Barracuda full logo

Analizzare i numeri: L'arte raffinata di calcolare i costi della criminalità informatica

Argomenti:
30 giu 2025
|
Tony Burgess

Quanto costa il crimine informatico? Quali sono i costi medi associati a un singolo attacco? E qual è il costo annuale cumulativo del crimine informatico?

Non devi leggere molto sulle statistiche del crimine informatico per ottenere una gamma piuttosto ampia di risposte a queste domande. Quindi, è naturale chiedersi come vengano calcolati quei numeri. E sono sicuro che non ti sorprenderà sapere che in realtà non esiste un modo standardizzato per farlo.

Quello che c'è, tuttavia — e spero di non svelare segreti del settore — è un incentivo per i fornitori di sicurezza informatica a utilizzare le stime più alte che possono trovare o generare nelle loro comunicazioni. Dire "un attacco ransomware potrebbe costare alla tua azienda decine di migliaia di dollari" non ha lo stesso impatto di vendita di "il costo medio di un attacco ransomware l'anno scorso è stato di cinque milioni di dollari!"

Quindi, è sensato prendere queste stime in rapida crescita con cautela e spirito critico — soprattutto quando si presentano sotto forma di previsioni sui costi futuri.

Cosa si intende per costo del crimine informatico?

Chiaramente, è importante adottare un approccio ampio quando si stima il costo della criminalità informatica. Come riportato in Cybercrime Magazine:

I costi del crimine informatico includono danni e distruzione dei dati, denaro rubato, perdita di produttività, furto di proprietà intellettuale, furto di dati personali e finanziari, appropriazione indebita, frode, interruzione post-attacco del normale corso degli affari, indagine forense, ripristino e eliminazione di dati e sistemi hackerati, danni reputazionali, costi legali e potenzialmente multe regolamentari, oltre ad altri fattori,” ha dichiarato Steve Morgan, fondatore di Cybersecurity Ventures.

Questa è una lista piuttosto lunga, e il fatto che termini con "più altri fattori" mi lascia, almeno, un po' scettico riguardo ai numeri che emergono.

Nello stesso articolo di maggio 2025, si prevede che il costo globale del crimine informatico per quell'anno ammonterà a 10,5 trilioni di dollari, un aumento drammatico rispetto alla stima di 1 trilione di dollari del 2020. Ma guardando al 2031, la rivista prevede che quel numero salirà a soli 12,2 trilioni di dollari, basandosi su un aumento costante del 2,5% annuo. Tale ipotesi si basa sull'idea che l'economia del crimine informatico stia diventando così grande e redditizia che il suo tasso di crescita, che in passato è aumentato costantemente, si stabilizzerà presto, se non l'ha già fatto.

Costi diretti vs. indiretti

ITPro ha riportato nello stesso mese di maggio 2025 uno studio che ha rilevato che i costi della criminalità informatica nel Regno Unito ammontano a “64 miliardi di sterline all'anno in pagamenti di riscatto, straordinari del personale, affari persi e altri costi associati.”

Lo studio ha distinto tra costi diretti e indiretti. I costi diretti sono stati identificati come tempo extra del personale impiegato per affrontare gli attacchi, insieme a "pagamenti di riscatto, fondi rubati o persi, costi legali e normativi, interruzione delle operazioni e il costo di coinvolgere esperti terzi insieme a premi assicurativi più alti contro il rischio informatico." Questo ammontava, secondo il calcolo dello studio, a £37,3 miliardi.

I costi indiretti, tuttavia, sono stati trovati essere molto significativi, raggiungendo £26,7 miliardi. E la più grande categoria di costo indiretto è stata segnalata come l'aumento dei budget per la sicurezza informatica a seguito di attacchi. "Altri costi indiretti includevano la perdita di clienti, il costo della riallocazione delle risorse alla risposta agli incidenti e una perdita di vantaggio competitivo a causa del furto di proprietà intellettuale aziendale."

Mettere in dubbio

Ancora un altro report di maggio 2025, questo prodotto dall'Atlantic Council, rappresenta un tentativo molto dettagliato di spiegare, definire e affrontare due problemi significativi con le metriche di sicurezza informatica in generale, che secondo gli autori risultano nel non avere un modo utile per comprendere l'efficacia delle politiche governative e altre politiche per affrontare il crimine informatico.

"Questo rapporto identifica due problemi fondamentali che ostacolano il progresso: in primo luogo, lo stato ignoto del sistema, il che significa che i responsabili politici non possono descrivere empiricamente quanto sia sicuro o insicuro l'attuale panorama digitale; in secondo luogo, l'efficacia delle politiche non misurata, che impedisce ai responsabili politici di confrontare quali interventi siano più efficaci nel migliorare la sicurezza e ridurre i danni. Il risultato è un ambiente di policy fortemente dipendente dall'intuizione, dagli aneddoti, dai dati incompleti e dalle misure proxy — tutto ciò insostenibile per un dominio con rischi così sistemici e crescenti e così tanti investimenti nella sicurezza."

"Contare i costi: un quadro di metriche di sicurezza informatica per la politica", The Atlantic Council

Questo lungo rapporto sostiene con forza che le metriche attualmente utilizzate non sono all'altezza del compito e propone cambiamenti significativi a livello generale nel modo in cui tali metriche sono concettualizzate. L'effetto netto per questo lettore è, ancora una volta, quello di ispirare un notevole scetticismo riguardo alle stime dei costi legati alla sicurezza informatica.

Cosa farsene di tutto questo

Quindi, qual è la conclusione? Innanzitutto, indipendentemente dai numeri effettivi, non c'è dubbio che la criminalità informatica imponga costi enormi sull'economia mondiale, e che questi costi stiano aumentando.

Per i governi e le organizzazioni intergovernative, ciò da solo non è molto utile per sviluppare politiche e misurarne l'efficacia. Ma per le singole aziende, la conclusione è piuttosto semplice: effettuare investimenti intelligenti e mirati nella sicurezza informatica e nell'assicurazione informatica è fondamentale nella misura in cui riduce effettivamente l'esposizione di quell'organizzazione al rischio di attacchi costosi.

Hai bisogno di numeri accurati, sia per i costi medi individuali che per i costi globali, per fare quegli investimenti correttamente? Non credo che tu ne abbia bisogno. Ciò di cui hai bisogno è una valutazione accurata delle tue stesse vulnerabilità, basata su attacchi in tendenza e superfici di attacco in espansione. E hai bisogno di un partner per la sicurezza informatica che possa aiutarti a fare quella valutazione e fornire soluzioni e strategie che mirano alle tue aree specifiche di maggiore rischio.

E questo è esattamente ciò che Barracuda fa, ogni giorno, con organizzazioni di tutte le dimensioni, in tutto il mondo.

Trasforma la gestione delle vulnerabilità
Tony Burgess

Tony Burgess è un veterano di vent'anni dell'industria della sicurezza informatica ed è Senior Copywriter per i contenuti e il marketing clienti di Barracuda. In questo ruolo, ricerca argomenti tecnici complessi e traduce i risultati in prosa chiara, utile e leggibile.

Puoi connetterti con Tony su LinkedIn qui.

Post correlati:
I principali attori delle minacce di agosto: Ransomware, spionaggio e infostealers
I principali attori delle minacce di agosto: Ransomware, spionaggio e infostealers
 Malware Brief: phishing ingegnoso, BYOVD e RAT Android
Malware Brief: phishing ingegnoso, BYOVD e RAT Android
 Un sondaggio rileva un calo globale dei costi delle violazioni dei dati
Un sondaggio rileva un calo globale dei costi delle violazioni dei dati
 WolfGPT: A "IA Avançada" para Malware
WolfGPT: A "IA Avançada" para Malware
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.