Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l’approfondimento

ROSI: ecco perché il ritorno sull’investimento cyber non è un esercizio universitario

Home Soluzioni aziendali
Partecipa al dibattito
Indirizzo copiato

Nella cyber security c’è un paradosso: il ROI è comodo, il ROSI sembra un incubo. Ma se fatto bene, il ritorno sull’investimento in sicurezza diventa un traduttore simultaneo tra linguaggio del rischio e linguaggio del business. Ecco perché

Pubblicato il 30 gen 2026
Sandro Sana

Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0

ROSI

Nel mondo industriale il ROI (return on investment) è quasi pornografico per quanto è lineare: una macchina fa 100 pezzi/ora, quella nuova 200, costa 1M€, rientro in X mesi e poi margine. Punto.

Con la cyber security, invece, “profitto” non è la parola giusta. Lo dice bene anche ENISA: la sicurezza, di norma, non genera ricavi; è prevenzione di perdite. Quindi il ritorno non è “quanto guadagno”, ma “quanto evito di perdere”. E qui molti si bloccano, perché sembra fuffa contabile: stai cercando di mettere un cartellino del prezzo a qualcosa che (idealmente) non deve succedere.

Il Rapporto Clusit 2015 centra il punto con un esempio semplice: installare una soluzione di Data Loss Prevention non ti porta fatturato diretto, ti promette riduzione di danno. E per stimarla devi stimare tre cose maledettamente difficili: valore del danno possibile, probabilità che accada senza controllo, e probabilità residua anche con il controllo. Se le stime sono buttate lì “a sensazione”, il ROSI diventa davvero un esercizio asettico e discutibile.

Ma se lo fai bene, succede l’opposto: il ROSI diventa un traduttore simultaneo tra linguaggio del rischio e linguaggio del business.

Cos’è il ROSI, in parole normali

Il ROSI (Return on Security Investment) è un modo per legare una decisione di sicurezza a una riduzione attesa di perdita economica, confrontandola con il costo totale della misura (licenze, persone, progetto, manutenzione, formazione ecc.).

Il modello “classico” si appoggia su tre ingredienti:

  1. SLE (Single Loss Expectancy): quanto costa un singolo incidente su quello scenario/asset, includendo costi diretti e indiretti (downtime, ripristino, reputazione, supporto IT, ecc.).
  2. ARO (Annual Rate of Occurrence): quante volte “ti aspetti” che accada in un anno (stima, storici, trend).
  3. ALE (Annual Loss Expectancy): la perdita annua attesa, tipicamente SLE × ARO.

Poi entra il concetto chiave: una misura di sicurezza riduce l’ALE. ENISA la descrive così: confronti l’ALE “senza controllo” con l’ALE modificato “con controllo” (mALE), e la differenza è il “risparmio atteso” attribuibile alla mitigazione. In pratica, spesso lo esprimi con un mitigation ratio (quanto riduce davvero quello scenario).

Tradotto in formula operativa:

  • mALE = ALE × (1 − mitigazione)
  • beneficio atteso = ALE − mALE = ALE × mitigazione
  • ROSI ≈ (beneficio atteso − costo) / costo

ENISA fa anche un esempio “da CFO” con antivirus: ARO=5, SLE=15.000€, mitigazione=80%, costo annuo=25.000€. Non perché l’antivirus sia la panacea, ma perché l’esempio rende chiaro il meccanismo.

Il punto che molti sbagliano: il ROSI non vive senza Risk Management

Se tratti il ROSI come un “numerino” da appiccicare a un acquisto, muore subito. Se invece lo metti in parallelo a un processo di Risk Management (ISO 31000 come mentalità: contesto → scenari → probabilità/impatto → trattamento → rischio residuo), allora diventa potente.

Perché? Perché il valore del ROSI non è “l’accuratezza assoluta” (che non avrai mai), ma la disciplina decisionale che costringe l’azienda a fare tre cose sane:

  • dire chiaramente quali scenari sta trattando (non “miglioriamo la sicurezza”, ma “riduciamo downtime da ransomware sulla linea X / riduciamo data leak su CRM / riduciamo frodi su canali digitali…”);
  • esplicitare ipotesi e fonti (storico interno, dati di settore, gap assessment, intelligence);
  • misurare prima e dopo in termini di esposizione economica e rischio residuo.

Il documento “ROSI 2.0” spinge proprio su questo: costruire un “pattern” di valutazione che descrive contesto, driver, punti di attenzione ed elementi di valutazione, e che riconduce l’intervento anche alle aree/controlli ISO 27001 (come linguaggio comune). Non è estetica: è governance.

Onestà intellettuale: il ROSI è approssimato e può essere manipolato

Qui bisogna essere adulti: ENISA è esplicita. Il ROSI nasce da molte approssimazioni; costo incidenti e tasso annuo sono difficili da stimare, e le stime possono essere distorte dalla percezione del rischio o “aggiustate” per giustificare una decisione già presa. È la versione cyber del “se vogliamo far tornare i conti, i conti tornano”.

E infatti ENISA suggerisce una cosa molto concreta: quando puoi, fidati più dei dati storici dell’organizzazione che delle percentuali da brochure del vendor; ad esempio, se negli ultimi 5 anni hai avuto 6 attacchi DoS, un ARO = 6/5 è più onesto di una stima generica.

Questa parte, se la porti bene al CdA, gioca a tuo favore: perché smonta l’idea che “il CISO sta vendendo paura” e la sostituisce con “stiamo gestendo rischio con ipotesi trasparenti e verificabili”.

Come farlo “bene”

Il metodo che funziona in azienda, di solito, è deliberatamente sobrio:

Parti da pochi scenari ad alto impatto (quelli che fanno male davvero a operations, revenue, compliance, reputazione). Per ciascuno, costruisci una stima SLE che includa costi diretti e indiretti, come ricorda ENISA: lo stesso evento (es. laptop rubato) può valere 2.000€ o 100.000€ a seconda di dati, contratti, reputazione e sensibilità delle informazioni. È esattamente per questo che la stima deve essere “company-specific”.

Poi stimi ARO con storico + trend + contromisure esistenti (perché le difese già presenti cambiano la probabilità di successo).

Infine, valuti l’intervento: quanto abbassa probabilità, quanto abbassa impatto, o entrambe. E soprattutto: che rischio residuo lascia.

A quel punto il ROSI non è più un numero, è una comparazione tra alternative: misura A vs misura B vs “non facciamo niente” (che è una scelta, solo che molti fingono di non sceglierla).

L’aggiornamento 2024: smettiamola di guardare solo la “perdita media”

C’è un tema che oggi pesa più di dieci anni fa: gli impatti cyber non sono “gentili”, spesso hanno code pesanti. Tradotto: la media ti inganna, perché gli eventi rari ma devastanti dominano il rischio.

Qui entra in gioco l’evoluzione dei modelli verso misure “da risk management finanziario” (VaR, CVaR/Expected Shortfall, ecc.). Nel lavoro di Miele, ad esempio, si discute di Cyber VaR e si collegano approcci come Loss Distribution Approach e Extreme Value Theory proprio per modellare meglio la coda del rischio. E viene richiamato l’uso di Expected Shortfall/CVaR come metrica più robusta della semplice VaR in certe condizioni.

E soprattutto: nel 2024 su Computers & Security viene proposto RCVaR (Real Cyber Value at Risk), un approccio che prova a stimare i costi degli attacchi usando informazioni “real-world” da report pubblici, per aiutare aziende (incluse le PMI) che faticano a quantificare esposizione e impatto. Il paper sottolinea che gli approcci attuali spesso non riescono a dare stime monetarie individualizzate e che serve lavorare su dati storici reali, non solo su simulazioni probabilistiche.

Messaggio pratico per il CdA: oltre alla perdita annua attesa (ALE), ha senso portare anche un indicatore di “scenario pessimo ma plausibile” (un quantile, una VaR/RCVaR, o una stima di coda tipo CVaR/ES). Perché spesso è lì che si decide davvero il budget: non sulla media, ma sulla paura (legittima) della botta che ti spezza l’anno.

Come si “vende” al CdA

Il CdA non compra formule: compra decisioni difendibili. Quindi il ROSI va presentato come una mini-storia, non come un’equazione.

Io lo imposterei così:

  1. Scenario di rischio, impatto business, stato attuale, cosa cambia con l’investimento. Qui ti aiuta molto la logica “pattern” del ROSI 2.0: fai emergere driver (rischi operativi, compliance, immagine, efficienza) e area di intervento collegabile a standard (ISO 27001). In altre parole: non è “compriamo un tool”, è “riduciamo questo rischio che impatta questi driver”.
  2. Numeri con range e ipotesi. Non un numero secco, ma: perdita attesa annua (baseline), perdita attesa annua (post), costo totale, rischio residuo. E una piccola sensitivity analysis: cosa succede se la mitigazione non è 80% ma 50%? Se l’ARO è più alto? Qui dimostri maturità e togli l’alibi al classico “sono numeri inventati”.
  3. Decisione e governance: cosa approviamo, in quanto tempo, come misuriamo “prima/dopo”, e quando rivediamo le ipotesi. ENISA lo dice chiaramente: questi numeri sono linee guida, non regole scolpite nella pietra. E al CdA va bene così, purché ci sia un ciclo di controllo.

“Il ROSI non pretende di prevedere il futuro: serve a rendere esplicite le ipotesi e scegliere consapevolmente dove ridurre l’esposizione economica al rischio”.

Il ROSI come “sterzo”, non come “oracolo”

Il ROSI diventa sterile quando è usato per “giustificare un acquisto”. Diventa essenziale quando è usato per governare un percorso: scegliere priorità, misurare riduzione di esposizione, discutere rischio residuo, e mettere in fila investimenti con logica comparabile.

In un periodo in cui NIS2, supply chain e pressione assicurativa stanno trasformando la sicurezza in un tema di continuità operativa e responsabilità, il ROSI fatto bene è una cosa molto semplice: è il modo più efficace per portare la cyber security fuori dal tecnicismo e dentro la stanza dove si decide.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Sandro Sana
Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0
Laureato in Ingegneria Informatica e in Scienze della Comunicazione, lavora nel settore dell’Information Technology dal 1990. Nel corso della sua carriera ha collaborato con realtà molto diverse, dalle piccole imprese agli enti pubblici, fino a grandi aziende nazionali e internazionali. Dal 2003 affianca alle competenze tecnologiche un interesse attivo per la comunicazione, il public speaking e la formazione. A partire dal 2014 si dedica con particolare attenzione alla sicurezza informatica, con un focus sull’innovazione, la ricerca e l’evoluzione delle minacce digitali. È certificato CEH – Certified Ethical Hacker, CIH – Certified Incident Handler e CISSP – Certified Information Systems Security Professional. È stato relatore agli eventi SMAU 2017 e 2018, e docente per SMAU Academy e ITS. È membro del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce allo sviluppo di strategie per la formazione, la ricerca applicata e il trasferimento tecnologico nel campo della cyber security. Divulgatore ed editorialista, promuove la cultura della sicurezza digitale con particolare attenzione agli aspetti sociali, economici e normativi della trasformazione digitale. Si occupa di sensibilizzare imprese e istituzioni su rischi, responsabilità e opportunità connesse alla cybersicurezza.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • NIS 2 e GDPR notifica incidenti e gestione supply chain

  • le differenze

    NIS 2 e GDPR, tra notifica degli incidenti e gestione della supply chain: sfide operative

    04 Mar 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
  • CryptPad e il paradigma zero-knowledge: un binomio vincente - La fiducia come capitale: la conformità al Gdpr e alla NIS 2 diventa un vantaggio competitivo

  • responsabilità proattiva

    La fiducia come capitale: la conformità a GDPR e NIS 2 diventa un vantaggio competitivo

    31 Ott 2025

    di Giuseppe Alverone

    Condividi
  • Garante Privacy lavoro Ai-based

  • tracciabilità nel lavoro

    Dal Garante Privacy un codice operativo per gli strumenti di lavoro AI-based

    12 Ago 2025

    di Pasquale Mancino

    Condividi
  • Cyberwarfare iraniano: oltre il nucleare, una potenza nascosta in espansione

  • scenari

    Guerra Iran - Israele: per effetto domino, i rischi cyber riguardano anche l'Italia

    20 Giu 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi
0
Lascia un commento, la tua opinione conta.x