Torna al blog
Governance Digitale

Cyber risk: come tradurre il rischio in euro

30 gennaio 2026 · 5 min di lettura

Parlare la lingua del business

Quando il CISO dice "abbiamo 47 vulnerabilità critiche", il CEO sente rumore. Quando dice "abbiamo un'esposizione di 380.000€ a un probabile attacco ransomware", il CEO ascolta. La cyber risk quantification (CRQ) traduce il rischio informatico in impatto economico, l'unico linguaggio che il business comprende davvero.

Il metodo FAIR

Il Factor Analysis of Information Risk (FAIR) è lo standard internazionale per la quantificazione del rischio cyber. A differenza delle matrici qualitative (alto/medio/basso), FAIR produce stime in euro basate su due variabili:

  • Frequenza dell'evento (LEF): quante volte è probabile che si verifichi lo scenario in un anno?
  • Magnitudine della perdita (LM): quanto costa ogni volta che si verifica?

Rischio = LEF × LM (in forma semplificata). Il risultato è una distribuzione di probabilità espressa in euro.

Esempio pratico: PMI manifatturiera

Scenario: attacco ransomware a una PMI da 50 dipendenti e 10M€ di fatturato.

  • Frequenza: sulla base dei dati Clusit per settore e dimensione, probabilità annua stimata: 15-20%
  • Magnitudine: fermo produttivo (23 giorni × 3.800€/giorno) + incident response (40.000€) + sanzioni GDPR (30.000€) + danno reputazionale (5% fatturato primo anno) = circa 245.000€
  • Rischio annualizzato: 18% × 245.000€ = 44.100€/anno

Ora il CEO può decidere: investire 25.000€/anno in sicurezza per ridurre quel rischio del 70% è un investimento con ROI positivo del 23%.

I 5 scenari da quantificare per ogni PMI

  • Ransomware: cifratura dei sistemi con fermo operativo
  • Data breach: esposizione dati clienti con implicazioni GDPR
  • BEC (Business Email Compromise): frode finanziaria via email
  • Downtime IT: indisponibilità dei sistemi critici per guasto o attacco
  • Sanzione compliance: non conformità NIS2 o GDPR rilevata in audit

Come presentare i numeri al CdA

Il report di CRQ per il management deve contenere:

  • Top 5 scenari di rischio con impatto economico stimato
  • Esposizione totale annualizzata (somma dei rischi ponderati)
  • Investimento proposto con riduzione del rischio attesa
  • ROI della sicurezza: euro investiti vs euro di rischio ridotto
  • Confronto: costo della sicurezza vs costo medio di un incidente nel settore

La CRQ non è un esercizio accademico: è lo strumento che trasforma la cybersecurity da "centro di costo" a investimento misurabile. Ed è esattamente ciò che la NIS2 chiede quando impone al management di "supervisionare" la gestione del rischio.

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli