Guida pratica all’approccio FAIR: valutare il rischio con metodo quantitativo

Perché servono numeri, non intuizioni

Nel 2025, il board non accetta più valutazioni di rischio basate su colori, intuizioni o scale soggettive. In un contesto di minacce complesse, catene di fornitura esposte e normative rigorose (NIS2, DORA, AI Act), CISO, IT Manager e Compliance Officer devono presentare valutazioni solide, comparabili e giustificabili in termini finanziari.

Il modello FAIR (Factor Analysis of Information Risk) offre un framework quantitativo per tradurre il rischio cyber in impatto economico atteso, facilitando decisioni informate a livello dirigenziale .

Cos’è il modello FAIR e perché è diverso

FAIR è uno standard open gestito da The Open Group, progettato per:

• Decomporre il rischio cyber in fattori misurabili
• Assegnare valori numerici a frequenza e impatto
• Tradurre il rischio in una metrica economica (Expected Loss)

A differenza di approcci qualitativi come ISO/IEC 27005, FAIR utilizza una struttura analitica per superare le limitazioni delle heatmap e delle stime soggettive .

I concetti chiave del modello FAIR

Il framework si basa su due assi principali:

1. Probable Loss Event Frequency (LEF): la probabilità che si verifichi un evento di perdita in un determinato periodo.
2. Probable Loss Magnitude (PLM): l’ammontare economico atteso della perdita nel caso in cui l’evento si verifichi.

Formula: Rischio = LEF × PLM

Ogni componente viene ulteriormente scomposto:

• LEF = Threat Event Frequency × Vulnerability
• PLM = Primary Loss (danni diretti) + Secondary Loss (legali, reputazionali)

Esempio pratico: un attacco ransomware con accesso remoto non segmentato avrà alta TEF, alta vulnerabilità e un PLM elevato se colpisce un ERP core. Il risultato sarà una Expected Annual Loss quantificabile in euro, utile per presentazioni al board e investimenti.

Il problema delle heatmap tradizionali

Le matrici di rischio basate su colori sono visivamente semplici ma metodologicamente deboli:

• Sono soggettive
• Non permettono confronti tra scenari
• Non sono traducibili in linguaggio economico

FAIR risolve questi limiti con un approccio quantitativo, utile per comunicare il rischio in termini finanziari.

Come applicare FAIR: metodologia passo-passo

Definizione dello scenario di rischio

→ Identifica:

• asset
• minaccia
• attore
• vettore (es. “phishing + furto credenziali + accesso ERP”)

→ Definisci il perimetro del rischio da analizzare.

🔧 Strumenti utili: threat library, incident log, stakeholder workshop

Raccolta dei dati e stima delle variabili

→ Usa dati storici, esperti interni, threat intelligence

→ Assegna range min–max o distribuzioni probabilistiche alle variabili

🔧 Tool consigliati: RiskLens, FAIR-U, Monte Carlo simulation tools

Calcolo e simulazione del rischio

→ Esegui simulazioni per ottenere Expected Loss annuale

→ Visualizza risultati con curve di perdita, intervalli di confidenza, percentili

Output: una stima realistica, argomentabile, presentabile in sede decisionale

Evoluzioni del modello FAIR

Il modello FAIR, nella sua versione base, fornisce una struttura efficace per la quantificazione del rischio. Tuttavia, negli ultimi anni il FAIR Institute ha introdotto due importanti estensioni metodologiche:

FAIR-CAM™ (Controls Analytics Model)

Questo modello consente di analizzare come i controlli di sicurezza impattano realmente sul rischio, distinguendo tra:

• Loss Event Controls: riducono la frequenza degli eventi
• Variance Reduction Controls: riducono l’incertezza nelle stime
• Decision Support Controls: supportano la governance del rischio

Esempio operativo: un controllo MFA può ridurre sia la probabilità (Threat Event Frequency) sia la variabilità della vulnerabilità percepita. Con FAIR-CAM è possibile rappresentare questo impatto in modo strutturato.

FAIR-MAM™ (Materiality Assessment Model)

Serve a scomporre e quantificare con maggior dettaglio la “Probable Loss Magnitude”:

• Costi diretti: ripristino, forensics, interruzione operativa
• Costi secondari: legali, reputazionali, regolatori
• Costi latenti: perdita opportunità, danni a lungo termine

Questo è particolarmente utile per:

• Costruire business case assicurativi
• Simulare diversi scenari di attacco
• Supportare richieste budget

FAIR nel ciclo di vita della gestione del rischio (PDCA)

Il modello FAIR non è pensato come un esercizio isolato, ma si integra perfettamente nel ciclo di vita continuo del risk management secondo lo schema PDCA (Plan–Do–Check–Act):

• PLAN → identificazione degli asset, mappatura degli scenari, raccolta dei dati di input
• DO → quantificazione del rischio (LEF × PLM), analisi dei risultati, simulazioni
• CHECK → verifica periodica dei dati, validazione delle ipotesi, aggiornamento dei modelli
• ACT → scelta dei controlli, allocazione degli investimenti, monitoraggio degli outcome

Questa struttura lo rende particolarmente efficace nei programmi di gestione del rischio basati su ISO/IEC 27001, NIST CSF o linee guida ENISA, dove è necessario dimostrare un approccio attivo e ciclico alla mitigazione del rischio.

Perché adottare FAIR: vantaggi concreti

• Allineamento diretto con i KPI economici
• Supporto alla prioritizzazione e ROI delle misure di sicurezza
• Facilitazione della comunicazione con CFO e assicuratori
• Tracciabilità e trasparenza per audit, regulator e stakeholders

Come FAIR si integra con ISO 27001 e NIS2

FAIR può essere utilizzato come complemento quantitativo a framework qualitativi più diffusi, come ISO/IEC 27005. Le aziende certificate ISO 27001 possono adottare FAIR per dimostrare la coerenza tra asset critici, rischi identificati e investimenti di mitigazione.

Per la conformità alla direttiva NIS2, l’adozione di un RA formalizzato e tracciabile come FAIR, supporta la dimostrazione di misure proporzionate al rischio (art. 21 NIS2) e la prioritizzazione delle misure tecniche e organizzative.

Quando ha senso usare FAIR

FAIR è ideale per:

• grandi aziende (finance, energy, telco, PA)
• scenari critici ad alto impatto economico
• decisioni da giustificare a board e autorità

Richiede: tool dedicati, formazione, maturità nel risk management.

Per PMI o organizzazioni meno strutturate, si può adottare un approccio ibrido:
→ Qualitativo (es. ISO 27005) + Quantitativo (FAIR) per rischi prioritari.

Settori di applicazione: esempi concreti

Finanza

Valutazione del rischio ransomware vs. copertura assicurativa → impatto diretto su premium e policy

Sanità

Analisi del rischio legale derivante da esposizione di dati biometrici → input per DPIA e strategie privacy-by-design

Manifattura

Confronto tra rischio OT (fermo produzione) e costo di segmentazione → supporto a scelte CapEx/Opex

Mini checklist FAIR-ready

• Ho definito chiaramente lo scenario da analizzare?
• Ho accesso a dati storici, threat intel o valutazioni esperte?
• Posso assegnare valori numerici a LEF e PLM?
• Ho strumenti per simulare eventi e produrre output quantitativi?
• Sono in grado di presentare i risultati in formato comprensibile al board?

Riferimenti normativi e linee guida ufficiali

AI Act, Articolo 9: richiede un sistema di gestione del rischio per i sistemi AI ad alto rischio.

ISO/IEC 27005:2022: fornisce linee guida per la gestione del rischio di sicurezza delle informazioni.

NIS2 Directive, Articolo 21: stabilisce misure di gestione del rischio per le entità essenziali e importanti.

Digital Operational Resilience Act (DORA): rafforza la resilienza operativa digitale nel settore finanziario.

❓ FAQ

• FAIR sostituisce ISO/IEC 27005?
• No. FAIR è complementare. ISO 27005 definisce il processo; FAIR fornisce un modello quantitativo per valutare i rischi prioritari.
• Posso applicare FAIR con dati incompleti?
• Sì, FAIR permette l’uso di range stimati e distribuzioni in assenza di dati precisi, mantenendo trasparenza metodologica.
• Il board capirà i risultati?
• Sì. Uno dei vantaggi principali di FAIR è la sua capacità di generare output economici e visuali facilmente presentabili.

Errori comuni nell’adozione di FAIR (e come evitarli)

Anche se potente e flessibile, il modello FAIR è talvolta frainteso. Ecco alcuni errori ricorrenti e le relative correzioni:

• “È troppo complesso per iniziare”: non servono strumenti enterprise. FAIR può essere adottato con modelli Excel, simulatori Monte Carlo open source o tool gratuiti come FAIR-U.
• “FAIR è solo per grandi aziende”: in realtà, è scalabile. Anche una PMI può usarlo per analizzare 1–2 scenari critici all’anno, migliorando consapevolezza e allocazione delle risorse.
• “Serve una base dati perfetta”: FAIR è progettato per gestire l’incertezza. Intervalli stimati da esperti, se ben documentati, sono validi e utilizzabili fin da subito.

Glossario tecnico FAIR

• LEF: frequenza stimata di un evento dannoso
• PLM: impatto economico atteso di un singolo evento
• Threat Event Frequency: frequenza potenziale di tentativi di attacco
• Vulnerability: probabilità che un attacco abbia successo
• Primary Loss: danni diretti (es. fermo, perdita dati)
• Secondary Loss: conseguenze indirette (es. multe, crisi reputazionale)

📥 Simula il tuo rischio con FAIR

Prova gratuitamente uno strumento FAIR online per stimare il rischio economico legato a uno scenario cyber tipico della tua azienda.
👉🏻 Simula ora (nessuna registrazione richiesta)