Il costo reale di non investire in sicurezza informatica
Prima di parlare di quanto spendere in sicurezza informatica, occorre capire quanto costa non spenderci. I dati del IBM Cost of a Data Breach Report 2025 indicano che il costo medio di una violazione di dati per le organizzazioni con meno di 500 dipendenti è di 3,31 milioni di dollari, inclusi ripristino sistemi, notifiche obbligatorie, costi legali, perdita di clienti e danno reputazionale.
In Italia, i numeri sono più contenuti ma comunque significativi: secondo il Rapporto Clusit 2025, le PMI italiane vittime di ransomware affrontano in media 21 giorni di downtime operativo e costi di ripristino tra 50.000 e 200.000 € a seconda della dimensione e del livello di backup disponibile. A questo si aggiungono le sanzioni: il D.Lgs. 138/2024 (recepimento NIS2) prevede fino a 10 milioni di euro o il 2% del fatturato globale per le organizzazioni obbligate che non abbiano adottato misure adeguate.
Il calcolo è semplice: investire 15.000-40.000 € all'anno in sicurezza informatica è molto meno rischioso che affrontare un singolo incidente da 100.000 € o più.
Benchmark di spesa: quanto investe una PMI media
Il riferimento internazionale più citato è il Gartner IT Budget Report, che indica le PMI dovrebbero destinare il 6-15% del budget IT totale alla sicurezza. In termini assoluti, per il contesto italiano:
| Dimensione PMI | Dipendenti | Budget sicurezza indicativo/anno | Costo per dipendente |
|---|---|---|---|
| Micro | 5-15 | 5.000–15.000 € | 600–1.200 € |
| Piccola | 15-50 | 15.000–40.000 € | 400–900 € |
| Media | 50-250 | 40.000–150.000 € | 300–700 € |
Questi valori includono sia prodotti (licenze software, hardware) che servizi (MDR, vulnerability management, consulenza). Le aziende soggette a normative specifiche (NIS2, ISO 27001, settore finanziario) si posizionano nella fascia alta o oltre.
Il dato "% del budget IT" è utile per benchmark ma fuorviante in pratica: molte PMI italiane hanno budget IT molto bassi (un unico sistemista esterno + licenze Office 365). Meglio ragionare in termini di rischio: quali asset critici ho, quanto valgono, quanto costerebbe un'interruzione di 2 settimane?
Le principali voci di costo della sicurezza informatica PMI
Endpoint Security (EDR/XDR)
La protezione degli endpoint — PC, laptop, server — è il primo livello di difesa. Le soluzioni EDR (Endpoint Detection and Response) di livello enterprise costano tipicamente 8-20 € per endpoint al mese, incluso il servizio gestito. Per una PMI con 30 endpoint, significa 2.880-7.200 €/anno. Il semplice antivirus non è più sufficiente: i ransomware moderni eludono le signature-based detection nel 70% dei casi.
MDR / SOC as a Service
Un servizio MDR (Managed Detection & Response) include monitoraggio 24/7, threat intelligence, incident response e spesso la gestione degli endpoint. È l'investimento più efficiente per le PMI: copre la maggior parte dei rischi senza richiedere un team interno. I costi nel mercato italiano vanno da 500 a 2.500 €/mese in base al numero di endpoint, log sorgenti e SLA di risposta.
Backup e Disaster Recovery
Il backup è l'ultima linea di difesa contro il ransomware. Una soluzione adeguata segue la regola 3-2-1: 3 copie, 2 media diversi, 1 offsite. I costi di una soluzione cloud-first per 5 TB di dati critici si aggirano su 3.000-8.000 €/anno, incluso storage cloud, licenza software di backup e test di ripristino trimestrale.
Email Security
Il 91% degli attacchi inizia con una email (Proofpoint, 2025). Le soluzioni di sicurezza email avanzate (anti-phishing, sandboxing degli allegati, protezione BEC) costano 5-15 € per utente al mese, ovvero 3.600-10.800 €/anno per 50 utenti.
Penetration Test annuale
Un penetration test esterno con report completo va da 3.000 a 10.000 € per una PMI, in base alla complessità dell'infrastruttura. L'ISO 27001 e la NIS2 lo richiedono come misura tecnica periodica. Ammortizzato su 12 mesi, il costo è del tutto compatibile con budget ridotti.
Compliance (NIS2, ISO 27001)
Il percorso di conformità NIS2 per una PMI ha costi iniziali di gap assessment (5.000-15.000 €), implementazione delle misure mancanti (variabile) e audit annuale. L'ISO 27001 aggiunge i costi di certificazione (5.000-20.000 € per organismi accreditati). Ma la compliance riduce anche il rischio assicurativo: molte compagnie applicano premi più bassi alle aziende certificate.
Il modello as-a-service abbassa la barriera d'ingresso
Fino a pochi anni fa, costruire una postura di sicurezza adeguata richiedeva investimenti CapEx significativi: hardware per il SIEM, licenze enterprise pluriennali, un team di analisti. Oggi il modello as-a-service ha democratizzato l'accesso alle stesse tecnologie:
- MDR mensile invece di SIEM + analisti interni: risparmio dell'80-90% rispetto a un SOC interno
- EDR gestito invece di antivirus + supporto IT manuale: detection migliore, costo simile
- Backup cloud invece di nastri + NAS in sede: affidabilità maggiore, gestione zero
- Vulnerability management mensile invece di scanner one-shot: visibilità continua sulle esposizioni
Un pacchetto as-a-service completo per una PMI con 30-50 dipendenti — MDR + EDR + email security + backup + penetration test annuale — può costare tra 25.000 e 55.000 €/anno, ovvero 550-1.100 € per dipendente. Costruire lo stesso stack internamente costerebbe 3-5 volte di più.
ROI della sicurezza informatica: come misurarlo
Il calcolo del ROI della sicurezza è diverso da quello di qualsiasi altro investimento IT: non si misura in ricavi generati, ma in perdite evitate. Il metodo più usato è il ROSI (Return on Security Investment):
ROSI = (Perdita annua attesa × Riduzione del rischio) − Costo dell'investimento
Esempio pratico: una PMI manifatturiera con fatturato di 5 milioni €/anno ha una probabilità stimata del 15% di subire un attacco ransomware nell'anno. Il costo di un attacco (downtime 3 settimane, ripristino, perdita clienti) è stimato 120.000 €. La perdita annua attesa è 18.000 € (15% × 120.000 €). Un MDR a 12.000 €/anno riduce la probabilità di successo dell'attacco all'1-2%. ROSI = (18.000 × 0,87) − 12.000 = 3.660 €/anno di risparmio netto, più la riduzione del danno reputazionale e delle sanzioni normative.
Per giustificare il budget di sicurezza al consiglio di amministrazione, usa il linguaggio del rischio aziendale, non quello tecnico. "Riduciamo del 90% la probabilità di un evento che costerebbe 120.000 € di downtime" è molto più persuasivo di "implementiamo un EDR con capacità di behavioral detection".
Come costruire il budget: priorità per le PMI
Con risorse limitate, l'ordine di priorità degli investimenti dovrebbe seguire la riduzione del rischio per euro speso:
- Backup verificato e offsite — il singolo investimento con il ROI più alto. Senza backup, un ransomware è devastante. Con backup, è un problema gestibile.
- MFA su tutti gli accessi critici — email, VPN, pannelli di amministrazione. Il 61% delle violazioni sfrutta credenziali rubate: l'MFA blocca il 99,9% di questi attacchi.
- EDR su tutti gli endpoint — sostituisce l'antivirus tradizionale con detection comportamentale. Costo marginale, riduzione del rischio significativa.
- Email security avanzata — anti-phishing, sandboxing allegati. Blocca il vettore d'attacco principale.
- MDR/SOC esterno — quando i layer precedenti sono attivi, il monitoring 24/7 aggiunge la detection degli attacchi che bypassano i controlli perimetrali.
- Penetration test annuale — verifica periodica che le difese reggano a un attacco reale.
Domande frequenti
Quanto dovrebbe spendere una PMI per la sicurezza informatica?
Il benchmark indica il 6-15% del budget IT. Per una PMI italiana con 20-50 dipendenti equivale a 15.000-40.000 €/anno, o 300-800 €/dipendente/anno. Le aziende soggette a NIS2 o ISO 27001 tendono ad allocare valori più alti per soddisfare i requisiti di compliance.
Qual è il costo di un attacco informatico per una PMI?
L'IBM Cost of a Data Breach 2025 stima 3,3 milioni di dollari in media per le organizzazioni sotto i 500 dipendenti. In Italia, il downtime medio post-ransomware è di 21 giorni, con costi di ripristino tra 50.000 e 200.000 €. A questo si aggiungono sanzioni NIS2 fino a 10 milioni di euro.
È possibile ridurre i costi di cybersecurity senza abbassare la protezione?
Sì. Il modello as-a-service sostituisce investimenti CapEx con canoni OpEx prevedibili. Un MDR a 800 €/mese per 50 endpoint copre monitoring 24/7, threat intelligence e incident response: costruire lo stesso internamente richiederebbe almeno 2 analisti SOC a 50.000 €/anno ciascuno, più tecnologie.