Il ROI della sensibilizzazione alla cybersecurity si calcola con una formula semplice: (rischio evitato meno costo della soluzione) diviso per il costo della soluzione, moltiplicato per 100. Per una PMI di 75 dipendenti, questo calcolo produce tipicamente un ROI superiore al 2.000% in 12 mesi. Questa guida fornisce la formula completa, tre esempi concreti per dimensione aziendale, i 5 argomenti che convincono un CFO e un modello di business case pronto per il vostro management.
Il costo medio di una violazione dei dati ha raggiunto 4,88 milioni di dollari nel 2025 (IBM Cost of a Data Breach). Il costo di una piattaforma di sensibilizzazione al phishing: tra 2 e 5 euro per dipendente al mese. L'equazione dovrebbe essere semplice. Eppure, nella maggior parte delle PMI, il budget per la cybersecurity rimane una delle voci più difficili da far approvare.
Il problema non è tecnico — è un problema di comunicazione. Il CISO sa che la sensibilizzazione è necessaria. Ma il CFO vede un centro di costo. Il CEO vuole dei numeri. Il consiglio di amministrazione vuole un ROI. Senza un framework di calcolo chiaro, la cybersecurity viene rimessa indietro rispetto al CRM, al marketing, ai nuovi macchinari.
Qual è il costo reale di un attacco phishing per una PMI?
Prima di parlare di ROI, è necessario stabilire il costo reale di ciò da cui ci si protegge. Le cifre globali sono impressionanti, ma per convincere il vostro management contano i numeri riadattati alla vostra dimensione aziendale.
Cifre di riferimento
Secondo l'IBM Cost of a Data Breach Report 2025, il costo medio globale di una violazione dei dati ammonta a 4,88 milioni di dollari. Ma questa media aggrega aziende di tutte le dimensioni, comprese le grandi multinazionali. Per una PMI italiana, gli importi sono diversi — ma rimangono considerevoli.
L'Hiscox Cyber Readiness Report 2025 fornisce dati più vicini alla realtà delle PMI:
| Dimensione aziendale | Costo mediano dell'incidente | Costo massimo osservato |
|---|---|---|
| 10–49 dipendenti | Da 15.000 € a 50.000 € | 200.000 € |
| 50–249 dipendenti | Da 50.000 € a 250.000 € | 800.000 € |
| 250–500 dipendenti | Da 150.000 € a 500.000 € | 2.000.000 € |
Questi dati sono confermati dall'ENISA: il 60% delle PMI vittime di un grave attacco informatico cessano l'attività entro 6 mesi.
Come si suddividono i costi di un incidente?
Secondo IBM, i costi di una violazione dei dati si suddividono in quattro categorie:
- Rilevamento ed escalation (30%): identificazione dell'incidente, indagine forense, audit, gestione della crisi. Per una PMI senza un SOC interno, questo significa tipicamente ricorrere a fornitori esterni a tariffe d'emergenza.
- Contenimento e rimedio (25%): isolamento dei sistemi compromessi, eliminazione della minaccia, ripristino dei dati, correzione delle vulnerabilità sfruttate.
- Notifica (15%): informazione degli interessati (obbligo GDPR), notifica al Garante Privacy, comunicazione di crisi, consulenza legale. Con NIS2, si aggiunge la notifica all'autorità competente entro 24 ore.
- Perdita di business (30%): interruzione dell'attività, perdita di clienti, danno reputazionale, penali contrattuali. Questa è spesso la voce più sottovalutata.
I costi nascosti che nessuno quantifica
Oltre ai costi diretti, un incidente di phishing genera conseguenze finanziarie che persistono ben oltre la risoluzione tecnica:
- Aumento del premio assicurativo cyber: le compagnie assicurative rivalutano sistematicamente il rischio dopo un sinistro. Aspettatevi un aumento dal 30 all'80% a seconda della gravità.
- Perdita di contratti: sempre più clienti richiedono garanzie di cybersecurity nei loro capitolati d'appalto. Un incidente documentato vi squalifica.
- Costo umano: stress, straordinari, turnover del team IT. Il Ponemon Institute stima che il 25% del costo totale di un incidente sia legato alla perdita di produttività.
- Sanzioni normative: GDPR (fino al 4% del fatturato) e ora NIS2 (fino a 10 milioni di euro). Queste sanzioni si sommano ai costi di rimedio.
Due esempi concreti
PMI industriale, 200 dipendenti. Truffa CEO: un contabile riceve un'email che si spaccia per l'amministratore delegato e richiede un bonifico urgente di 320.000 € a un fornitore estero. Il bonifico viene effettuato. La frode viene scoperta 48 ore dopo. La banca non riesce a stornare il bonifico. Perdita netta: 320.000 € più 45.000 € in spese legali e investigative.
Studio commercialista, 80 dipendenti. Ransomware via phishing: un dipendente apre un allegato malevolo. Il ransomware si diffonde su tutta la rete in 4 ore. Riscatto richiesto: 150.000 €. Lo studio si rifiuta di pagare. Risultato: 3 settimane di quasi completa interruzione, ripristino parziale dei dati da backup incompleti, perdita definitiva di determinati fascicoli cliente. Costo totale stimato: 280.000 €.
Qual è la formula di calcolo del ROI?
Il ROI della sensibilizzazione alla cybersecurity si calcola come qualsiasi ROI: confrontando il beneficio ottenuto (rischio evitato) con il costo dell'investimento.
La formula:
ROI = (Rischio evitato − Costo della soluzione) / Costo della soluzione × 100
Il rischio evitato si calcola come segue:
Rischio evitato = Probabilità dell'incidente × Costo medio × Riduzione del rischio
Le variabili:
- Probabilità di un incidente phishing all'anno: circa il 30% delle PMI subisce almeno un incidente informatico all'anno secondo l'Hiscox Cyber Readiness Report 2025. Senza un programma di sensibilizzazione, questo tasso sale al 40–45%.
- Costo medio dell'incidente: adattato alla vostra dimensione aziendale (vedi tabella sopra).
- Riduzione del rischio grazie alla formazione: secondo i dati di benchmarking (KnowBe4, Phishing by Industry Benchmarking Report 2024), le aziende che implementano simulazioni di phishing regolari vedono il loro click rate scendere da circa il 33% a meno del 5% in 12 mesi.
Perché queste cifre sono conservative
Il calcolo sopra tiene conto di un solo tipo di beneficio: la riduzione del rischio di incidente. In realtà, la formazione di sensibilizzazione genera ulteriori ritorni:
- Conformità NIS2: la formazione e le simulazioni soddisfano direttamente gli obblighi degli articoli 21.2.f e 21.2.g. Senza di esse, si rischia una sanzione fino a 10 milioni di euro.
- Riduzione del premio assicurativo: diversi assicuratori offrono sconti dal 10 al 25% alle aziende che dimostrano un programma di sensibilizzazione attivo.
- Vantaggio commerciale: la documentazione del programma di sensibilizzazione rafforza la vostra posizione negli audit dei clienti e nelle certificazioni (SOC 2, ISO 27001).
Esempi concreti per dimensione aziendale
Applichiamo la formula a tre profili aziendali concreti, utilizzando la reale griglia tariffaria di NovaShield: gratuito fino a 50 dipendenti (Freemium), poi da 59 €/mese. Consultate la pagina prezzi di NovaShield per la griglia aggiornata prima di presentare queste cifre al vostro management.
PMI di 75 dipendenti
| Variabile | Valore | Fonte |
|---|---|---|
| Probabilità incidente/anno | 25% | Hiscox 2025 (PMI < 100) |
| Costo medio incidente | 80.000 € | Mediana Hiscox 2025 |
| Rischio annuo non trattato | 20.000 € | 25% × 80.000 € |
| Costo piattaforma | 708 €/anno | NovaShield Pro, 59 €/mese (fascia 51–150 dipendenti) |
| Riduzione del rischio | 75% | Proofpoint 2025 |
| Rischio residuo | 5.000 € | 20.000 € × 25% |
| Rischio evitato | 15.000 € | 20.000 € − 5.000 € |
| ROI | circa 2.020% | (15.000 − 708) / 708 × 100 |
PMI di 200 dipendenti
| Variabile | Valore | Fonte |
|---|---|---|
| Probabilità incidente/anno | 35% | Hiscox 2025 (PMI 100–250) |
| Costo medio incidente | 250.000 € | Mediana Hiscox 2025 |
| Rischio annuo non trattato | 87.500 € | 35% × 250.000 € |
| Costo piattaforma | 1.548 €/anno | NovaShield Pro, 129 €/mese (fascia 151–300 dipendenti) |
| Riduzione del rischio | 75% | Proofpoint 2025 |
| Rischio residuo | 21.875 € | 87.500 € × 25% |
| Rischio evitato | 65.625 € | 87.500 € − 21.875 € |
| ROI | circa 4.140% | (65.625 − 1.548) / 1.548 × 100 |
Azienda media di 500 dipendenti
| Variabile | Valore | Fonte |
|---|---|---|
| Probabilità incidente/anno | 45% | Hiscox 2025 (media impresa 250–500) |
| Costo medio incidente | 500.000 € | Mediana Hiscox 2025 |
| Rischio annuo non trattato | 225.000 € | 45% × 500.000 € |
| Costo piattaforma | 2.748 €/anno | NovaShield Pro, 229 €/mese (fascia 301–500 dipendenti) |
| Riduzione del rischio | 75% | Proofpoint 2025 |
| Rischio residuo | 56.250 € | 225.000 € × 25% |
| Rischio evitato | 168.750 € | 225.000 € − 56.250 € |
| ROI | circa 6.040% | (168.750 − 2.748) / 2.748 × 100 |
Avviate una simulazione e misurate il click rate reale del vostro team.
I 5 argomenti che convincono un CFO
1. L'argomento normativo
"La direttiva NIS2 ci impone di formare i dipendenti e di testare regolarmente l'efficacia delle nostre misure di cybersecurity. Non è facoltativo. Il costo della non conformità può raggiungere 10 milioni di euro o il 2% del fatturato mondiale. E i dirigenti sono personalmente responsabili."
2. L'argomento assicurativo
"Il nostro assicuratore cyber richiede ora prove di formazione di sensibilizzazione per mantenere la nostra copertura. Senza un programma documentato, il nostro premio aumenta dal 30 al 50%."
3. L'argomento commerciale
"I nostri clienti chiedono garanzie di cybersecurity. I questionari di sicurezza per i fornitori includono sistematicamente domande sulla sensibilizzazione dei dipendenti. Senza un programma documentato, perdiamo contratti o non superiamo la fase di prequalifica."
4. L'argomento del benchmark
"Il click rate medio sulle email di phishing nel nostro settore è del 18%. Non abbiamo mai misurato il nostro. Questo significa che non sappiamo se 1 su 5 o 1 su 3 dei nostri dipendenti clicherebbe su un'email malevola. Il rischio non misurato è rischio non gestito."
5. L'argomento del costo opportunità
"Una piattaforma di sensibilizzazione costa circa 2 euro per dipendente al mese. Meno di un caffè a persona. Il costo medio di un singolo incidente phishing per un'azienda della nostra dimensione è di 80.000 €."
Come costruire un business case per il management
Slide 1–2: Contesto e minacce
- Oltre l'80% delle violazioni implica un fattore umano (Verizon DBIR)
- NIS2 impone formazione e test: rientrate nell'ambito di applicazione
- Costo medio di un incidente per la vostra dimensione: [X] € (fonte Hiscox)
Slide 3: Situazione attuale
- Nessuna simulazione di phishing in atto
- Formazione annuale solo tramite PowerPoint
- Click rate sconosciuto = rischio non misurato
Slide 4–5: Soluzione e ROI
- Piattaforma di simulazione, formazione e verifica AI delle email
- Costo annuale: [X] € (vedere prezzi NovaShield)
- Rischio annuo evitato: [X] €
- ROI: [X]% in 12 mesi
Slide 6: Raccomandazione
"Raccomandiamo di avviare una prova gratuita per misurare il nostro click rate reale. Questo test non costa nulla e ci fornirà i dati necessari per una decisione informata."
Iniziate la vostra prova gratuita di 14 giorni.
Quali metriche presentare al management ogni trimestre?
- Click rate: percentuale di dipendenti che cliccano su un link di phishing simulato. Tendenza attesa: dal 15–25% (baseline) a meno del 5% in 6 mesi.
- Tasso di segnalazione: percentuale di dipendenti che segnalano l'email sospetta anziché cliccare.
- Risk score per reparto: identificate i reparti più vulnerabili (spesso contabilità, HR, direzione).
- Formazioni completate: prova documentata per la conformità all'articolo 21.2.g di NIS2.
- Benchmark di settore: confrontate i vostri risultati con la media del settore.
- ROI cumulato: rischio evitato cumulato vs costi cumulati della piattaforma.
Scoprite le funzionalità analytics di NovaShield per un dashboard automatizzato.
Domande frequenti
Come si calcola il costo di un incidente phishing per la mia PMI?
Prendete il numero di dipendenti, moltiplicate per 1.000 € (stima bassa del costo per dipendente impattato secondo il Ponemon Institute) e aggiungete i costi fissi di rimedio (da 15.000 a 50.000 €). Per una PMI di 100 dipendenti, si ottiene una stima da 115.000 a 150.000 €.
Gli assicuratori offrono sconti per le simulazioni di phishing?
Sì, sempre di più. Molti assicuratori cyber integrano la sensibilizzazione dei dipendenti nei loro criteri di pricing. Alcuni offrono sconti espliciti dal 10 al 25% sul premio.
Quanto tempo ci vuole per vedere un ROI positivo?
Il ROI è tecnicamente positivo dal primo mese. I primi miglioramenti misurabili sono visibili dal secondo mese. Una riduzione del 50% del click rate si ottiene tipicamente in 3-4 mesi.
Il caso per il ROI è dimostrato — misuratelo ora nella vostra azienda
Il ROI della sensibilizzazione alla cybersecurity è tra i più elevati di tutti gli investimenti in sicurezza IT. Gli argomenti per convincere il vostro management sono completi: il ROI supera spesso il 1.000% anche nello scenario conservativo, NIS2 rende la formazione obbligatoria con responsabilità personale dei dirigenti, e sia gli assicuratori che i clienti richiedono prove di sensibilizzazione. Leggete la nostra guida alla scelta di una soluzione di sensibilizzazione al phishing e lanciate la vostra prima campagna in 15 minuti.
Fonti
- IBM, Cost of a Data Breach Report 2025.
- Hiscox Cyber Readiness Report 2025.
- ENISA.
- Ponemon Institute.
- Verizon Data Breach Investigations Report.
- ANSSI.
- KnowBe4, Phishing by Industry Benchmarking Report 2024.

