Secondo il report Cost of a Data Breach di IBM, il costo medio globale di una violazione dei dati si attesta a 4,88 milioni di dollari. Sebbene queste violazioni possano colpire organizzazioni di ogni tipo e dimensione, la gravità e i costi per porvi rimedio possono variare.
Ad esempio, il costo medio di una violazione dei dati negli Stati Uniti è di 9,36 milioni di dollari, circa 4 volte il costo di una violazione in India (2,35 milioni di dollari).
Le conseguenze delle violazioni tendono a essere particolarmente gravi per le organizzazioni in settori altamente regolamentati come quello sanitario, finanziario e pubblico, dove multe e sanzioni elevate possono far lievitare i costi. Ad esempio, secondo il report di IBM, la violazione media dei dati sanitari costa 9,77 milioni di dollari, il doppio del costo medio di tutte le violazioni.
I costi delle violazioni dei dati derivano da diversi fattori. Il report di IBM ne evidenzia quattro principali: opportunità di business mancate, rilevamento e contenimento, risposta e notifica a seguito della violazione.
La perdita di opportunità commerciali, ricavi e clienti derivante da una violazione costa alle organizzazioni in media 1,47 milioni di dollari. Il prezzo per rilevare e contenere la violazione è ancora più alto, pari a 1,63 milioni di dollari. Le spese a seguito della violazione, tra cui sanzioni, accordi, spese legali, monitoraggio gratuito del credito per i clienti interessati e altre spese simili, costano alla vittima media della violazione 1,35 milioni di dollari.
I costi delle notifiche, che includono la segnalazione delle violazioni a clienti, alle autorità di regolamentazione e ad altre terze parti, sono i più bassi: 430.000 dollari. Tuttavia, gli obblighi di rendicontazione possono essere comunque onerosi e richiedere molto tempo.
Il Cyber Incident Reporting for Critical Infrastructure Act del 2022 (CIRCIA) degli Stati Uniti impone alle organizzazioni operanti nel settore della sicurezza nazionale, della finanza e di altri settori designati di segnalare incidenti di sicurezza informatica che interessano dati personali o operazioni di business al Dipartimento della sicurezza nazionale entro 72 ore.
Le organizzazioni statunitensi soggette all'Health Insurance Portability and Accountability Act (HIPAA) sono tenute a informare il Dipartimento dei servizi sanitari e sociali, le persone interessate e (in alcuni casi) i media in caso di violazione di informazioni sanitarie protette.
Ognuno dei 50 stati americani dispone anche di leggi proprie che regolano la notifica della violazione dei dati.
Il Regolamento generale sulla protezione dei dati (GDPR) impone alle aziende che intrattengono rapporti commerciali con i cittadini dell’UE di notificare alle autorità le violazioni entro 72 ore.