Nella società digitale in cui viviamo gli attacchi hacker sono ormai all’ordine del giorno, eppure le imprese che ne sono colpite non corrono ai ripari per mettere in sicurezza i dati come ci si aspetterebbe, e le ultime statistiche sembrano evidenziare pure un calo di sensibilità verso i rischi cibernetici.
Se nel 2024 il 63% delle aziende che avevano subìto una violazione decidevano poi di investire in cybersecurity per evitare di trovarsi nuovamente nei guai a causa di incidenti informatici, quest’anno il rapporto “2025 Cost of a Data Breach” rivela che adesso la percentuale è scesa addirittura al 49%.
A quanto pare, meno della metà dei management che ha già sperimentato le conseguenze di un attacco informatico non sembra quindi preoccuparsi eccessivamente dell’eventualità di dover affrontare nuovamente una violazione dei dati aziendali, nonostante che lo stesso report di IBM quantifichi in 4,44 milioni di dollari il costo medio complessivo di ogni singolo "data breach".
Infatti, un’organizzazione che ha già subìto un attacco hacker sa bene quanto il vortice di danni che si innesca possa risultare devastante, a cominciare dalla potenziale paralisi improvvisa delle attività produttive, l’immediata apertura di uno stato di crisi che richiede superlavoro per i propri dipendenti delle funzioni IT e Legal, spesso con la necessità di doversi avvalere anche del supporto di altri esperti e consulenti esterni specializzati con notevoli costi imprevisti.
E specialmente in ambito di intelligenza artificiale, le conseguenze di questi incidenti si riflettono direttamente sulla business continuity: secondo il suddetto rapporto, il 60% degli eventi di sicurezza ha portato alla compromissione dei dati e il 31% a vere e proprie interruzioni operative che, soprattutto per imprese di grandi dimensioni o con supply chain distribuite, incidono pesantemente sui bilanci.
Se poi i cybercriminali si servono degli ormai noti “ransomware”, l’ulteriore beffa per l’azienda è quella di vedersi presentare pure il conto con una richiesta estorsiva di pagare ingenti somme di denaro per recuperare l’accesso ai dati o per evitare che questi finiscano sul Dark Web alla mercè di malintenzionati che potrebbero utilizzarli in modo illecito per mettere in atto frodi online come furti d’identità e campagne di phishing.
Come si può ben immaginare, tutto ciò genera degli effetti a catena con enormi ripercussioni reputazionali sull’immagine dell’azienda e sulla fiducia di clienti e investitori, (a maggior ragione se la società è quotata in borsa), accompagnati dall’onere di gestire complessi adempimenti legali richiesti dal GDPR, che richiede la notifica al Garante per la protezione dei dati personali entro 72 ore dall’evento seguita da una fitta cooperazione con l’autorità in cui giocare a carte scoperte diventa una necessità per non aggravare il conto delle salatissime sanzioni previste dal Regolamento UE sulla protezione dei dati personali, che possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuo.
Senza pensare che nei casi più gravi vi è anche l’obbligo di darne tempestivamente comunicazione ai diretti interessati coinvolti dalla violazione della loro privacy, con il probabile effetto boomerang che la notizia si diffonda sui giornali provocando una gogna mediatica con conseguenze non del tutto prevedibili che possono causare perdite di clienti e calo del fatturato.
Se purtroppo il nostro tessuto imprenditoriale fatica ancora a vedere la protezione dei dati come un investimento per proteggere i dati come un vero e proprio asset aziendale, (e a conferma di ciò un sondaggio dell’Osservatorio di Fedeprivacy ha rivelato che il 78% delle imprese considera ancora il GDPR come un mero fardello burocratico), ancor peggio è constatare come purtroppo le imprese italiane non imparino la lezione neanche dopo averne pagate le conseguenze.
Fonte: Federprivacy (di Nicola Bernardi - Fonte: Economy Magazine)
Altri articoli
