Quanto costa un attacco informatico a una PMI italiana
I numeri reali dietro un data breach: fermo attività, sanzioni GDPR, perdita clienti. Perché la prevenzione costa sempre meno dell'incidente.
Quando un titolare d'azienda sente parlare di "cybersecurity", la prima reazione è spesso: "Quanto costa?". La domanda giusta però è un'altra: "Quanto costa NON avere cybersecurity?"
I numeri reali
Secondo il rapporto IBM Cost of a Data Breach 2024, il costo medio di un data breach a livello globale è di 4,88 milioni di dollari. Per le PMI europee, la cifra si riduce ma resta significativa: tra i 120.000 e i 200.000 euro.
Ma questo numero medio nasconde una realtà più complessa. Vediamo le singole voci.
Il fermo dell'attività
Un attacco ransomware blocca mediamente un'azienda per 22 giorni (fonte: Coveware, 2024). Ventidue giorni in cui non puoi emettere fatture, non puoi accedere ai dati dei clienti, non puoi lavorare. Per una PMI con 500.000 euro di fatturato annuo, 22 giorni di fermo significano circa 30.000 euro di mancato fatturato — senza contare i costi fissi che continuano a correre.
I costi di ripristino
Ripristinare un'infrastruttura compromessa richiede consulenti specializzati, forensics digitale, pulizia dei sistemi, reinstallazione software, verifica dell'integrità dei dati. Per una PMI, parliamo di 15.000-50.000 euro a seconda della complessità.
Le sanzioni GDPR
Se l'attacco ha coinvolto dati personali (e nel 90% dei casi li coinvolge), scatta l'obbligo di notifica al Garante Privacy entro 72 ore. Se l'azienda non aveva implementato le misure di sicurezza adeguate richieste dal GDPR, le sanzioni possono arrivare fino al 4% del fatturato annuo o 20 milioni di euro.
Anche quando la sanzione è contenuta, i costi legali per gestire la procedura partono da 5.000-10.000 euro.
La perdita di clienti
Questa è la voce più difficile da quantificare e spesso la più devastante. Dopo un data breach, mediamente il 30% dei clienti si rivolge altrove (fonte: Ponemon Institute). Per un'azienda che vive di fiducia — uno studio professionale, un e-commerce, un fornitore di servizi — questo può essere il colpo fatale.
Il riscatto
Nel caso specifico del ransomware, c'è anche la questione del riscatto. La mediana dei riscatti pagati dalle PMI europee nel 2024 è stata di 47.000 euro (fonte: Sophos). E pagare non garantisce nulla: nel 30% dei casi i dati non vengono restituiti integralmente.
Il conto totale
| Fermo attività | 30.000 € |
| Ripristino tecnico | 15.000 - 50.000 € |
| Costi legali + GDPR | 5.000 - 10.000 € |
| Perdita clienti | Variabile |
| Eventuale riscatto | 47.000 € (mediana) |
| TOTALE TIPICO PMI | 120.000 - 200.000+ € |
La prevenzione: una frazione del costo
Un programma di sicurezza informatica per una PMI — vulnerability assessment, hardening, monitoraggio — costa una piccola frazione di queste cifre. È un investimento, non una spesa. Come l'assicurazione: speri di non averne mai bisogno, ma quando serve, è troppo tardi per farla.
Vuoi sapere se la tua azienda è a rischio?
Fai un controllo gratuito del tuo sito web o contattaci per una valutazione completa.