Rischio aggregato: come valutare l’esposizione sistemica cyber
Nel 2025, valutare il rischio informatico solo a livello di singola filiale o asset è insufficiente. In un mondo altamente interconnesso, gli attacchi possono propagarsi in cascata, causando impatti su più business unit contemporaneamente. Il rischio aggregato cyber misura questa esposizione sistemica ed è cruciale per la governance strategica.
Questa guida ti mostra:
- Le differenze tra rischio individuale e aggregato
- Come misurare la correlazione tra scenari
- Come realizzare un RA multilivello per gruppi, filiali, e fornitori
- Esempi concreti, normative, checklist e template scaricabili
Perché il rischio aggregato è oggi cruciale
Modelli sistemici e rischi cumulativi
Rapporti come “Scoping Out Systemic Cyber Risk” di Lloyd’s sottolineano come eventi condivisi (es. vulnerabilità zero‑day su software di largo utilizzo) creino impatti simultanei su più entità.
Analogamente, il modello proposto da Coalition (Active Cyber Risk Model) utilizza dati real-time su vulnerabilità e dipendenze shared per modellare rischio sistemico non diversificabile.
Il rischio sistemico nel settore finanziario
Il Financial Systemic Analysis & Resilience Center (FSARC) ha dimostrato che una catena logica di compromissione può aumentare il rischio fino al 90% su un intero sistema bancario.
Questo richiede un approccio integrato, non più siloed.
Logiche economiche e assicurative
Il concetto di risk accounting (BCBS, Carmona et al.) indica l’importanza di aggregare esposizioni non-finanziarie, come il cyber risk, in bilanci strutturati.
Solo comprendendo il rischio sistemico è possibile costruire coperture assicurative realistiche e sostenibili.
Cos’è il rischio aggregato in ambito cyber
Il rischio aggregato (o systemic cyber risk) è l’analisi dell’esposizione complessiva tenendo conto di:
- Interdipendenze tra asset, processi, persone
- Effetti combinati di più incidenti simultanei
- Rischi indiretti come reputazione, compliance, continuità
- Eventi comuni su servizi condivisi (es. Azure, AD, VPN)
Ad esempio, una configurazione errata di Active Directory in una holding può rivelarsi vulnerabile su scala enterprise in caso di exploit zero‑day: il rischio aggregato supera di gran lunga la somma dei rischi locali.
Rischio individuale vs rischio aggregato: principali differenze
| Elemento | Rischio Individuale | Rischio Aggregato |
|---|---|---|
| Perimetro | Singolo asset o sede | Intera organizzazione o gruppo |
| Probabilità | Evento isolato | Possibilità di eventi correlati |
| Impatto | Locale | A cascata: filiali, servizi, brand |
| Governance | Locale, con owner dedicato | Centralizzata, con visione cross‑unit |
| Mitigazione | Controlli locali | Strategia coordinata e resiliente |
Quadro normativo e linee guida ufficiali
Le migliori pratiche ESG e normative richiedono ora una visione integrata del rischio cyber:
- ISO/IEC 27001:2022 → A.5.4, A.8.30 richiedono RA su scala aziendale
- NIS2 Art. 21 → misure “adeguate e proporzionate ai rischi sistemici”
- DORA Art. 10 → valutazione del rischio ICT a livello di gruppo
- CSRD / ESRS → G1 e RMG richiedono disclosure di rischi sistemici
- GDPR Art. 32 → considerazione al perimetro supply-chain e IT condiviso
Come misurare il rischio aggregato: approccio multi-step
Mappatura delle dipendenze
- Popola il CMDB con attualità: AD, VPN, IdP, logging condiviso
- Crea un diagramma di dipendenze per processi critici
Strumenti utili: CAASM, enterprise architecture tool, asset maps
Definizione di scenari correlati
- Identifica eventi “group-wide” (es. Supply-chain breach, disaster shared service)
- Usa MITRE ATT&CK per threat modelling su vectori correlati
Esempio: exploit su IdP può esporre 5 system cluster simultanei
Calcolo del rischio aggregato
Matrice di correlazione tra scenari
Strumento chiave per valutare correlazioni:
- Ad esempio, un exploit su IdP aumenta il rischio su ERP, email, cloud
- Coefficiente di correlazione tra 0 e 1 per ciascun scenario
Simulazioni Monte Carlo
Modelli quantitativi come quelli di RAND combinano failures a cascade con analisi input‑output per stimare impatti su larga scala.
FAIR multilivello
FAIR esteso calcola Expected Loss includendo correlazioni e dipendenze (C_i)*:Rischio aggregato = Σ(LEF_i × PLM_i × C_i)
*(Dove C_i è il coefficiente di correlazione tra scenario i e resto del gruppo.)
Visualizzazione e reporting
- Heatmap multilivello per BU e asset
- Grafi interattivi di dipendenza (es. AD come centro)
- Dashboard RA cluster (by region, unit, vendor)
- Template visivo scaricabile (PDF, Visio)
Esempi settoriali
Finanza – Gruppo bancario internazionale
- RA locali in 10 Paesi con server e branch
- Rischio aggregato evidenzia che AD vulnerabile copre >80% del core banking
→ Conseguenza: revisione architettura AD e deployment di MFA globale
Sanità – Network ospedaliero
- Più ospedali condividono la stessa cartella elettronica
- Scenario aggregato: breach su sistema centrale → blocco accesso a cartelle cliniche
→ Azione: segmentazione rete, backup isolati e 24h tabletop test
Manifattura – Multinazionale OT
- 5 linee di produzione connessi al medesimo SCADA
- Evento zero-day su SCADA node centrale mette a rischio tutta la produzione
→ Misure: segmentazione OT, IDS/IPS, workflow incident response unificati
Mini checklist operativa per il RA aggregato
- CMDB con dipendenze tra asset e processi populata
- Scenari correlati definiti e modellati
- Coefficienti di correlazione stimati
- RA aggregato calcolato e validato con stakeholders
- Dashboard visivo pronto per report board e audit
- Pianificazione audit/mitigazioni per scenari ad alto impatto
❓FAQ
- Perché non è sufficiente sommare i rischi locali?
- La somma lineare ignora le correlazioni tra asset e fail-down a cascata. Il rischio reale può essere molto superiore al totale dei rischi locali.
- Che strumenti servono per mappare le dipendenze?
- Soluzioni di CAASM, enterprise architecture tools e asset grafi, integrabili con CMDB.
- In che modo l’RA aggregato influenza assicurazione cyber?
- Potenzialmente, può evidenziare sottoassicurazione (coverage gap) e giustificare operazioni di risk transfer strutturato.
Glossario tecnico
- Rischio aggregato: esposizione sistemica calcolata su più rischi correlati
- C_i (Correlazione): coefficiente 0–1 che misura correlazione tra scenari
- FAIR: framework per quantificazione economica del rischio cyber
- CMDB: configuration Management Database per asset e relazioni
- (MTTR) Mean Time To Recovery: tempo medio di ripristino
- Fornitore critico: vendor la cui compromissione impatta più linee di business
📥 Scarica lo schema visuale per RA Aggregato
PDF / Visio pronta da integrare nel risk register e nel bilancio ESG.
👉🏻 [Download gratuito – nessuna registrazione]