Il costo medio di un attacco di phishing: 4,37 milioni di euro non sono solo un numero
Insight

Il costo medio di un attacco di phishing: 4,37 milioni di euro non sono solo un numero

Perdite dirette, produttività, reputazione e sanzioni: l'impatto economico che i manager devono conoscere

A cura del team CENANT di GPI CyberdefencePDF

Un problema con un prezzo preciso

Il phishing non è un problema astratto. Ha un costo misurabile, documentato e in crescita. Nel 2024, il costo medio di una violazione dei dati in Italia ha raggiunto i 4,37 milioni di euro, segnando un aumento del 23% rispetto all'anno precedente. Il phishing è stato il vettore d'attacco iniziale più comune, responsabile del 17% delle violazioni.*1

Per i manager e i board aziendali, questi numeri devono tradursi in una domanda concreta: la nostra organizzazione è attrezzata per resistere a un attacco che potrebbe costare milioni di euro?

I costi diretti: quelli che si vedono subito

La perdita finanziaria immediata è la voce più visibile. Bonifici fraudolenti autorizzati da dipendenti ingannati, accessi non autorizzati a sistemi bancari aziendali, furto di credenziali che apre la porta a frodi successive. A livello globale, il costo medio di una violazione ha raggiunto i 4,45 milioni di dollari, con un incremento del 15% in tre anni.*2*3

A questo si aggiungono i costi di risposta all'incidente: analisi forensi, ripristino dei sistemi, notifiche obbligatorie alle autorità e agli interessati, consulenze legali. Costi che si sommano rapidamente, spesso in modo imprevedibile.

I costi indiretti: quelli che pesano di più nel lungo periodo

Le aziende con una media di 9.500 dipendenti perdono oltre 65.000 ore di lavoro produttivo all'anno a causa di attacchi di phishing, per un costo stimato di 3,2 milioni di dollari (Ponemon Institute, 2021). La perdita di produttività è silenziosa ma devastante.*4

Sul fronte reputazionale, un'analisi di Harvard Business Review ha rilevato che le aziende quotate in borsa subiscono una perdita media del 7,5% del valore delle azioni dopo una violazione dei dati, con una riduzione media della capitalizzazione di mercato di 5,4 miliardi di dollari.

A questi si aggiungono l'aumento dei premi assicurativi cyber, che possono raddoppiare o triplicare dopo un incidente, e le sanzioni regolamentari previste da GDPR, NIS2 e DORA per mancata protezione dei dati.

Il 60% delle piccole e medie imprese italiane ha subito almeno un attacco di phishing negli ultimi due anni, con interruzioni operative di durata media pari a 4 giorni lavorativi (Assintel).

Il costo dell'inazione

Molte aziende ritardano gli investimenti in sicurezza perché il costo di un programma di formazione o di una piattaforma anti-phishing sembra elevato in assenza di un incidente recente. È un ragionamento che si rivela sempre sbagliato: il costo di un attacco andato a segno supera di decine di volte quello delle misure preventive.

La vera domanda non è 'possiamo permetterci di investire in sicurezza?', ma 'possiamo permetterci di non farlo?'.

Riferimenti

  • *1 Costo medio violazione dati Italia 2024: innovationpost.it — IBM Cost of a Data Breach 2024.
  • *2 IBM Cost of a Data Breach 2024, vettore phishing: esg360.it.
  • *3 Costo medio globale violazione dati: cybersecurity360.it.
  • *4 Perdita di produttività da phishing: Ponemon Institute / warrenaverett.com (2021).
Richiedi una demo guidata →