Il ransomware non blocca i server, blocca il credito. Il lato finanziario della cybersecurity

C’è questa idea sbagliata, un po’ romantica volendo, per cui il ransomware è “roba da IT”: qualche server in crisi, due notti in bianco, poi si riparte e fine…

La realtà, soprattutto per un’azienda quotata o con linee di credito bancarie, è più semplice e più crudele: il ransomware non cifra solo i file, cifra la fiducia. Quando la fiducia cala, il credito diventa più costoso, più corto e più “capriccioso”. S&P Global Ratings scrive chiaramente che l’aumento degli attacchi e la possibilità di un rapido deterioramento del profilo di credito dopo un incidente cyber sono elementi rilevanti nelle valutazioni. (S&P Global – Cyber Risk in a new era)

La banca non guarda “l’attacco”. Guarda il conto (economico e di cassa)

Quando parliamo di merito creditizio, la domanda è sempre la stessa: sei ancora in grado di pagare il capitale e gli interessi senza problemi?
Il ransomware impatta proprio le leve “da banca”:

• Cassa in entrata che rallenta o si ferma: ordini bloccati, fatture in ritardo, incassi che slittano.
• Cassa in uscita che “accelera”: consulenti, forensics, ripristino, spese legali, comunicazione, nuove licenze, nuove macchine, nuove “urgenze” che prima non erano neppure considerate.
• Operatività: se non produci o non consegni, i ricavi diventano una incertezza.
• Reputazione e fiducia dei clienti/fornitori: che poi possono implicare penali e revisione dei contratti.
• Rischio legale/regolatorio: contenziosi, sanzioni, audit e richieste di chiarimenti (che potrebbero arrivano nei momenti peggiori o di difficoltà).

Per farla breve ..  non è (solo) un tema tecnico. È un tema di flussi di cassa (cash flow).

Il vero mostro sotto al letto: la liquidità

Il ransomware spesso non “uccide” l’azienda. La mette offline. Offline dal punto di vista della liquidità significa una cosa banalissima: la cassa smette di essere alimentata in ingresso mentre invece le spese continuano.

Un esempio utile (anche se in un altro settore) è un’analisi dell’Office of Financial Research (OFR) sul caso Change Healthcare, che evidenzia come un cyber attacco possa interrompere flussi di pagamento e creare stress di liquidità a cascata su molte realtà dipendenti dal servizio colpito. (Ufficio di Ricerca Finanziaria)

Quindi sì: puoi avere anche ottimi margini sulla carta. Ma se per settimane non incassi, la banca inizia a farsi domande molto “poco poetiche” sulla tua affidabilità.

“Tanto abbiamo le linee di credito”: ecco, appunto… i covenant

I covenant sono accordi o patti contrattuali, spesso inseriti nei finanziamenti bancari, tramite i quali un’impresa si impegna a rispettare specifici obblighi e/o divieti, misurabili tramite indici di bilancio (es. rapporti debito/patrimonio netto) o comportamenti aziendali (es. non distribuire dividendi), per tutelare il finanziatore da rischi di insolvenza e guidare l’azienda verso una gestione prudente, con conseguenze (come il diritto di rimborso anticipato) in caso di violazione.

Qui entra la parte divertente (per la banca, non per te azienda). Dopo un incidente serio si attivano due dinamiche classiche:

A) I numeri peggiorano … rischi di “rompere” i covenant

Se i downtime e i costi straordinari ti schiacciano il guadagno, le ratio tipiche (leva, copertura interessi) possono saltare, allora partono nuove condizioni, nuove garanzie con le banche.

B) Proprio quando ti serve la linea, la linea diventa più “selettiva”

Uno studio della Banca centrale Europea (European Central Bank, ECB) sulle violazioni di covenant nelle linee di credito mostra che, dopo una violazione, le banche possono restringere l’uso delle linee alzando spread, accorciando scadenze, irrigidendo covenant o persino cancellando/riducendo la linea. (European Central Bank) In soldoni, la linea di credito è una cintura di sicurezza. Ma se la tiri troppo forte, ti manca l’aria, non respiri.

Se sei quotato, hai un “pubblico” più esigente (e meno paziente)

Per una società quotata, l’incidente ransomware diventa anche un tema di:

• materialità: impatta ricavi, costi, continuità? allora non è “un piccolo problema IT”;
• disclosure: tempistiche, coerenza, qualità delle informazioni;
• credibilità del management: se sembri impreparato, il mercato se ne accorge.

E attenzione: reagiscono anche i creditori. C’è letteratura che indica effetti sul valore del debito: ad esempio, uno studio pubblicato su Journal of Financial Stability riporta perdite per i bondholder nell’ordine di ~2% in un mese dopo un cyber attacco (nel campione analizzato). (Articolo Science Direct)

Le agenzie non sono “sentimentali”

Ransomware = massima probabilità di impatto creditizio perché è quello che più facilmente crea discontinuità operativa. Anche Moody’s, in un outlook report recente, sottolinea che i ransomware hanno tipicamente l’impatto creditizio maggiore per via della “severa disruption” che possono causare. (moodys.com)

Quando la “disruption” non è teorica ma reale, si vedono effetti su outlook e percezione del rischio. Un caso molto concreto (e diventato pure famoso) è la catena di conseguenze seguita al cyber attacco che ha colpito Jaguar Land Rover nel 2025: produzione fermata, recupero graduale, e attenzione delle agenzie sul percorso di ripresa. (Reuters)

Banche oggi sono “allergiche” al cyber, anche per pressione regolatoria: hanno incentivi crescenti a misurare il rischio ICT perché anche loro sono sotto requisiti più stringenti; l’EBA, ad esempio, richiama l’applicazione di requisiti armonizzati di gestione del rischio ICT sotto direttiva DORA dal 17 gennaio 2025. (eba.europa.eu)

… e in Italia il messaggio è sempre più forte: Banca d’Italia ha pubblicato, pochi giorni fa, un lavoro che propone un indicatore di vulnerabilità cyber per imprese non finanziarie, proprio perché il tema può entrare nella valutazione del rischio. (Banca d’Italia) In parallelo, il focus istituzionale collega cybersicurezza e stabilità/continuità di servizio del sistema. (Banca d’Italia)

La timeline “vera” di un ransomware sul credito

Non è tutto finito quando riaccendi i server …

1. Da 0 a 30 giorni: shock
   • operatività a singhiozzo, fatture ferme, clienti nervosi
   • prime stime (sempre ottimistiche) dei danni
2. Da 1 a 6 mesi: conto salato
   • Remediation delle vulnerabilità, hardening, audit, spese legali
   • possibile rinegoziazione con banche (spread, garanzie)
3. Da 6 a 24 mesi: coda lunga
   • contenziosi, abbandono dei clienti, nuove richieste dei grandi partner
   • costo del capitale più alto se il mercato decide che “non hai imparato la lezione”

Conclusione

Cosa fare quindi per non trasformare un incidente cyber in un problema di credito?

Prima “dell’evento” … serve preparazione …

Segue lista non esaustiva di “attività” consigliate

• fare backup e recovery testati sul serio (non basta dire “i BackUp esistono, li abbiamo”, ma ragionare in termini di “ripartiamo in X ore/giorni con la operatività normale e riusciamo a garantire continuità operativa, magari ridotta”).
• avere un piano di continuità quindi, che protegga incassi e pagamenti (fatturazione, ordini, tesoreria).
• avere un buffer di liquidità: cassa + linee committed coerenti con scenari di fermo.
• stipulare una eventuale assicurazione cyber: capire bene franchigie, attese, esclusioni, e copertura della “business interruption”.
• Governance: metriche, escalation, e coinvolgimento del board (perché poi qualcuno lo chiederà).

Dopo … gestiamo il panico

• Fare previsioni di cassa a 13 settimane, aggiornate spesso (perché la cassa non aspetta).
• Avere una comunicazione pro attiva con le banche (e se applicabile, agenzie): valutare bene impatti, tempi e milestones.
• Se vi sono contratti a rischio: muovirsi subito per una richiesta di deroga al contratto, non all’ultimo giorno utile.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Antonio Piovesan

Laureato in ingegneria Informatica nel 2002, certificato CISSP dal 2023, entra nel mondo ICT come analista/full stack developer. Prosegue nella formazione frequentando un executive Master in cybersecurity e data protection presso 24ORE Business School. Si occupa ora di temi legati alla cybersecurity governance in ambito grande distribuzione organizzata. Nutre una forte passione per la tecnologia, l’innovazione e la cybersecurity, favorendo la diffusione della consapevolezza al rischio digitale. Ama leggere libri sulla storia della matematica ed è un appassionato di letteratura e cinematografia fantascientifica.

Aree di competenza: NIS2, Governance & Security Compliance, DevSecOps, Divulgazione e Cultura Cyber