Comunicazione di crisi cyber: guida per board e uffici stampa

Un incidente cyber male comunicato può diventare una crisi esistenziale

Nel 2025, un attacco informatico non gestito con una comunicazione chiara può trasformarsi in un danno reputazionale duraturo. I media, i clienti e le autorità non tollerano silenzi o risposte vaghe.

(Ad esempio, Marks & Spencer ha subito un calo del 5% del valore azionario e perdite fino a £300 million per scarsa comunicazione post-breach.)

Questo articolo fornisce un playbook operativo e strutturato, utile a CISO, team PR, compliance officer e membri del board.

Perché è fondamentale un piano di comunicazione in crisi cyber

Un piano efficace consente di:

• Allineare messaggi tra PR, IT, Legal e board
• Ridurre escalation mediatiche e disinformazione
• Migliorare la credibilità verso regolatori e clienti
• Evitare sanzioni per comunicazioni ritardate (GDPR, NIS2)

Un caso europeo recente ha evidenziato: 25% clienti premium persi, sanzione GDPR di €2,1 milioni, downgrade ESG a causa di ritardo nella notifica.

Le 3 fasi chiave della comunicazione in emergenza

Preparazione (fase pre-incident)

La maggior parte del lavoro va fatto prima dell’incidente:

• Redazione del playbook di comunicazione
• Costruzione della stakeholder map
• Training dei portavoce (CEO, CISO, PR) in tabletop exercise o incident simulation
• Identificazione dei canali ufficiali: PEC, newsroom, LinkedIn, sito, supporto clienti

→ Suggerimento operativo: crea un Crisis PR Room virtuale su Teams o Slack, accessibile solo da team approvati, per coordinare le azioni in real time.

→ Strumenti: stakeholder map, media kit, canali ufficiali, landing page di crisi

Attivazione (prime 24–72 ore)

• Team crisi operativo entro 1 ora dal rilevamento
• Comunicazione al CEO e board
• Notifica alle autorità (CERT, Garante) via PEC/portale ufficiale
• Primo comunicato pubblico (“holding statement”)
• Landing page dedicata per clienti, aggiornamenti social e email

Esempio: “Stiamo investigando un’anomalia. Alcuni servizi sono parzialmente interrotti. Forniremo aggiornamenti ogni 4 ore.”

Consolidamento (giorni 3–30+)

• Pubblicazione del root cause analysis e misure adottate
• FAQ pubbliche su intranet e mail
• Aggiornamenti regolari (standup giornalieri o cadenzati)
• Monitoraggio attivo dei social per contrastare disinformazione

KPI suggeriti:

• Tempo medio tra detection e primo comunicato (target <6h)
• Numero di comunicazioni proattive verso stakeholder
• Volume e tono delle citazioni su Google News e social

Tip → anche in assenza di novità, comunica comunque lo stato attuale: la trasparenza costruisce fiducia.

Mappa stakeholder: chi comunicare, come e quando

Ruolo	Priorità	Canale	Frequenza
CEO / Board	Alta	Verbale + email	Giornaliera
Dipendenti	Alta	Intranet + comunicazione HR	1–2 volte/giorno
Clienti	Alta	Email + landing page	Ogni 12–24h
Media	Media	Comunicato stampa	Per ogni update
Autorità (CERT, Garante)	Obbligatoria	PEC / portale regolatorio	Entro 72h
Fornitori critici	Media	Email + call	Iniziale + follow-up

I 4 ruoli chiave nella comunicazione incidenti cyber

Ogni ruolo deve essere definito prima della crisi, con contatti, backup e responsabilità chiarite:

• CISO → Fonte tecnica primaria. Comunica lo stato dell’incidente, impatti reali, misure adottate. Non parla ai media.
• Responsabile PR → Redige comunicati, coordina le relazioni con media e stakeholder. Valida ogni messaggio esterno.
• Legal → Controlla conformità delle dichiarazioni, gestisce rischio legale. Relaziona con autorità.
• CEO o portavoce autorizzato → Assume il volto pubblico dell’azienda. Agisce su script condivisi.

→ Il CISO non dovrebbe mai essere l’unico a comunicare in pubblico. La comunicazione incidenti cyber richiede gestione reputazionale oltre che tecnica.

Script predefiniti per crisi comuni

Quando un attacco cyber si verifica, il tempismo e la coerenza della comunicazione sono fondamentali. Avere a disposizione degli script predefiniti consente di ridurre i tempi di risposta, mantenere la chiarezza dei messaggi e prevenire errori o ambiguità che potrebbero amplificare il danno reputazionale.

Di seguito sono riportati tre esempi pratici di comunicazioni pronte all’uso, adattabili alle principali tipologie di incidenti.

Data breach PII

“Abbiamo rilevato accessi non autorizzati a dati personali. Stiamo indagando e collaborando con le autorità competenti.”

Ransomware/disservizio

“Stiamo gestendo un blackout causato da un attacco. Al momento non risultano compromessi dati. Attivato presidio tecnico per il ripristino.”

Leak non confermati

“Siamo consapevoli di indiscrezioni online riguardo a un possibile incidente. Al momento stiamo verificando e forniremo aggiornamenti solo tramite i nostri canali ufficiali.”

Collegamenti normativi (2025)

• NIS2 Art. 23 – Comunicazione tempestiva dell’incidente agli stakeholder
• GDPR Art. 33 – Notifica entro 72 ore alla data breach
• DORA Art. 17–19 – Comunicazione e trasparenza informativa
• ISO/IEC 27001:2022 A.5.28, A.17 – Governance e comunicazione per incidenti

Come collegare il piano PR alla strategia di sicurezza e continuità

La comunicazione incidente cyber non è un’attività isolata. Deve essere integrata con:

• Incident Response Plan (IRP) → le fasi tecniche forniscono le milestone comunicative
• Business Continuity Plan (BCP) → definisce cosa dire e a chi in caso di interruzione servizi
• Risk Assessment → scenario-based communication (RA ad alto impatto → script pronto)
• Cyber Insurance → molti contratti richiedono notifica e disclosure entro X ore

→ Best practice: include il piano comunicazione tra i controlli A.17 di ISO/IEC 27001:2022 e nel registro misure NIS2 Art. 21

Esempi settoriali

Finanza

Entità bancarie gestiscono press release coordinate con Banca d’Italia e aggiornamenti su portali investor.

Sanità

Incidenti su dati clinici generano comunicazioni ufficiali ai pazienti tramite protocolli e portali digitali.

Manifattura

Incidenti ICS = potenziale reputazionale B2B e istituzionale. Comunicazione strutturata verso autorità, clienti e partner industriali.

Mini checklist operativa di readiness

• Crisis plan aggiornato e testato (es. tabletop test)
• Stakeholder mappati con canali e tempistiche
• Script pre-approvati per almeno 3 scenari
• Landing page / pagina status pronta
• Team crisi addestrato (comunicazione + simulazione)

❓FAQ

• Quanto tempo ho per comunicare un incidente cyber?
• Dipende dalla normativa applicabile. In generale:
  • GDPR: entro 72 ore dalla scoperta del data breach (Art. 33)
  • NIS2: “senza indebito ritardo”, con notifica iniziale entro 24h e report finale entro 72h (Art. 23)
  • DORA (per enti finanziari): comunicazione iniziale entro 4 ore se l’incidente è grave
• Chi deve firmare la comunicazione ufficiale?
• La comunicazione esterna dovrebbe essere firmata da:
  • Il CEO, per eventi gravi o ad alto impatto pubblico
  • Il responsabile PR o Corporate Communication, per comunicazioni operative
  • Il CISO, solo per note tecniche o dichiarazioni riservate
• Cosa succede se comunico troppo tardi?
  • Aumento del danno reputazionale (percezione di incapacità o opacità)
  • Perdita di fiducia di clienti, fornitori e stakeholder
  • Sanzioni da parte di regolatori (es. Garante Privacy, ENISA)
  • Peggioramento del rating ESG e assicurativo
• Posso usare un comunicato generico “in attesa di dettagli”?
• Sì, si chiama holding statement ed è una pratica comune. Deve essere breve, trasparente e aggiornato regolarmente.
• Devo pubblicare il comunicato anche sui social?
• Sì, se i tuoi clienti o stakeholder usano attivamente canali social. L’importante è non usare linguaggio tecnico, limitare i commenti (se possibile) e indicare link alla fonte ufficiale (microsito o pagina crisi)
• Serve il coinvolgimento del board?
• Sì. Il board è responsabile ultimo del rischio reputazionale e deve:
  • Approvare la strategia comunicativa
  • Validare i messaggi in casi ad alto impatto
  • Essere coinvolto nei tabletop test e nel piano di crisis board governance

Errori frequenti da evitare

• Non avere uno script predefinito → porta a reazioni scoordinate e rischi legali
• Mancanza di escalation path → nessuno sa chi deve firmare il comunicato
• Silenzio o negazione → genera sfiducia, allerta i media, impatta le relazioni B2B
• Comunicare troppo tardi o troppo tecnicamente → perdita immediata di controllo narrativo
• Ignorare stakeholder “non IT” → clienti, vendite, ufficio legale, investitori

Glossario tecnico

• Crisis Communication Plan Documento operativo che definisce processi, ruoli e messaggi per la gestione delle comunicazioni durante una crisi cyber.
• Holding Statement Primo comunicato sintetico, emesso prima di avere tutti i dettagli. Serve a dimostrare prontezza e trasparenza.
• Crisis Board Comitato decisionale attivato durante un incidente grave; include CISO, CEO, Legal, PR e funzioni chiave.
• Stakeholder Map Mappatura dei pubblici di riferimento (interni/esterni) a cui indirizzare comunicazioni durante la crisi.
• Root Cause Analysis (RCA) Analisi tecnica della causa primaria dell’incidente; utilizzata per comunicazioni post-evento e audit.
• Playbook Insieme di istruzioni predefinite e script da attivare durante scenari critici.
• Incident Response Plan (IRP) Piano tecnico-operativo per la gestione degli incidenti informatici, da integrare con il piano comunicativo.
• Sentiment Analysis Tecnica di analisi automatica del tono e percezione delle comunicazioni pubbliche (media, social).
• Escalation Path Catena di comando e approvazione da seguire per diffondere comunicazioni sensibili.
• Two-Way Communication Comunicazione bidirezionale con stakeholder (es. clienti, media), con canali aperti a feedback e richieste.