Negli Stati Uniti un data breach costa ormai in media 10,22 milioni di dollari, ma il dato economico racconta solo una parte del problema. Il punto più rilevante è ciò che quella cifra dice sul modo in cui le organizzazioni gestiscono il rischio cyber: non più una questione confinata ai team tecnici, ma un tema di controllo, responsabilità e capacità decisionale ai massimi livelli aziendali.
Le ricerche più recenti di IBM indicano che il costo medio di una violazione negli Stati Uniti è il più alto tra tutte le regioni analizzate. In parallelo, i dati del FBI continuano a segnalare centinaia di migliaia di denunce di cybercrime ogni anno, con perdite misurate in decine di miliardi. A crescere è anche la visibilità formale degli incidenti: un sondaggio del 2025 indica che il 76% delle imprese ha segnalato alle autorità una violazione, o una possibile violazione.
La traiettoria è chiara: gli incidenti cyber diventano più costosi, più visibili e più difficili da contenere. Per i consigli di amministrazione, la domanda non è più soltanto se l’azienda abbia strumenti di sicurezza adeguati, ma se possa dimostrare di avere governance, processi e responsabilità definiti prima che una crisi imponga quella verifica dall’esterno.
Il peso finanziario di un breach dipende anche dal tempo in cui l’organizzazione resta esposta. In media servono 241 giorni per identificare e contenere una violazione: un ciclo lungo, nel quale interruzioni operative, obblighi regolatori, impatto sui clienti e danno reputazionale tendono ad accumularsi. Due aziende possono subire attacchi simili, ma produrre esiti molto diversi se una rileva internamente l’incidente e reagisce in modo ordinato, mentre l’altra lo scopre solo quando l’attaccante, un cliente, un partner o un regolatore porta il problema allo scoperto.
L’esposizione non è uniforme. Settori come sanità, servizi finanziari e tecnologia restano più vulnerabili per volume e sensibilità dei dati trattati. Nel caso sanitario, le violazioni continuano a essere tra le più costose, anche per tempi di ripristino prolungati e maggiore scrutinio regolatorio. Ma alcune delle minacce più complesse emergono ormai fuori dai bersagli più ovvi: la compromissione della supply chain è tra i vettori più onerosi, perché una debolezza in un sistema di terze parti può produrre effetti su più imprese.
Anche il phishing resta una porta d’ingresso persistente. Gli attacchi diventano più mirati, più credibili e più difficili da rilevare su larga scala, soprattutto quando manca visibilità su persone, processi e accessi di terze parti. In questo quadro, l’esposizione cyber finisce per riflettere il modo in cui l’organizzazione è costruita, governata e controllata, non solo la qualità dei suoi strumenti di difesa.
L’AI sta modificando entrambi i lati dell’equazione. Per gli attaccanti rende più efficaci tecniche già note: circa il 16% delle violazioni coinvolge oggi l’uso dell’intelligenza artificiale, soprattutto per potenziare phishing e social engineering. Per le imprese, il rischio è anche interno: gli strumenti AI vengono adottati rapidamente per aumentare produttività e velocità decisionale, ma spesso l’adozione corre più della supervisione. Il report evidenzia che il 63% delle aziende non ha ancora policy formali di governance AI e che, quando avvengono breach legati all’AI, nella maggior parte dei casi sono coinvolti sistemi privi di adeguati controlli di accesso.
La risposta più solida passa quindi da un lavoro precedente all’incidente: sapere dove risiedono i rischi, chi li possiede, come si attiva l’escalation e come avviene il recupero. Framework riconosciuti come ISO 27001 diventano più rilevanti perché impongono un approccio sistematico a rischio, governance e responsabilità. La posta è operativa e commerciale: circa l’86% delle organizzazioni colpite segnala interruzioni operative dopo un breach, con effetti su ricavi, servizi e fiducia dei clienti. Per chi può dimostrare buone pratiche, la governance diventa un vantaggio competitivo; per chi non può farlo, il breach rischia di trasformarsi in una crisi di business.