È profondamente sbagliato pensare che una piccola impresa non possa essere soggetta ad un data breach. In tal senso basti considerare che sono sotto attacco quotidiano gli smartphone di tutti noi: di conseguenza i database di ogni piccola impresa sono obiettivi ben più appetibili per i ladri di dati o per chi chiunque decida di usare lo strumento informatico per commettere truffe o compiere grandi o piccole estorsioni. Sono considerazioni di buon senso, banali ma che, in ogni caso, dovrebbero essere alla base del pensiero di ogni imprenditore.

Purtroppo, non è così; sappiamo bene che nel mondo digitale di oggi, le piccole imprese si trovano sempre più esposte ai rischi dei cyber attacchi perpetrati direttamente sui server o cloud aziendali oppure tramite i device di dipendenti o collaboratori. Ognuno di questi attacchi, se portato a termine, rappresenta un data breach. Dalla perdita di dati alla loro criptazione a fini di ottenere un riscatto o il furto da parte di un dipendente infedele, sono tutte situazioni nelle quali un’azienda può essere coinvolta. Le conseguenze di un data Breach, non solo finanziarie, possono rivelarsi devastanti. 

Per approfondire > Cosa fare in caso di violazione dati personali (Data breach)?

Ma quanto costa realmente un Data Breach a una piccola impresa?

Il primo pensiero corre, ovviamente, alle salatissime sanzioni economiche emesse dal Garante per la Protezione dei dati personali. Un esborso non preventivato di dieci o ventimila euro potrebbe avere pesanti conseguenze sul bilancio di ogni impresa e, a questo costo, dobbiamo aggiungere quelli da sostenere in una istruttoria avanti all’autorità di vigilanza che si sostanziano in spese legali e ore di lavoro sottratte alla produttività e risorse impegnate nella ricerca di materiali, documenti, consensi e quant’altro necessario a predisporre la documentazione richiesta per potersi validamente difendere.

Ricordiamo, inoltre, che il Garante potrebbe imporre anche l’adozione di misure specifiche per garantire la sicurezza dei dati; misure che potrebbero anche incidere sulla struttura aziendale e l’organizzazione a livello non solo di costi, ma anche sulla predisposizione di nuove procedure e di una nuova organizzazione. Non stiamo parlando solo di antivirus e password, ma di un intero sistema fatto anche di lettere di incarico, consensi, regolamenti, informative. Ovviamente altre conseguenze possono derivare dalla perdita di dati, talvolta anche sensibili, quali quelli dei clienti ovvero della contabilità. Questi dati possono includere non solo informazioni personali ma anche numeri di carta di credito, informazioni finanziarie e altro ancora. La perdita di tali dati non solo danneggia la reputazione dell'azienda, ma anche la sua stessa esistenza sul mercato.

Un’ulteriore ripercussione può derivare dall’interruzione delle operazioni e dei cicli produttivi. Un Data Breach può infatti interrompere le attività aziendali per un periodo di tempo significativo. Inoltre, in base alla tipologia di attività bloccata, le conseguenze possono ripercuotersi anche su altri settori aziendali a cascata, con gli immaginabili effetti che ne possono discendere. Inoltre, oltre a quelli per il ripristino dei database, potrebbero essere necessari costi aggiuntivi per ripristinare i sistemi e riprendere le normali attività.

In ogni caso, sempre e comunque, dopo un Data Breach, è necessario condurre un'indagine forense per determinare l'entità del danno e identificare le vulnerabilità nel sistema. Questi servizi, difficilmente eseguibili con risorse interne, possono rivelarsi oltremodo onerosi e richiedere molto tempo. Inoltre, si devono aggiungere i costi associati al ripristino dei dati compromessi e al potenziamento della sicurezza per evitare futuri attacchi.

Non possiamo, infine, non aggiungere a questo già poco roseo quadro, una possibile perdita di clienti e reputazione. Questo è uno dei costi più difficili da quantificare. Dopo un Data Breach, molti clienti potrebbero scegliere di abbandonare l'azienda per timore di ulteriori violazioni della sicurezza. La reputazione danneggiata può rendere difficile per l'azienda attirare nuovi clienti e può richiedere sforzi significativi per ripristinare la fiducia perduta. Non dimentichiamo che oggi la Digital trust è uno dei core value di ogni impresa.

In conclusione, anche se è una apparente pleonastica ripetizione, è fondamentale che anche le piccole imprese prendano sul serio la sicurezza informatica e adottino misure proattive per proteggere i propri dati e i propri clienti. Investire nella sicurezza informatica può sembrare un costo iniziale, ma può aiutare a evitare costi molto più elevati associati a un Data Breach.