Come ogni anno è iniziata la pianificazione dei budget per il nuovo anno fiscale. Non solo bilanci su quanto fatto e con quali risultati, ma anche definizione dei nuovi obiettivi e traduzione in “economics” di spesa cercando di massimizzare il ROI delle iniziative e possibilmente raggiungere un tale livello di sicurezza digitale, da poter dormire sonni tranquilli.

Non è questo forse il “sogno” di ogni CISO o di ogni manager di sicurezza? Ma il primo passo è farsi accettare i budget e allora si rende necessario qualche accorgimento.

Negli ultimi anni la spesa dei CISO è sempre aumentata, ma “spendere di più” anno dopo anno, non è sempre sinonimo di “spendere bene” agli occhi dei board.

Il consiglio degli esperti di sicurezza è attuare un cambio di mindset e passare da una mentalità di “spesa” a una di “investimento” verso i board.

Andamento dei budget di sicurezza nel tempo

La spesa cyber ha un andamento altalenante negli ultimi anni con rapporti che tracciano la crescita ed altri che ne evidenziano un calo o meglio, aumento contenuto rispetto agli anni precedenti.

Secondo il rapporto Beinsure 2025 sui trend di spesa nella Sicurezza informatica si registrano aumenti della spesa cyber “La spesa per la sicurezza informatica è aumentata del 70% negli ultimi quattro anni (tasso di risposta: 27%). Nonostante le notevoli differenze nei tassi di crescita tra gli intervistati, i budget sono aumentati complessivamente, in modo significativo per la maggior parte dei settori. I budget per le aziende sono cresciuti, con un aumento del 100% [omissis] l’aumento è probabilmente dovuto alla rapida digitalizzazione e al conseguente aumento del rischio informatico negli ultimi anni”.

Naturalmente anche il periodo pandemico ha influito facendo aumentare le dotazioni digitali e quindi incrementando la spesa.

Tuttavia, tra il 2019 e il 2023 un sondaggio di Moody’s sulla sicurezza informatica, evidenziava un calo della spesa per un percentuale minore degli intervistati. Un segnale di calo che ritorna anche sul 2025. Il rapporto “Security Budget Benchmark Report 2025” di IANS Research e Artico Search pubblicato ad agosto di quest’anno evidenzia come “i budget per la sicurezza informatica siano cresciuti in media del 4% nel 2025, ma in calo rispetto all’8% dell’anno precedente, probabilmente a causa dell’incertezza economica; la spesa per la sicurezza informatica è scesa dall’11,9% al 10,9%, interrompendo una tendenza al rialzo quinquennale”.

I dati provengono da interviste a 580 responsabili della sicurezza informatica (CISO) di diversi settori negli Stati Uniti e in Canada.

Se ci si fermasse a questi dati, potrebbe sembrare che i CISO non ricevano aumenti di budget commisurati ai valori necessari. Ma è proprio a questo punto che la cuspide della spesa cambia e si può trasformare in volano di investimento.

Cambio di mentalità

Secondo il KPMG Cybersecurity Survey del 2025, il 99% dei responsabili della sicurezza prevede di aumentare i propri budget per la sicurezza informatica nei prossimi due o tre anni.

Questo impegno verso un aumento della spesa, dato dalla maggioranza (54%) che prevede aumenti significativi dal 6% al 10%, sembra indicare come la sicurezza informatica non sia più un centro di costo per l’IT, ma un imperativo aziendale fondamentale di resilienza contro i rischi.

Eric Cole, esperto di sicurezza informatica e autore di “Cyber Crisis” ha sottolineato il significato di questa tendenza: “un aumento del 99% dei budget per la sicurezza informatica non è una tendenza di spesa, è un’ammissione. I leader capiscono che il rischio informatico è un rischio aziendale e ignorarlo non è più sostenibile”.

Quindi, una scelta non più di spesa ma un investimento di carattere strategico.

L’impennata di aumenti secondo il report di KPMG sembra dovuto all’influenza delle minacce basate sull’intelligenza artificiale con cui gli avversari creano attacchi altamente sofisticati per provare a ridurre drasticamente la barriera d’ingresso.

Un ulteriore possibile capitolo di spesa lo indica il colonnello Cedric Leighton, analista militare della CNN; aeronautica militare statunitense (in pensione); presidente della Cedric Leighton Associates, LLC, secondo cui “i CISO saranno tenuti a integrare una qualche forma di crittografia post-quantistica quando le attuali tecnologie crittografiche diventeranno obsolete”.

Lo stesso colonnello sottolinea la lungimiranza strategica in ottica geopolitica. “Aumentare la spesa per la sicurezza informatica può contribuire a proteggere le reti critiche, se attuata con una certa lungimiranza strategica. I CISO devono riconoscere che il contesto delle minacce informatiche è in continua evoluzione. Le minacce provenienti da stati nazionali come Cina e Russia stanno diventando ancora più perniciose, e i CISO devono tenere d’occhio gli sviluppi tecnici e quelli geopolitici”.

L’attenzione deve quindi spostarsi dal semplice aumento della spesa all’investimento strategico.

Anche i dati di Wiz relativi al suo Budget Benchmark Report 2026 (con interviste ad oltre 300 responsabili della sicurezza) indicano budget in aumento ma con qualche preoccupazione sugli impatti.

“L’85% delle organizzazioni ha aumentato la spesa per la sicurezza informatica quest’anno e quasi nove su dieci prevedono di aumentarla ulteriormente nel 2026”, anche se viene sottolineato come “maggiori investimenti non hanno generato maggiore fiducia. Più della metà dei responsabili della sicurezza afferma che le proprie organizzazioni non stanno ancora investendo abbastanza per contrastare i rischi a cui vanno incontro. Con l’avvicinarsi della stagione dei budget, i CISO sono sotto pressione per dimostrare che la crescita della spesa si traduce in un impatto reale”.

Il problema sembra relativo alla mancanza di una descrizione chiara di ciò che si ottiene con tali fondi.

Ovvero, il tema del ROI di sicurezza richiede uno spostamento delle discussioni con i board sul budget, che passi dalle attività all’impatto reale.

Il report suggerisce quindi di “presentare al consiglio di amministrazione, quantificando il delta di rischio associato a ciascun investimento”, perché “una descrizione precisa del rendimento guadagna fiducia e finanziamenti futuri”.

Ogni elemento di spesa dovrebbe essere spiegato in ottica di investimento chiarendone il ROI. Così, ad esempio, le spese del personale per aggiungere competenze potrebbero essere descritte come una trasformazione del modo di lavorare, automatizzando i task ripetitivi a mezzo sistemi tecnologici e riallocando budget per la riqualificazione professionale verso domini di sicurezza basati su cloud e intelligenza artificiale.

In tal modo si aumentano le competenze, ottimizzando costi ed investendo sul futuro dei dipendenti già in azienda.

Come procedere nell’applicazione del mindset shift

Dunque, se un CISO fosse misurato non solo in base agli incidenti prevenuti, ma anche in base alla sua capacità di generare valore dagli investimenti in sicurezza, allora sarebbe necessario passare da una narrazione basata sui centri di costo tecnici, ad una di abilitazione strategica del business, supportata da dati inconfutabili.

Significa che i board di amministrazione possono non comprendere a fondo cosa si sta proteggendo, ma sono interessati a capire in che modo gli investimenti in sicurezza promuovono crescita, resilienza e vantaggio competitivo.

Per passare dalla percezione di essere un centro di costo, ad essere percepito come facilitatore strategico è necessario formulare la presentazione sulla sicurezza per il 2026 in modo efficace: rischio, fatturato e risorse e non lista di strumenti e minacce.

L’orientamento operativo è generare un business case convincente traducendo le esigenze tecniche nel linguaggio manageriale, riformulando la narrazione solita.

Tre sono i pilastri fondamentali:

• Riduzione del rischio quantificando l’impatto finanziario del risparmio; a partire dal costo medio di una violazione dei dati a fronte delle potenziali minacce si può esporre il costo associato al programma di riduzione delle probabilità e il corrispondente valore chiaro e calcolabile. Una metrica utilizzabile è l’Annualized Loss Expectancy (ALE) prima e dopo gli investimenti proposti.
• Efficienza operativa delle iniziative proposte evidenziando il risparmio di tempo e denaro per l’azienda. Se si considerasse ad esempio un investimento in un sistema automatizzato e dotato di AI per gestire gli incidenti, si potrebbe dimostrare il contenimento del numero dei falsi positivi e del tempo medio di risposta (MTTR). Quindi fornire indicatori di efficienza e il loro andamento evidenziando l’impatto diretto sui profitti, è un tema a cui i board prestano attenzione.
• Abilitazione aziendale come volano di crescita. Se la solida strategia di sicurezza diventa un criterio distintivo, allora incide sulla fiducia dei clienti e sulla loro fidelizzazione. Inoltre, la rispondenza alle norme di sicurezza può abilitare a nuovi mercati. Anche in questo caso è necessario individuare alcune metriche. Jeffrey Welch CEO di Grab The Axe suggerisce di utilizzare:
• la metrica dei Ricavi generati dalla sicurezza monitorando i ricavi derivanti da contratti o clienti acquisiti specificamente perché l’azienda ha soddisfatto gli standard di sicurezza. Questo collega direttamente l’investimento in sicurezza alla generazione di ricavi;
• la metrica della Percentuale di riduzione del rischio utilizzando un registro dei rischi per valutare e quantificare i rischi organizzativi unito alla dimostrazione di come il budget proposto ridurrà i punteggi dei 5-10 principali rischi aziendali, rispetto agli impatti potenziali (e ai loro costi);
• costo dell’inazione a fronte di un incidente. Piuttosto che presentare solo il costo di un nuovo controllo, è consigliata la presentazione del costo potenziale della sua mancata implementazione. Dare evidenza del costo di una giornata di inattività operativa, compreso il potenziale danno all’immagine aziendale, per riformulare la spesa di sicurezza come una polizza assicurativa dal rimborso chiaro.

Strutturando la propria argomentazione in questo modo, si sposta la percezione del proprio programma dalla percezione di “un male necessario” a “un abilitante indispensabile” per il raggiungimento degli obiettivi aziendali.

E questo passaggio, anche se critico nella mentalità dei manager tecnici, è uno dei più efficaci per la pianificazione del budget per la sicurezza di fine anno.