupero operativo.
Secondo IBM, il costo medio globale di una violazione di dati nel 2023 è stato di 4,45 milioni di dollari, mentre il tempo medio per individuarla e contenerla è stato di 277 giorni.
Le pubbliche amministrazioni italiane sono spesso le più esposte e le meno pronte. Secondo ACN (Agenzia per la Cybersicurezza Nazionale), nel 2023:
- il 70% dei cyberattacchi censiti ha avuto come obiettivo enti pubblici o strutture sanitarie.
- solo il 28% delle PA ha un piano di business continuity aggiornato.
- il Piano Nazionale di Ripresa e Resilienza (PNRR) ha destinato 623 milioni di euro alla cybersecurity nella PA, ma i bandi sono spesso poco utilizzati per carenza di competenze interne.
Una buona prassi suggerisce che gli investimenti per una PMI siano almeno il 5-7% del budget IT, con soluzioni di base come firewall avanzati, backup, formazione e servizi MDR (Managed Detection and Response). Per le grandi aziende o settori critici: oltre il 10% del budget IT, includendo SOC (Security Operation Center), test di penetrazione regolari, AI per il monitoraggio delle anomalie e gestione delle vulnerabilità.
Investire in cybersicurezza non è più un lusso. È una polizza assicurativa contro l’arresto della produttività, la perdita di reputazione e le conseguenze legali. I costi iniziali possono sembrare elevati, ma sono nettamente inferiori a quelli derivanti da un attacco. E, soprattutto, rafforzano la resilienza digitale dell’intero sistema economico e pubblico italiano.