Quanto costa davvero il cybercrime? I numeri (veri) per le PMI
«Il cybercrime costerà al mondo 10.500 miliardi di dollari l'anno.» Numeri così girano in ogni articolo e in ogni slide di vendita. Fanno effetto, ma a chi guida una piccola o media impresa dicono poco o nulla: sono troppo grandi per significare qualcosa. La domanda utile non è quanto costa il cybercrime al pianeta, ma quanto può costare alla tua azienda — e qui i numeri seri esistono, e sono diversi da quelli del titolo.
I trilioni che girano in rete
La cifra dei 10.500 miliardi di dollari annui viene da Cybersecurity Ventures, una società di ricerca, ed è una proiezione formulata nel 2016 per l'anno 2025. È la stima più citata al mondo, ma anche la più discussa: gli economisti le rimproverano una metodologia non riproducibile e il rischio di doppi conteggi (lo stesso danno contato come perdita di produttività e come furto di proprietà intellettuale). Altre stime, basate sulle perdite effettivamente riportate, parlano di una cifra ben più bassa, intorno a 1.200 miliardi. Quando un range va da 1,2 a 10,5 trilioni, il numero non è un dato: è un ordine di grandezza.
Una cosa è certa: il fenomeno è enorme e in crescita. Il World Economic Forum, nel suo Global Cybersecurity Outlook 2025, riporta — citando la Global Anti-Scam Alliance — che solo le truffe online hanno sottratto oltre 1.000 miliardi di dollari nell'ultimo anno. Ma il messaggio per un imprenditore non è «esiste un grande nemico globale». È: una fetta di quel denaro esce, ogni giorno, dai conti di aziende come la tua.
Il numero che conta per te: quanto costa una violazione
Qui si passa dalle proiezioni ai fatti misurati. Il Cost of a Data Breach Report di IBM (realizzato dal Ponemon Institute) analizza ogni anno le violazioni reali subìte da centinaia di organizzazioni — 604 nell'edizione 2024. Il dato chiave: il costo medio globale di una violazione di dati è di 4,88 milioni di dollari, in crescita del 10% sull'anno precedente, il salto più alto dalla pandemia.
La media nasconde forti differenze di settore. Il più colpito, per il quattordicesimo anno consecutivo, è la sanità, con un costo medio di 9,77 milioni per violazione; segue il comparto finanziario, intorno ai 6 milioni. Sono cifre da grande organizzazione, certo. Ma il punto, per una PMI, è un altro — ed è controintuitivo.
L'Italia è un bersaglio, e le PMI sono l'anello debole
Il Rapporto Clusit 2025 — la fotografia annuale della sicurezza informatica italiana — racconta un Paese sproporzionatamente colpito: l'Italia pesa per oltre il 10% di tutti gli incidenti gravi registrati nel mondo, a fronte di un peso economico molto inferiore. Gli attacchi crescono (+15% sull'anno prima), e quelli a scopo di lucro — il cybercrime puro — aumentano di circa il 40%.
Le tecniche restano, per la maggior parte, poco sofisticate: malware (36% dei casi), attacchi DDoS (19%), sfruttamento di vulnerabilità note (11%), phishing (11%). Non è cyberguerra di precisione: è, nelle parole degli analisti, «pesca a strascico». E la rete a strascico prende soprattutto chi ha le difese più basse: le piccole e medie imprese.
Perché la PMI, in proporzione, paga di più
Una multinazionale che subisce una violazione da 5 milioni la assorbe: ha riserve, assicurazioni, un team dedicato. Per una PMI lo stesso evento — anche a un costo nominale molto inferiore — può essere letale, perché incide su margini sottili e su una sola linea di business. Il danno, per la piccola impresa, raramente è la cifra del riscatto: è il fermo macchina (giorni di produzione persi), la perdita di clienti, il blocco della fatturazione, l'impossibilità di consegnare. Voci che non fanno notizia, ma che pesano più del riscatto stesso.
È questo il vero traduttore dei trilioni globali: non «quanto è grande il problema nel mondo», ma «quanti giorni la mia azienda resterebbe ferma, e con quali conseguenze, se domani non potessi accedere ai miei sistemi».
Dai numeri all'azione
La buona notizia è il rovescio del dato Clusit: se gli attacchi sono per lo più poco sofisticati, allora buona parte si previene con misure di base. Aggiornamenti tempestivi (le vulnerabilità sfruttate sono quasi sempre note e già corrette dal fornitore), backup verificati e isolati, autenticazione a più fattori, formazione minima del personale contro il phishing. Non serve un budget da multinazionale: serve metodo.
E qui entra la dimensione normativa, che per molte imprese sta diventando un obbligo e non più una scelta. La direttiva NIS2 estende gli obblighi di sicurezza a interi settori e alle loro catene di fornitura: anche una PMI che fornisce un'azienda più grande può trovarsi a doverne rispettare i requisiti. Per il settore finanziario, DORA impone già regole stringenti di resilienza operativa. Trasformare questi obblighi da costo a vantaggio competitivo passa da un singolo passo iniziale: sapere a cosa si è esposti.
I numeri globali servono a una cosa sola: ricordarci che il rischio è reale e diffuso. Tutto il resto — quanto vali come bersaglio, quali sistemi sono critici, quanto resisteresti a un fermo — si misura solo guardando la tua azienda. È da lì che si parte.
Quanto resisterebbe la tua azienda a un fermo?
Partiamo dai numeri della tua impresa: mappiamo i sistemi critici, valutiamo l'esposizione e costruiamo le misure di base e gli obblighi NIS2 / DORA che ti riguardano.
Parla con noi →Fonti
- IBM & Ponemon Institute — Cost of a Data Breach Report 2024: ibm.com/reports/data-breach
- Clusit — Rapporto Clusit 2025 sulla sicurezza ICT in Italia: clusit.it/rapporto-clusit
- World Economic Forum — Global Cybersecurity Outlook 2025: weforum.org
- Cybersecurity Ventures — Cybercrime Damage Costs (proiezione $10,5T, da leggere con cautela metodologica): cybersecurityventures.com