Nel mondo industriale il ROI (return on investment) è quasi pornografico per quanto è lineare: una macchina fa 100 pezzi/ora, quella nuova 200, costa 1M€, rientro in X mesi e poi margine. Punto.

Con la cyber security, invece, “profitto” non è la parola giusta. Lo dice bene anche ENISA: la sicurezza, di norma, non genera ricavi; è prevenzione di perdite. Quindi il ritorno non è “quanto guadagno”, ma “quanto evito di perdere”. E qui molti si bloccano, perché sembra fuffa contabile: stai cercando di mettere un cartellino del prezzo a qualcosa che (idealmente) non deve succedere.

Il Rapporto Clusit 2015 centra il punto con un esempio semplice: installare una soluzione di Data Loss Prevention non ti porta fatturato diretto, ti promette riduzione di danno. E per stimarla devi stimare tre cose maledettamente difficili: valore del danno possibile, probabilità che accada senza controllo, e probabilità residua anche con il controllo. Se le stime sono buttate lì “a sensazione”, il ROSI diventa davvero un esercizio asettico e discutibile.

Ma se lo fai bene, succede l’opposto: il ROSI diventa un traduttore simultaneo tra linguaggio del rischio e linguaggio del business.

Cos’è il ROSI, in parole normali

Il ROSI (Return on Security Investment) è un modo per legare una decisione di sicurezza a una riduzione attesa di perdita economica, confrontandola con il costo totale della misura (licenze, persone, progetto, manutenzione, formazione ecc.).

Il modello “classico” si appoggia su tre ingredienti:

1. SLE (Single Loss Expectancy): quanto costa un singolo incidente su quello scenario/asset, includendo costi diretti e indiretti (downtime, ripristino, reputazione, supporto IT, ecc.).
2. ARO (Annual Rate of Occurrence): quante volte “ti aspetti” che accada in un anno (stima, storici, trend).
3. ALE (Annual Loss Expectancy): la perdita annua attesa, tipicamente SLE × ARO.

Poi entra il concetto chiave: una misura di sicurezza riduce l’ALE. ENISA la descrive così: confronti l’ALE “senza controllo” con l’ALE modificato “con controllo” (mALE), e la differenza è il “risparmio atteso” attribuibile alla mitigazione. In pratica, spesso lo esprimi con un mitigation ratio (quanto riduce davvero quello scenario).

Tradotto in formula operativa:

• mALE = ALE × (1 − mitigazione)
• beneficio atteso = ALE − mALE = ALE × mitigazione
• ROSI ≈ (beneficio atteso − costo) / costo

ENISA fa anche un esempio “da CFO” con antivirus: ARO=5, SLE=15.000€, mitigazione=80%, costo annuo=25.000€. Non perché l’antivirus sia la panacea, ma perché l’esempio rende chiaro il meccanismo.

Il punto che molti sbagliano: il ROSI non vive senza Risk Management

Se tratti il ROSI come un “numerino” da appiccicare a un acquisto, muore subito. Se invece lo metti in parallelo a un processo di Risk Management (ISO 31000 come mentalità: contesto → scenari → probabilità/impatto → trattamento → rischio residuo), allora diventa potente.

Perché? Perché il valore del ROSI non è “l’accuratezza assoluta” (che non avrai mai), ma la disciplina decisionale che costringe l’azienda a fare tre cose sane:

• dire chiaramente quali scenari sta trattando (non “miglioriamo la sicurezza”, ma “riduciamo downtime da ransomware sulla linea X / riduciamo data leak su CRM / riduciamo frodi su canali digitali…”);
• esplicitare ipotesi e fonti (storico interno, dati di settore, gap assessment, intelligence);
• misurare prima e dopo in termini di esposizione economica e rischio residuo.

Il documento “ROSI 2.0” spinge proprio su questo: costruire un “pattern” di valutazione che descrive contesto, driver, punti di attenzione ed elementi di valutazione, e che riconduce l’intervento anche alle aree/controlli ISO 27001 (come linguaggio comune). Non è estetica: è governance.

Onestà intellettuale: il ROSI è approssimato e può essere manipolato

Qui bisogna essere adulti: ENISA è esplicita. Il ROSI nasce da molte approssimazioni; costo incidenti e tasso annuo sono difficili da stimare, e le stime possono essere distorte dalla percezione del rischio o “aggiustate” per giustificare una decisione già presa. È la versione cyber del “se vogliamo far tornare i conti, i conti tornano”.

E infatti ENISA suggerisce una cosa molto concreta: quando puoi, fidati più dei dati storici dell’organizzazione che delle percentuali da brochure del vendor; ad esempio, se negli ultimi 5 anni hai avuto 6 attacchi DoS, un ARO = 6/5 è più onesto di una stima generica.

Questa parte, se la porti bene al CdA, gioca a tuo favore: perché smonta l’idea che “il CISO sta vendendo paura” e la sostituisce con “stiamo gestendo rischio con ipotesi trasparenti e verificabili”.

Come farlo “bene”

Il metodo che funziona in azienda, di solito, è deliberatamente sobrio:

Parti da pochi scenari ad alto impatto (quelli che fanno male davvero a operations, revenue, compliance, reputazione). Per ciascuno, costruisci una stima SLE che includa costi diretti e indiretti, come ricorda ENISA: lo stesso evento (es. laptop rubato) può valere 2.000€ o 100.000€ a seconda di dati, contratti, reputazione e sensibilità delle informazioni. È esattamente per questo che la stima deve essere “company-specific”.

Poi stimi ARO con storico + trend + contromisure esistenti (perché le difese già presenti cambiano la probabilità di successo).

Infine, valuti l’intervento: quanto abbassa probabilità, quanto abbassa impatto, o entrambe. E soprattutto: che rischio residuo lascia.

A quel punto il ROSI non è più un numero, è una comparazione tra alternative: misura A vs misura B vs “non facciamo niente” (che è una scelta, solo che molti fingono di non sceglierla).

L’aggiornamento 2024: smettiamola di guardare solo la “perdita media”

C’è un tema che oggi pesa più di dieci anni fa: gli impatti cyber non sono “gentili”, spesso hanno code pesanti. Tradotto: la media ti inganna, perché gli eventi rari ma devastanti dominano il rischio.

Qui entra in gioco l’evoluzione dei modelli verso misure “da risk management finanziario” (VaR, CVaR/Expected Shortfall, ecc.). Nel lavoro di Miele, ad esempio, si discute di Cyber VaR e si collegano approcci come Loss Distribution Approach e Extreme Value Theory proprio per modellare meglio la coda del rischio. E viene richiamato l’uso di Expected Shortfall/CVaR come metrica più robusta della semplice VaR in certe condizioni.

E soprattutto: nel 2024 su Computers & Security viene proposto RCVaR (Real Cyber Value at Risk), un approccio che prova a stimare i costi degli attacchi usando informazioni “real-world” da report pubblici, per aiutare aziende (incluse le PMI) che faticano a quantificare esposizione e impatto. Il paper sottolinea che gli approcci attuali spesso non riescono a dare stime monetarie individualizzate e che serve lavorare su dati storici reali, non solo su simulazioni probabilistiche.

Messaggio pratico per il CdA: oltre alla perdita annua attesa (ALE), ha senso portare anche un indicatore di “scenario pessimo ma plausibile” (un quantile, una VaR/RCVaR, o una stima di coda tipo CVaR/ES). Perché spesso è lì che si decide davvero il budget: non sulla media, ma sulla paura (legittima) della botta che ti spezza l’anno.

Come si “vende” al CdA

Il CdA non compra formule: compra decisioni difendibili. Quindi il ROSI va presentato come una mini-storia, non come un’equazione.

Io lo imposterei così:

1. Scenario di rischio, impatto business, stato attuale, cosa cambia con l’investimento. Qui ti aiuta molto la logica “pattern” del ROSI 2.0: fai emergere driver (rischi operativi, compliance, immagine, efficienza) e area di intervento collegabile a standard (ISO 27001). In altre parole: non è “compriamo un tool”, è “riduciamo questo rischio che impatta questi driver”.
2. Numeri con range e ipotesi. Non un numero secco, ma: perdita attesa annua (baseline), perdita attesa annua (post), costo totale, rischio residuo. E una piccola sensitivity analysis: cosa succede se la mitigazione non è 80% ma 50%? Se l’ARO è più alto? Qui dimostri maturità e togli l’alibi al classico “sono numeri inventati”.
3. Decisione e governance: cosa approviamo, in quanto tempo, come misuriamo “prima/dopo”, e quando rivediamo le ipotesi. ENISA lo dice chiaramente: questi numeri sono linee guida, non regole scolpite nella pietra. E al CdA va bene così, purché ci sia un ciclo di controllo.

“Il ROSI non pretende di prevedere il futuro: serve a rendere esplicite le ipotesi e scegliere consapevolmente dove ridurre l’esposizione economica al rischio”.

Il ROSI come “sterzo”, non come “oracolo”

Il ROSI diventa sterile quando è usato per “giustificare un acquisto”. Diventa essenziale quando è usato per governare un percorso: scegliere priorità, misurare riduzione di esposizione, discutere rischio residuo, e mettere in fila investimenti con logica comparabile.

In un periodo in cui NIS2, supply chain e pressione assicurativa stanno trasformando la sicurezza in un tema di continuità operativa e responsabilità, il ROSI fatto bene è una cosa molto semplice: è il modo più efficace per portare la cyber security fuori dal tecnicismo e dentro la stanza dove si decide.