La domanda che si stanno facendo molti imprenditori in questi ultimi mesi in cui si trovati di fronte al bivio se procedere o meno con l’adeguamento al GDPR è: quanto può costare adeguare l’azienda al GDPR? Prima però di chiedersi quanto potrebbe costare adeguarsi al GDPR sarebbe meglio domandarsi quanto potrebbe costare non adeguarsi al GDPR! Vediamo attraverso l’esempio di un caso di data breach, quali costi una PMI dovrebbe affrontare nell’eventualità di questo rischio di cyber security.
Indice degli argomenti
Il pericolo di un data breach
Partiamo con l’analizzare i costi di un possibile data breach, ovvero un evento volontario o involontario che può comportare una violazione a livello di riservatezza, integrità e disponibilità dei dati. Innanzitutto, quanto è probabile che accada un data breach in una PMI? Premettendo che, negli ultimi anni, abbiamo assistito ad un’impennata impressionante dei casi di data breach, anche ai danni di piccole e medie aziende, la probabilità che ciò avvenga è molto più alta di quanto si pensi.
Questo è dovuto al fatto che, partendo da una convinzione diffusa che le vittime preferite dagli hacker siano le grandi multinazionali o le banche piuttosto che enti governativi e Università, le piccole e medie aziende non si sono mai preoccupate di proteggere adeguatamente i propri sistemi informativi e, in particolare, di introdurre una “cultura della sicurezza” in azienda.
Recenti studi dimostrano che sono sempre di più le aziende, medie e piccole, vittime di cyber attacchi e la causa principale è la scarsa preparazione e carenza di consapevolezza del personale interno sui rischi informatici. Secondo il CheckPoint Security Report 2018, l’82% delle aziende ha subito un attacco di phishing l’anno scorso. Quando la possibile minaccia proviene dall’interno non c’è firewall che tenga. A questo punto che sappiamo quanto può essere probabile un data breach cerchiamo di capire quanto potrebbe valere una perdita di dati facendo il caso di una PMI di piccola/media dimensione.
I possibili costi di un data breach
Quanto può costare un data breach ad una PMI? Per procedere ad un ipotetico calcolo dobbiamo prima farci un’idea delle possibili voci di spesa che possono concorrere e, per fare ciò, partiremo ovviamente dalle sanzioni previste nel nuovo Regolamento Europeo 2016/679 o GDPR.
Le sanzioni GDPR in caso di inadempienze per le aziende private sono:
- fino a 20 milioni di euro o fino al 4% del fatturato complessivo mondiale (Si applica la risultante più alta delle due),
- più eventuali sanzioni penali previste dalla normativa del paese membro, in Italia il D.lgs. 196/2003+D.lgs. 101/2018, che prevedono pene fino a 5 anni di reclusione,
- più eventuali risarcimenti che potrebbero essere richiesti dagli interessati vittime delle violazioni in caso di danni materiali e/o immateriali (danni d’immagine, di salute, economici ecc.).
Una violazione della sicurezza che comportasse una perdita o una indisponibilità grave di dati non espone solamente a sanzioni, ma può essere devastante anche in una piccola azienda. Alcuni di questi fattori sono difficilmente quantificabili come, ad esempio, la perdita d’immagine, i cui effetti possono manifestarsi anche dopo diverso tempo. In ogni caso proveremo di seguito, tramite un semplice esercizio, a dare un valore a quanto detto.
Calcolo dei costi del data breach in una PMI
Metodo analitico
Facciamo l’esempio di un’azienda manufatturiera che fattura 10 milioni di euro, che non si è adeguata al GDPR e non dispone di un piano di Disaster Recovery.
Ipotizziamo lo scenario peggiore e mettiamo il caso che l’azienda in questione subisca un attacco hacker tipo ransomware cryptolocker o Petya/NotPetya (i più frequenti in Italia), in seguito al quale tutti i dati residenti nei server aziendali siano irrecuperabili compresi i backup di rete.
- Ricordando che, teoricamente, può essere applicata una sanzione fino a 20 milioni di euro, ipotizziamo che venga applicata una sanzione calcolata sul 4% sul fatturato:
Sanzione: 400.000 euro
- Ipotizziamo il caso che si perdano gli ultimi 4 anni di dati gestionali e siano necessari 6 mesi di due impiegati per ricostruire i dati, con un costo medio mensile circa di 6.000 euro:
Reinserimento dati: 36.000 euro
- Pensiamo anche ad una perdita in produttività, immagine aziendale e fatturato nei mesi successivi al data breach ipotizzando, ottimisticamente, un calo del fatturato dell’1%:
Danni d’immagine, fatturato, calo di produttività: 100.000 euro
Possiamo a questo punto concludere che il danno monetario causato da una violazione dati per un’azienda che fattura 10 milioni di euro potrebbe valere oltre 500.000 euro. Teniamo conto che la perdita d’immagine sul mercato e fattori più nascosti come lo stress generato, possono causare danni difficilmente calcolabili se non a lungo termine. Non dimentichiamoci, inoltre, le possibili implicazioni penali, nonché le eventuali richieste di risarcimenti da parte degli interessati per i danni morali e materiali causati.
Metodo empirico
Un altro modo per calcolare il costo di un data breach potrebbe essere quello di basarsi su rilevamenti statistici e studi in materia. Da uno studio condotto dal Ponemon Institute nel 2017 (Cost of Data Breach Study – Italy), su 11 aziende italiane che hanno subito un data breach è emerso che il costo medio per ogni record violato contenente informazioni sensibili e/o vitali per l’azienda è passato da 112 euro nel 2016 a 119 euro nel 2017. Il costo totale medio delle violazioni dei dati è aumentato nel corso dell’anno da 2,35 milioni di euro a 2,60 milioni di euro. Questo studio, essendo stato condotto nel 2017, non tiene conto delle sanzioni GDPR, ma può comunque essere utile come parametro per un calcolo approssimativo in base alla quantità dei record persi.
Un altro studio condotto da CISCO nel 2018 dice che il 62% degli attacchi in Italia ha prodotto un danno superiore agli 80.000 euro.
Sarà sicuramente interessante vedere come evolveranno questi dati in base agli studi che verranno condotti sul 2019 e terranno conto anche dei costi sanzionatori.
Conclusione
Se qualcuno si aspettava da questo articolo la formula per calcolare una GDPR compliance sarà rimasto sicuramente deluso, ma sarebbe troppo difficile se non impossibile da calcolare a priori senza elementi oggettivi. Ipotizzare dei costi per un data breach è relativamente più semplice in quanto si parte da voci di spesa più definite, come ad esempio le sanzioni.
In definitiva, se state ancora valutando che cosa fare in merito alla possibilità di rendere “compliance” la vostra azienda al GDPR, pensate che, per quanto vi possa sembrare alto il costo di un progetto di adeguamento, niente può restituirvi i vostri dati e, nei modelli di business “data driven” come quelli attuali, perdere i dati significa guai seri.
