Il cybercrimine è ormai una vera e propria industria globale, con organizzazioni ben strutturate e azioni tanto efficaci da produrre danni che nel 2021 potrebbero toccare i 6 trilioni di dollari l’anno. L’attenzione delle aziende è decisamente aumentata negli ultimi anni, anche per effetto della normativa che è diventata più severa in fatto di protezione dei dati e dei sistemi digitali con cui vengono trattati e conservati. Nonostante gli investimenti siano rilevanti (ad esempio nel settore medico e finanziario, tra i più bersagliati), il rischio di essere vittima di una cyber crisi non è affatto remoto.

La cyber crisi – ovvero la crisi innescata da un attacco informatico – ha una dinamica particolare rispetto ad altre situazioni di emergenza. A differenza di incidenti ed eventi avversi che sono immediatamente visibili, tra l’attacco e il momento in cui esso diventa di dominio pubblico possono passare settimane, mesi, a volte persino anni. Ricordiamo ad esempio il caso di Yahoo, oggetto di due data breach nel 2013 e 2014, che sono stati resi noti soltanto nel 2016. L’impatto, inizialmente stimato nella violazione di 1 miliardo di account utenti, si è in realtà esteso a quasi 3 miliardi di account utenti – configurando il più grave data breach di tutti i tempi.

In una cyber crisi, se l’organizzazione colpita non riesce a gestire la comunicazione con tempestività, rischia di lasciare un lungo periodo vuoto che, una volta scoperto, può seriamente minare la fiducia degli stakeholder, nonché la reputazione della stessa azienda e dei suoi brand.

Nel paper “Managing stakeholder communication during a cyber crisis”, Caroline Sapriel, fondatrice e managing partner di CS&A International, sottolinea come l’indignazione degli stakeholder possa far degenerare la crisi in un vero tracollo reputazionale. Ci sono esempi virtuosi in cui la gestione efficace delle relazioni con i media e gli stakeholder ha contribuito a mitigare i danni (Sapriel ricorda Norsk Hydro, il produttore norvegese di alluminio vittima di un attacco informatico nel marzo 2019, e il massiccio attacco contro Twitter nel luglio 2020, con la violazione di moltissimi profili personali), ma anche molti casi in cui la mancanza di trasparenza ha finito per avere conseguenze molto serie sulla reputazione, oltre a costi considerevoli. Gli hotel Marriott e Cathay Pacific vi dicono niente?

Una comunicazione chiara, tempestiva, trasparente e coerente è fondamentale in qualsiasi situazione di emergenza, ma a maggior ragione nelle cyber crisi dove la risoluzione del problema potrebbe richiedere parecchio tempo, e l’escalation potrebbe essere più veloce del previsto.

Serve allora una preparazione particolarmente accurata, che includa l’analisi delle vulnerabilità specifiche, la mappatura degli stakeholder esterni e interni, la definizione degli scenari possibili, la formazione ad hoc dei membri del Comitato di crisi e dei portavoce. Un percorso non banale, ma tutt’altro che superfluo.