Il termine hackonomics sintetizza un fenomeno che nel 2025 ha raggiunto dimensioni senza precedenti: il cybercrime ha assunto i tratti di una vera e propria economia parallela.

Secondo quanto spiegato da Lina Novetti, responsabile della divisione Cyber Security Awareness di Shot, durante il podcast Pillole di Cybersicurezza, il costo globale degli attacchi informatici raggiungerà entro fine anno i 10.000 miliardi di dollari annui.

Un dato impressionante che, se il cybercrime fosse considerato un Paese, lo collocherebbe al terzo posto della classifica mondiale dopo Stati Uniti e Cina.

La logica criminale segue modelli tipicamente aziendali, con gruppi organizzati che pianificano, gestiscono e monetizzano gli attacchi con la stessa professionalità di una corporation. Gli episodi analizzati nella puntata mostrano come i settori più diversi – dalla finanza al retail, dalla sanità al lusso fino all’energia – siano ormai parte integrante di questa “economia degli attacchi”.

Il settore finanziario: il costo più alto per violazione

Un primo esempio riguarda l’attacco al gruppo bancario iraniano Bank Sepah, colpito nel marzo 2025 dagli hacker denominati Codebreakers. La violazione ha portato al furto di 42 milioni di record clienti, pari a circa 12 terabyte di dati, e alla richiesta di un riscatto di 42 milioni di dollari in Bitcoin.

Secondo quanto riportato da Novetti, le perdite complessive hanno superato i 420 milioni di dollari, considerando le interruzioni operative, i costi legali e i danni reputazionali.

La stessa relatrice ha ricordato che per il settore bancario gli analisti raccomandano un budget medio di cyber security pari al 12% del fatturato, che nel caso di Bank Sepah avrebbe significato circa 600 milioni di dollari annui. Ogni dollaro investito avrebbe potuto ridurre sensibilmente le conseguenze. Non a caso, il comparto finanziario registra il costo medio più alto per violazione: 6,8 milioni di dollari.

Retail: vulnerabilità lungo la catena di fornitura

Un altro fronte caldo riguarda il settore retail, con l’attacco che ha coinvolto Marks & Spencer durante il weekend di Pasqua 2025. Gli autori, appartenenti al gruppo Scattered Spider, hanno sfruttato una vulnerabilità all’interno di un fornitore IT, riuscendo a compromettere le operazioni online dell’azienda per 46 giorni consecutivi. Le perdite sono state stimate in 450 milioni di dollari.

In questo caso, il budget di cyber security consigliato si aggira intorno al 6% del fatturato, pari a 900 milioni di dollari annui per un’azienda come Marks & Spencer.

Secondo Novetti, un investimento adeguato avrebbe potuto garantire barriere difensive proporzionate al rischio. L’episodio dimostra la rilevanza del fattore supply chain: una falla in un anello può compromettere l’intero sistema operativo e commerciale.

Sanità: il caso italiano di SynLab

L’episodio italiano citato nel podcast riguarda SynLab Italia, colpita nell’aprile 2025 da un attacco ransomware orchestrato dal gruppo Black Basta. I criminali hanno avuto 73 giorni di permanenza silente nei sistemi informatici, durante i quali hanno esfiltrato 1,5 terabyte di dati medici e bloccato 380 centri diagnostici. L’attacco ha interrotto oltre 35 milioni di analisi annuali.

Secondo Novetti, la società ha rifiutato di pagare il riscatto e ha collaborato pienamente con le autorità, ma il ripristino è costato oltre 12 milioni di euro e ha richiesto 45 giorni di lavoro incessante.

La relatrice ha sottolineato come basterebbe allocare in prevenzione anche solo il 10-15% di quella cifra, meno di 2 milioni di euro, per implementare sistemi di detection avanzati e simulazioni di incident response. In questo modo SynLab avrebbe risparmiato almeno l’80% dei danni subiti (anche reputazionali).

Lusso e attacchi multipaese

Il settore del lusso non è immune. Louis Vuitton ha subito attacchi coordinati in Turchia, Corea del Sud e Regno Unito, con l’esposizione di oltre 142.000 clienti solo in Turchia. Le perdite, stimate in 75 milioni di dollari, hanno incluso i costi di notifica, il monitoraggio del credito e i danni reputazionali nei mercati strategici.

Questo caso, citato da Novetti nel podcast, mette in evidenza l’amplificazione dell’impatto quando un attacco si sviluppa in più Paesi contemporaneamente: la gestione della crisi richiede strategie di protezione globalmente coordinate e non solo locali.

Energia e infrastrutture critiche

L’ultimo esempio riguarda le utilities. Nova Scotia Power, azienda energetica, è stata vittima di un ransomware che ha compromesso i sistemi di fatturazione. Per settimane il personale è stato costretto a effettuare letture manuali dei contatori, con un danno economico di 120 milioni di dollari.

Secondo la stima riportata da Novetti, con un investimento in cybersecurity pari al 10% del fatturato, ovvero circa 250 milioni di dollari, l’azienda avrebbe potuto implementare le difese necessarie a proteggere un’infrastruttura critica di tale rilevanza.

I numeri complessivi dell’hackonomics

I cinque casi raccontati nella puntata totalizzano 1,2 miliardi di dollari di danni e coinvolgono oltre 43 milioni di persone. Non solo: le ricerche citate da Novetti mostrano che le organizzazioni dotate di sistemi automatizzati basati su intelligenza artificiale risparmiano in media 2,2 milioni di dollari per incidente, mentre quelle con team dedicati riducono i costi di 1,76 milioni per violazione.

Il quadro per le PMI italiane è ancora più preoccupante: una su due rischia perdite superiori a 35.000 euro per attacco, a fronte di un budget medio annuo destinato alla cybersicurezza inferiore ai 5.000 euro, meno dell’1% delle spese aziendali. Le linee guida indicano invece una soglia minima compresa tra il 3% e il 5% del fatturato, che per una PMI con 50 dipendenti corrisponde a 15.000-25.000 euro annui.

Secondo i dati condivisi da Novetti, un attacco grave può generare danni fino a dieci volte superiori al costo della prevenzione. Il ritorno stimato è di 3,5 euro per ogni euro speso in misure di protezione.

Oltre i costi diretti: reputazione e fiducia

Gli effetti dell’hackonomics non si limitano al bilancio economico. Marks & Spencer ha registrato una fuga di clienti verso i concorrenti durante i 46 giorni di blackout. Nova Scotia Power ha messo in difficoltà centinaia di migliaia di cittadini rimasti senza servizi digitali. Bank Sepah ha minato la fiducia in un sistema bancario già fragile.

A rendere la situazione ancora più critica è il dato sul tempo medio di contenimento di una violazione, stimato in 258 giorni, con costi di downtime che per le infrastrutture critiche raggiungono i 300.000 dollari all’ora.

Come sottolineato da Lina Novetti nel podcast: «La cybersecurity non è più un centro di costo, ma un investimento strategico per proteggere la continuità aziendale».