Rimandare la sicurezza informatica costa più di farla

Il ragionamento sembra logico: "Non siamo abbastanza grandi per essere un bersaglio." Oppure: "Lo facciamo il prossimo anno, quando abbiamo il budget." O ancora: "Abbiamo l'antivirus, siamo a posto."

Ho sentito queste frasi decine di volte, parlando con imprenditori e responsabili IT di PMI italiane. E ogni volta mi pongo la stessa domanda: quanto costa, concretamente, non fare sicurezza?

La risposta è in genere molto più alta di qualsiasi budget preventivo che avrebbero potuto stanziare.

I numeri che le PMI tendono a non vedere

Ogni anno IBM pubblica il Cost of a Data Breach Report, uno degli studi più citati al mondo sul costo reale delle violazioni informatiche. Nel 2024, il costo medio globale di una singola violazione di dati ha raggiunto 4,88 milioni di dollari — il valore più alto mai registrato, in crescita del 10% rispetto all'anno precedente.

Per le aziende con meno di 500 dipendenti, il costo medio scende a circa 3,31 milioni di dollari — ma in proporzione al fatturato, l'impatto è proporzionalmente molto più alto, fino a compromettere la continuità dell'azienda. Una grande azienda può assorbire quella perdita come una voce straordinaria. Per una PMI italiana da 15 milioni di fatturato, può significare la chiusura.

Secondo il Rapporto CLUSIT 2024 sulla sicurezza ICT in Italia, nel 2023 l'Italia è stata tra i Paesi europei più colpiti da attacchi informatici gravi, con una crescita significativa degli incidenti classificati come critici o molto critici. Il settore manifatturiero — cuore del tessuto produttivo delle PMI italiane — è uno dei più presi di mira.

Cosa succede davvero durante un attacco: tre casi italiani documentati

I grandi casi internazionali sembrano lontani. Quelli italiani no.

ULSS6 Euganea — dicembre 2021

L'Azienda ULSS6 di Padova fu colpita da un attacco ransomware del gruppo LockBit 2.0. I dati di circa 600.000 pazienti furono cifrati. I sistemi informatici dell'ospedale rimasero inaccessibili per giorni: interventi chirurgici rinviati, referti irraggiungibili, operatori costretti a carta e penna. Il ripristino completo richiese mesi e costi di recupero considerevoli, oltre al danno d'immagine per un'istituzione pubblica che gestisce dati sanitari di centinaia di migliaia di persone.

Fonte: Cybersecurity360, dicembre 2021

Luxottica — agosto–settembre 2020

Luxottica, colosso mondiale degli occhiali con headquarter in Italia, subì un attacco ransomware che costrinse alla chiusura temporanea degli stabilimenti produttivi in Agordo e Sedico, mettendo a casa migliaia di dipendenti per giorni. In un secondo incidente separato, centinaia di migliaia di dati di dipendenti e clienti furono esfiltrati e resi pubblici dagli attaccanti. Il danno operativo, legale e reputazionale fu enorme — e questo per un'azienda con risorse di sicurezza che la maggior parte delle PMI non potrà mai permettersi.

Fonte: Key4biz, settembre 2020

Comune di Palermo — giugno 2022

Un attacco informatico paralizzò i sistemi del Comune di Palermo per settimane. I cittadini non potevano accedere ai servizi digitali: ZTL, pagamenti, pratiche anagrafiche, portale trasparenza. La reputazione di un'intera amministrazione pubblica fu messa in discussione, con copertura mediatica nazionale prolungata.

Fonte: Corriere della Sera, giugno 2022

Il danno che non si vede nel bilancio: la reputazione

I costi diretti di un incidente cyber sono misurabili: ripristino dei sistemi, consulenza legale, notifiche obbligatorie al Garante Privacy e agli interessati, perdita di produttività durante il blocco operativo. Ma esiste una voce di costo che non appare in nessuna riga del bilancio e che può durare anni: la fiducia dei clienti.

Il Verizon Data Breach Investigations Report 2024 documenta che il 68% delle violazioni coinvolge un errore umano o una configurazione errata — non attacchi sofisticati di livello statale (exploit avanzati). Significa che la maggior parte degli attacchi che colpiscono le PMI sfrutta vulnerabilità che si potevano chiudere con investimenti modesti: aggiornamenti, formazione del personale, autenticazione multi-fattore, backup testati.

Un cliente che scopre che i suoi dati sono stati violati non torna facilmente. Un fornitore che riceve un questionario di sicurezza e non ottiene risposte soddisfacenti firma altrove. Una banca che valuta un finanziamento e trova l'azienda priva di qualsiasi documentazione sulla gestione del rischio IT aumenta il tasso o nega il credito.

Il tempo stringe: cosa cambia entro il 2027

Fino a qualche anno fa, "fare sicurezza" era una scelta volontaria per le PMI. Dal 2024 in poi non lo è più — e le scadenze si stanno avvicinando.

NIS2: già in vigore, controlli in arrivo

La Direttiva NIS2 è stata recepita in Italia con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024. Non si tratta solo di grandi aziende: NIS2 si applica a soggetti essenziali e importanti in settori critici (manifatturiero, alimentare, logistica, sanità privata, servizi digitali, energia) con soglie dimensionali che includono molte PMI da 50 dipendenti in su.

L'Agenzia per la Cybersicurezza Nazionale (ACN) ha già avviato le attività di censimento e notifica. Le misure tecniche e organizzative obbligatorie — gestione del rischio, sicurezza della supply chain, incident reporting, business continuity — devono essere adottate progressivamente. Le sanzioni per i soggetti essenziali che non si adeguano arrivano fino al 2% del fatturato globale annuo. Per i soggetti importanti, fino all'1,4%.

EU AI Act: piena applicazione ad agosto 2027

Il Regolamento UE sull'Intelligenza Artificiale (AI Act) è entrato in vigore il 1° agosto 2024. La sua applicazione è scaglionata: le pratiche AI vietate sono proibite dal febbraio 2025, i modelli AI per uso generale dal agosto 2025, e i sistemi AI ad alto rischio — che includono applicazioni usate in ambito HR, gestione clienti e processi produttivi — saranno soggetti a piena compliance entro agosto 2027.

Ogni PMI che adotta strumenti AI nei propri processi (e oggi pochissime non lo fanno) deve iniziare ora a costruire la governance necessaria: documentazione, audit log, valutazione del rischio, policy d'uso interne. Chi inizia nel 2027 si troverà a gestire un'emergenza. Chi inizia oggi ha due anni per farlo con calma.

Cosa fare adesso: il punto di partenza concreto

Non servono investimenti da grande azienda. Servono priorità chiare e un metodo. Il punto di partenza è sempre una mappatura onesta dello stato attuale: cosa hai, cosa manca, cosa rischi, in quale ordine agire.

Ho creato una Checklist NIS2 per PMI — 30 punti concreti che puoi verificare in autonomia in meno di 20 minuti. È gratuita, senza newsletter automatiche. Ti dà un quadro realistico di dove sei oggi e cosa è urgente affrontare.

Se invece vuoi un'analisi specifica sulla tua situazione — settore, dimensione, supply chain, strumenti in uso — posso farlo in una consultazione conoscitiva gratuita di 30 minuti. L'obiettivo non è venderti nulla: è capire se e come posso esserti utile.