Quanto costa davvero un data breach a una PMI italiana (e il ROI della prevenzione)

Lettura 9 min · AstraLoop Studio

Quando parli di sicurezza informatica con il tuo commercialista o con chi ti gestisce i sistemi, il discorso finisce quasi sempre nella stessa casella mentale: un costo. Una voce di spesa fastidiosa, di quelle che si tagliano appena il budget stringe. Il problema è che quella casella è sbagliata in partenza. La sicurezza non è un costo, è la gestione di un rischio economico misurabile. E come ogni rischio ha un prezzo se si verifica e un prezzo se lo previeni.

In questo articolo mettiamo i numeri sul tavolo. Niente allarmismo, niente venditori di paura. Solo le cifre reali di cosa succede al conto economico di una PMI italiana quando un data breach la colpisce, e il calcolo onesto del ritorno che ottieni spendendo prima invece che dopo. Se il tema ti riguarda, questo è un tassello di un discorso più ampio che trovi nella nostra guida completa all'audit di sicurezza informatica per le PMI.

Illustrazione di una bilancia che confronta il piccolo costo della prevenzione con il grande danno di un data breach

Perché "a me non succede" è il calcolo più costoso che puoi fare

Partiamo dal dato che smonta l'illusione più diffusa. Secondo il Rapporto Clusit 2026, l'Italia raccoglie circa il 10% degli incidenti gravi a livello mondiale, con un +23% di attacchi nel primo trimestre e uno sfruttamento delle vulnerabilità cresciuto del 65% rispetto al 2024. Ma il numero che dovrebbe interessarti di più è un altro: le PMI rappresentano il 72% dei bersagli.

Non è un caso statistico. Le grandi aziende hanno team di sicurezza dedicati, budget a sei zeri e assicurazioni cyber. La PMI no. Ha spesso un solo tecnico esterno, credenziali riciclate, backup che nessuno ha mai testato e la convinzione di essere "troppo piccola per interessare a qualcuno". È esattamente questo il profilo che gli attaccanti cercano: massimo ritorno, minima resistenza. Un'azienda di trenta persone che fattura tre milioni è un bersaglio ideale, non improbabile.

Il ragionamento "a me non succede" è un calcolo di rischio implicito. Stai stimando, senza dati, che la probabilità sia vicina allo zero. I numeri dicono che non lo è per niente.

Le cifre reali: cosa costa davvero un data breach

Il riferimento internazionale più citato è il report IBM Cost of a Data Breach, che ogni anno misura il costo medio globale di una violazione: nelle ultime edizioni si è attestato attorno ai 4,4 - 4,9 milioni di dollari come media globale. Attenzione però, quella cifra è gonfiata dalle grandi corporation e non descrive la tua realtà. Per una PMI italiana i numeri sono più bassi in valore assoluto, ma molto più pericolosi in proporzione al fatturato.

Il dato più utile per te è quello sul ransomware, l'attacco che oggi colpisce più spesso le piccole imprese. Il costo medio di un incidente ransomware per una PMI si colloca in una forbice che va dai 35.000 ai 250.000 euro. Un range ampio, perché dipende da quanto sei preparato. Ed è proprio dentro quel range che si gioca tutto il discorso sull'investimento in prevenzione.

Il conto non è solo il riscatto

L'errore classico è pensare che il costo di un ransomware sia la cifra chiesta dai criminali. È la voce più visibile, ma quasi mai la più pesante. Ecco cosa entra davvero nel conto.

Voce di costoCosa comportaRange indicativo PMI
Fermo operativoGiorni di attività bloccata: ordini persi, produzione ferma, personale pagato ma inattivoSpesso la voce più alta
Ripristino tecnicoRecupero dati, pulizia sistemi, consulenti forensi, ricostruzione infrastruttura10.000 - 60.000 €
Riscatto (se pagato)Pagamento agli attaccanti, senza garanzia di riavere i datiVariabile, sconsigliato
Sanzioni GDPRSe ci sono dati personali violati e la gestione è stata carenteFino a decine di migliaia €
Danno reputazionaleClienti persi, fornitori che chiudono i rubinetti, contratti saltatiDifficile da quantificare, reale
Notifica e legaleComunicazioni obbligatorie, avvocati, gestione della crisi5.000 - 30.000 €

Il fermo operativo è quasi sempre sottovalutato. Se la tua azienda fattura 3 milioni l'anno, un giorno di attività vale in media oltre 8.000 euro. Cinque giorni di sistemi bloccati, che con un ransomware sono ordinaria amministrazione, fanno 40.000 euro di mancato fatturato prima ancora di parlare di riscatto o ripristino. Ecco perché la forbice arriva così in alto: non è il riscatto che ti manda in crisi, è l'effetto domino.

Il ransomware moderno: perché la minaccia è cambiata nel 2026

C'è un motivo preciso per cui il costo è salito. Il ransomware non si limita più a criptare i tuoi file e chiedere una chiave per sbloccarli. L'evoluzione del 2026 va verso la doppia e tripla estorsione: prima ti rubano i dati, poi li criptano, poi minacciano di pubblicarli online (con leak selettivi) se non paghi. Anche se hai un backup perfetto e recuperi tutto, resti sotto ricatto per la fuga di dati.

In parallelo, gli attacchi sono potenziati dall'intelligenza artificiale. Il phishing è diventato iper-realistico, senza più gli errori di italiano che una volta smascheravano la truffa. E il vishing, cioè le truffe telefoniche con voce clonata, in Italia è cresciuto di oltre il 300% rispetto al 2023. Un caso concreto: una PMI lombarda ha trasferito 28.000 euro a un finto "direttore finanziario" la cui voce era stata clonata con un deepfake audio. L'ordine è arrivato per telefono, con la voce giusta, il tono giusto, l'urgenza giusta. Se vuoi capire come funziona questo schema, ne parliamo in dettaglio nell'articolo su come difendersi dalla truffa del CEO in deepfake.

Il punto economico è semplice: gli attacchi costano meno da produrre e rendono di più. Questo sposta l'equilibrio del rischio contro di te. Se vuoi approfondire le contromisure specifiche, abbiamo una guida dedicata su come proteggere una PMI italiana dal ransomware.

Illustrazione di un'azienda bloccata da un lucchetto con clessidra e grafico in discesa, simbolo del fermo operativo da ransomware

Il fattore che cambia tutto: quanto sei preparato

Torniamo alla forbice tra 35.000 e 250.000 euro. Cosa determina se finisci a sinistra o a destra di quel range? La preparazione. E qui i dati IBM sono illuminanti: le aziende con backup testati, piano di risposta agli incidenti e rilevamento rapido contengono i costi in modo drastico rispetto a chi viene colto completamente impreparato.

Facciamo un confronto concreto tra due PMI simili, colpite dallo stesso attacco.

Azienda impreparataAzienda con audit e piano
Tempo per accorgersi dell'attaccoGiorni o settimaneOre
Backup disponibile e testatoNo, o mai verificatoSì, ripristino garantito
Fermo operativo1 - 2 settimane1 - 2 giorni
RiscattoTentazione forte di pagareNon necessario
Costo totale stimato150.000 - 250.000 €15.000 - 40.000 €

La differenza tra le due colonne non è fortuna. È il risultato di scelte fatte prima dell'attacco. La stessa violazione che manda in ginocchio un'azienda ne rallenta un'altra per due giorni. Ecco dove nasce il ROI della prevenzione.

Il ROI della prevenzione, calcolato onestamente

Adesso il ragionamento che interessa davvero a un imprenditore. Un vulnerability assessment e un audit di sicurezza serio per una PMI costano, a seconda della complessità, qualche migliaio di euro. Un intervento completo con verifica manuale, correzione delle falle e messa in sicurezza si muove in un ordine di grandezza ben preciso: puoi vedere i numeri nel dettaglio nell'articolo sul costo di un audit di sicurezza informatica.

Mettiamola in termini di rischio atteso, come farebbe un attuario. Immagina una probabilità realistica di subire un incidente serio nell'arco di due o tre anni. I numeri Clusit sulle PMI la rendono tutt'altro che remota. Se l'impatto di quell'incidente, senza preparazione, è di 150.000 euro, e un investimento in prevenzione di qualche migliaio di euro riduce quell'impatto a 30.000 abbassando anche la probabilità, il calcolo si fa da solo. Non stai comprando tranquillità emotiva. Stai comprando la differenza tra due colonne di una tabella.

Il modo corretto di leggere la spesa non è "quanto mi costa l'audit" ma "quanto mi costa NON farlo, moltiplicato per la probabilità che serva". In una PMI italiana nel 2026 quel prodotto è alto. Ed è per questo che un audit va classificato come investimento, con un ritorno atteso, non come costo da tagliare.

C'è poi un ritorno che nessuno conteggia mai: la continuità operativa. Un'azienda che sa di avere backup testati e sistemi verificati non dorme meglio solo per modo di dire. Non perde giorni di fatturato al primo incidente, non si trova a decidere sotto ricatto se pagare dei criminali, non deve spiegare ai clienti perché i loro dati sono finiti online.

Il collegamento che quasi nessuno ti spiega: l'assicurabilità

Qui c'è un aspetto economico che la maggior parte dei contenuti online ignora. Le polizze cyber sono in forte crescita, ma le compagnie non assicurano più a scatola chiusa. Sempre più spesso, per stipulare o rinnovare una polizza, chiedono che tu dimostri di avere misure minime di sicurezza: autenticazione a più fattori, backup, gestione degli accessi, un audit recente.

Questo cambia il ROI dell'audit in due modi concreti. Primo: senza un livello minimo di sicurezza documentato potresti non essere assicurabile affatto, oppure solo a premi proibitivi. Secondo: se subisci un incidente e in sede di liquidazione emerge che avevi dichiarato misure che in realtà non avevi, l'assicuratore può contestare o ridurre l'indennizzo. Un audit serio non è solo prevenzione, è il documento che rende la tua polizza effettivamente pagante quando serve. Audit e assicurazione lavorano insieme, non sono alternativi.

Vuoi sapere dove sei davvero esposto e quanto ti costerebbe un incidente? Richiedi un'analisi della tua situazione e ti diamo i numeri concreti, senza allarmismi.

La responsabilità è diventata anche personale: NIS2 e AI Act

Nel 2026 il calcolo del rischio cambia ancora, perché non è più solo economico. È diventato personale e legale per chi guida l'azienda.

La direttiva NIS2, recepita in Italia, entra nella fase operativa nel corso del 2026: le misure di sicurezza di base e gli obblighi di notifica degli incidenti diventano concreti, con scadenze specifiche durante l'anno. Il punto che pochi imprenditori hanno metabolizzato è che la NIS2 attribuisce la responsabilità della gestione del rischio cyber direttamente agli organi di vertice, cioè CEO e Consiglio di Amministrazione. Non è più una delega che scarichi sul tuo tecnico IT. Le sanzioni sono pesanti e la responsabilità è tua. Per capire se ti riguarda, parti da verifica se la NIS2 si applica alla tua azienda e dalle scadenze NIS2 del 2026.

In parallelo, l'AI Act (Regolamento UE 2024/1689) entra in una fase operativa rilevante nell'estate 2026, con obblighi di cybersicurezza sui sistemi ad alto rischio e vigilanza affidata in Italia all'ACN (Agenzia per la Cybersicurezza Nazionale). Le sanzioni previste dal regolamento arrivano fino a 35 milioni di euro o al 7% del fatturato mondiale per le violazioni più gravi. Anche qui il tema si intreccia con la sicurezza dei dati e con il GDPR, sotto la vigilanza del Garante Privacy.

Questo non è un consiglio legale definitivo, il quadro va valutato caso per caso con i tuoi consulenti. Ma il messaggio economico è chiaro: al costo di un data breach oggi si somma un rischio sanzionatorio e una responsabilità personale che prima non c'erano. Il che sposta ancora più in là il valore della prevenzione. Se vuoi il quadro completo delle novità normative, abbiamo una guida alla cyber security per PMI aggiornata al 2026.

Un rischio spesso invisibile: la Shadow AI

C'è una fonte di costo nuova che non entra nelle statistiche perché nessuno la vede: i tuoi stessi dipendenti che incollano dati aziendali riservati dentro ChatGPT, Gemini o Copilot per lavorare più in fretta. Si stima che il 38% dei lavoratori condivida dati confidenziali con strumenti AI e che il 78% porti in azienda tool propri, senza controllo.

Il costo qui è doppio: fuga di dati e potenziale violazione di GDPR e AI Act, con le sanzioni che abbiamo visto. È un rischio che non richiede nemmeno un attaccante esterno, nasce dentro l'azienda, in buona fede, per fare prima. Un audit moderno deve valutare anche questo, non solo firewall e password. Se il tema è nuovo per te, leggi cos'è la Shadow AI e quali rischi comporta.

Da dove partire, in concreto

Non serve trasformare la tua azienda in un bunker digitale dall'oggi al domani. Serve capire dove sei esposto e mettere in sicurezza le cose che, se saltano, ti costano di più. In ordine di priorità:

  1. Sapere dove sei vulnerabile. Un vulnerability assessment ti dice quali falle hai. Un penetration test verifica se sono sfruttabili davvero. La differenza conta.
  2. Backup testati. Non basta avere un backup, deve funzionare quando serve. La maggior parte dei disastri nasce da backup che nessuno aveva mai provato a ripristinare.
  3. Autenticazione a più fattori su email, gestionali e accessi critici. È la misura col miglior rapporto tra costo e riduzione del rischio.
  4. Formazione minima contro phishing e vishing. La voce clonata al telefono si batte con una procedura, non con un software.
  5. Adeguamento normativo a NIS2, GDPR e AI Act, valutato in modo integrato invece che a compartimenti stagni.

Il filo conduttore è sempre lo stesso: spendere prima, in modo mirato, costa una frazione di quello che spenderesti dopo, in emergenza e sotto ricatto. Non è una questione di paura. È una questione di conti.

In sintesi

Un data breach per una PMI italiana non è un problema tecnico da relegare all'IT. È un colpo al conto economico che, tra fermo operativo, ripristino, riscatto, sanzioni e danno reputazionale, si muove tra i 35.000 e i 250.000 euro. Dove finisci in quel range dipende quasi solo da quanto eri preparato prima. Un audit di sicurezza costa una frazione di quella cifra, riduce sia la probabilità sia l'impatto di un incidente, ti rende assicurabile e ti mette in regola con NIS2 e AI Act proprio mentre la responsabilità diventa personale. Chiamalo con il nome giusto: non è un costo, è l'investimento con il ROI più semplice da calcolare che tu abbia sul tavolo.

Domande frequenti

Quanto costa in media un data breach a una PMI italiana?

Per un attacco ransomware, che è il più comune, il costo medio si colloca tra 35.000 e 250.000 euro. La cifra dipende dalla preparazione: chi ha backup testati e un piano di risposta contiene i danni, chi è impreparato finisce nella parte alta della forbice a causa del fermo operativo prolungato.

Il costo di un attacco è solo il riscatto che chiedono i criminali?

No, ed è l'errore più comune. Il riscatto è spesso la voce minore. Il costo maggiore è il fermo operativo (i giorni di fatturato persi), a cui si aggiungono ripristino tecnico, eventuali sanzioni GDPR, spese legali e danno reputazionale con clienti e fornitori persi.

Un audit di sicurezza conviene davvero a una piccola impresa?

Sì, se lo leggi come investimento e non come costo. Un audit costa una frazione dell'impatto di un incidente, riduce sia la probabilità sia i danni di un attacco, e oggi è spesso richiesto dalle compagnie per stipulare o rinnovare una polizza cyber. Il ritorno è la differenza tra un'azienda ferma due giorni e una ferma due settimane.

La NIS2 rende l'imprenditore personalmente responsabile della sicurezza?

Sì. La direttiva NIS2 attribuisce la responsabilità della gestione del rischio cyber direttamente agli organi di vertice, cioè CEO e Consiglio di Amministrazione. Non è più una delega scaricabile sul tecnico IT. Le misure di base e gli obblighi di notifica entrano nella fase operativa nel corso del 2026.

Perché il ransomware nel 2026 è più pericoloso di prima?

Perché non si limita più a criptare i file. La doppia e tripla estorsione prevede il furto dei dati prima della cifratura e la minaccia di pubblicarli online. Anche con un backup perfetto resti sotto ricatto per la fuga di dati. In più gli attacchi sono potenziati dall'AI, con phishing iper-realistici e voci clonate al telefono.

L'assicurazione cyber sostituisce l'audit di sicurezza?

No, lavorano insieme. Le compagnie richiedono sempre più spesso misure minime di sicurezza documentate per assicurarti. Senza, rischi di non essere assicurabile o di pagare premi altissimi. Inoltre, se dichiari misure che non hai davvero, l'assicuratore può ridurre l'indennizzo dopo un incidente. L'audit rende la polizza effettivamente pagante.

Trasforma la sicurezza da costo temuto a investimento misurabile: parlane con noi e valutiamo insieme il rischio reale della tua azienda.