Cyber risk quantification: FAIR e Bayesian a confronto

Per due decenni il rischio informatico è stato comunicato ai vertici aziendali attraverso matrici colorate, scale ordinali e aggettivi: alto, medio, basso. Quel linguaggio, oggi, non basta più. Da un lato, il consiglio di amministrazione chiede di sapere quanto vale, in euro, l’esposizione di un servizio critico; dall’altro, regolatori e mercati assicurativi pretendono evidenze numeriche, modelli auditabili, stime tracciabili. Il Regolamento (UE) 2022/2554 (DORA), pienamente applicabile dal 17 gennaio 2025, e la Direttiva (UE) 2022/2555 (NIS2), il cui termine di recepimento è scaduto il 17 ottobre 2024, hanno spostato definitivamente la barra: chi è in perimetro deve poter dimostrare, con dati e metodologie difendibili, come misura il rischio ICT e perché alloca le risorse in un certo modo.

In questo scenario la cyber risk quantification (CRQ) è diventata una disciplina di confine fra cybersecurity, statistica, scienze attuariali e governance. Due famiglie di metodi dominano il dibattito tecnico: il modello FAIR (Factor Analysis of Information Risk) e gli approcci basati sulle reti bayesiane (Bayesian Networks, BN). Non sono modelli rivali per principio, ma esprimono filosofie di misurazione diverse e, soprattutto, presentano forze e debolezze che vale la pena conoscere prima di scegliere.

Cosa significa oggi quantificare il rischio cyber

Per Gartner, la cyber risk quantification è un metodo per esprimere l’esposizione al rischio derivante dagli ambienti digitali interconnessi in termini di business, dove “termini di business” significa, in primis, moneta. Il 2025 State of Cyber Risk Management Report pubblicato dal FAIR Institute fotografa una crescita rapida: la consapevolezza del modello FAIR fra i professionisti raggiunge il 99 per cento, il 24 per cento delle organizzazioni intervistate lo utilizza già e un ulteriore 22 per cento ne pianifica l’adozione; fra chi lo ha implementato, il 90 per cento dichiara di averne tratto benefici concreti.

I numeri di mercato confermano la traiettoria. Secondo Business Research Insights, il segmento CRQ vale circa 340 milioni di dollari nel 2024 e dovrebbe raggiungere 900 milioni entro il 2033, con un tasso medio composto di crescita del 12 per cento. Una recente analisi di Kovrr sui trend CRQ 2026 attribuisce l’accelerazione al combinato disposto di DORA in Europa, CPS 230 in Australia e regole di disclosure SEC negli Stati Uniti: dove la regolazione impone soglie di materialità, le valutazioni qualitative non sono più sufficienti.

A complicare il quadro, una rilevazione del PwC Global Digital Trust Insights 2025 osserva che, pur considerando la misurazione del rischio cyber decisiva per prioritizzare gli investimenti (88 per cento) e allocare le risorse (87 per cento), soltanto il 15 per cento delle organizzazioni dichiara di misurare l’impatto finanziario dei rischi cyber in modo significativo. Lo scarto fra consapevolezza e attuazione è il vero nodo: e quel nodo passa quasi sempre dalla scelta del modello.

FAIR: la grammatica del rischio in termini finanziari

Il modello FAIR nasce dal lavoro di Jack Jones nei primi anni Duemila e diventa standard internazionale grazie a The Open Group, che ne mantiene la versione consensuale e aperta nel Body of Knowledge composto dallo standard O-RT (Risk Taxonomy) e dallo standard O-RA (Risk Analysis). Nel maggio 2025 The Open Group ha annunciato il rilascio degli aggiornamenti O-RA versione 2.1 e O-RT versione 3.1, allineando il framework alla funzione “Govern” introdotta dal NIST Cybersecurity Framework 2.0.

La struttura concettuale di FAIR è elegante nella sua linearità. Il rischio è il prodotto di due grandezze: la Loss Event Frequency (LEF), ossia la frequenza con cui un evento di perdita si manifesta in un dato intervallo, e la Loss Magnitude (LM), ossia la magnitudo economica dell’evento. La LEF si decompone a sua volta in Threat Event Frequency e Vulnerability, mentre la LM si articola in perdite primarie (danno immediato all’asset) e perdite secondarie (sanzioni, contenzioso, danno reputazionale, costi di risposta).

I valori non sono punti ma distribuzioni di probabilità, tipicamente triangolari o PERT, che vengono combinate attraverso simulazione Monte Carlo: migliaia di scenari sintetici producono una distribuzione delle perdite annue, dalla quale si estraggono indicatori quali la perdita attesa, il Value at Risk (VaR) e la curva di superamento (Loss Exceedance Curve).

Negli ultimi anni il modello si è espanso in un vero ecosistema. Il FAIR Controls Analytics Model (FAIR-CAM), introdotto da Jack Jones e descritto come “fisiologia” dei controlli rispetto all'”anatomia” dei framework, quantifica in unità misurabili (frequenza, probabilità, tempo) l’effetto di ciascun controllo sul rischio, distinguendo Loss Event Controls, Variance Management Controls e Decision Support Controls e mappandoli su NIST CSF, CIS Controls, NIST SP 800-53, ISO/IEC 27002 e MITRE ATT&CK. Il FAIR Materiality Assessment Model (FAIR-MAM) raffina il lato della magnitudo seguendo la logica con cui un CFO o un assicuratore classificherebbero le perdite; FAIR-TAM affronta il rischio di terze parti; FAIR-AIR offre un playbook per l’AI risk.

FAIR si presenta dunque come una piattaforma matura, vendor-neutral, mappabile sui principali standard internazionali e in grado di restituire ai decisori un linguaggio omogeneo: l’euro. Per questo è stato adottato come riferimento metodologico dalla maggior parte delle piattaforme CRQ commerciali e viene esplicitamente richiamato dal NIST come standard quantitativo complementare al NIST SP 800-30 Rev. 1, che resta la guida federale statunitense per la conduzione di risk assessment.

I limiti di FAIR: distribuzioni rigide e dipendenza dagli esperti

Nonostante la diffusione, FAIR mostra alcuni limiti tecnici che la letteratura accademica ha analizzato in modo sistematico. Lo studio di Jiali Wang, Martin Neil e Norman Fenton (Queen Mary University of London), pubblicato sulla rivista Computers and Security nel 2020 con il titolo A Bayesian network approach for cybersecurity risk assessment implementing and extending the FAIR model, è la pietra di paragone obbligata.

Gli autori evidenziano tre criticità. In primo luogo, FAIR utilizza esclusivamente distribuzioni triangolari per i fattori di input: questa scelta semplifica i calcoli ma approssima male i fenomeni a coda pesante, tipici delle perdite cyber, dove eventi rari di magnitudo estrema dominano la coda destra della distribuzione. In secondo luogo, le tecniche di approssimazione interne (cache di dati e interpolazione) introducono errori sistematici che, in scenari complessi, possono diventare significativi. In terzo luogo, la struttura del modello è poco espandibile: aggiungere fattori, relazioni causali o dipendenze fra variabili richiede modifiche profonde all’ontologia, non semplici estensioni.

Vi è poi una questione più di sostanza che di matematica. Anche un modello quantitativo è soggetto al principio “garbage in, garbage out”: gli input di FAIR sono in larga parte stime di esperti, calibrate attraverso tecniche di intervallo confidente.

Se la qualità dei dati interni è bassa, se gli esperti non sono ben calibrati, se non esistono basi storiche su frequenze e impatti per quella tipologia di evento, la sofisticazione del Monte Carlo produce un risultato preciso ma non necessariamente accurato. È la combinazione fra modello aperto, tassonomia condivisa e qualità dei dati a determinare la robustezza di un’analisi FAIR: senza la seconda condizione, anche il framework più sofisticato produce risultati difficilmente difendibili davanti a un regolatore o a un consiglio di amministrazione.

L’approccio bayesiano: causalità, aggiornamento, incertezza

Le reti bayesiane rispondono in modo strutturalmente diverso. Una rete bayesiana è un grafo diretto aciclico in cui i nodi rappresentano variabili aleatorie e gli archi rappresentano dipendenze probabilistiche, codificate in tabelle di probabilità condizionata. Il teorema di Bayes, in forma operativa, permette di aggiornare la probabilità di un’ipotesi quando arrivano nuove evidenze. Tradotto in linguaggio cyber: quando un sensore rileva un’anomalia, quando un feed di Cyber Threat Intelligence (CTI) segnala un nuovo exploit attivo, quando il punteggio EPSS di una vulnerabilità cresce, la rete ricalcola la probabilità che un certo asset venga compromesso.

La letteratura scientifica sull’uso delle BN per la quantificazione del rischio è ampia e cresce rapidamente. Il filone più consolidato riguarda i Bayesian Attack Graphs (BAG): grafi in cui i nodi corrispondono a stati di compromissione del sistema e gli archi a transizioni rese possibili da exploit. Il lavoro di Frigault, Wang, Jajodia e Singhal (2017), pubblicato nel volume Network Security Metrics di Springer, mostra come integrare i punteggi CVSS nelle reti bayesiane per ottenere metriche cumulative di sicurezza di rete.

La frontiera attuale si è spostata verso modelli dinamici. Una ricerca pubblicata su International Journal of Information Security nel febbraio 2026, Quantifying cyber threat using Bayesian statistical analysis, integra l’analisi bayesiana con la mappatura dei pericoli specifici per sistema, allineandosi alla CyBOK Risk Management and Governance Knowledge Area e alla guidance NIST. Il framework collega perdite accettabili e non accettabili a hazard, hazard alle tattiche MITRE ATT&CK, e applica il teorema di Bayes per aggiornare in tempo reale le probabilità di minaccia man mano che vengono ingeriti nuovi indicatori CTI.

Sulla stessa linea, Cheimonidis e Rantos (CSR 2025) hanno proposto un framework bayesiano-Markoviano che integra i valori EPSS per quantificare le transizioni probabilistiche fra stati compromessi e la probabilità di raggiungere asset critici, mentre un lavoro recente su arXiv combina metriche temporali CVSS e BAG per assessment dinamici delle vulnerabilità.

Sul fronte applicativo, un articolo pubblicato in marzo 2026 su Applied Sciences (MDPI) descrive l’uso di una rete bayesiana per il decision support cybersecurity di macchine CNC e sistemi di controllo industriale, esplicitamente allineato alla Direttiva NIS2 (UE 2022/2555), alla ISO/IEC 27001:2022, alla ISO/IEC 27005:2022 e al Cyber Resilience Act (Regolamento UE 2024/2847): un esempio della convergenza fra reti bayesiane e quadro regolatorio europeo nei contesti OT.

Un ulteriore studio, comparso su Scientific Reports (Nature) nel 2025, mostra come un modello ibrido fra reti bayesiane e regressione logistica, applicato al catalogo CISA Known Exploited Vulnerabilities, raggiunga un’accuratezza del 97 per cento (con AUC pari a 0,88) nella classificazione del rischio di sfruttamento, superando sia le BN sia la LR utilizzate separatamente.

I vantaggi del paradigma bayesiano sono evidenti: rappresentazione esplicita dell’incertezza, capacità di aggiornamento online, possibilità di integrare evidenze eterogenee (CVSS, EPSS, telemetria EDR, log di processo, feed di intelligence), modellazione delle dipendenze causali fra vulnerabilità, controlli e impatti. Anche i limiti, però, sono noti: la costruzione di una rete bayesiana richiede competenze statistiche, tempo di modellazione, una fase di elicitazione delle probabilità condizionate spesso dipendente dagli esperti; aggiornare strutturalmente la rete quando il dominio cambia (nuovi asset, nuove minacce) può richiedere un rebuilding sostanziale. La presenza di cicli direzionali nei grafi di attacco, inoltre, è incompatibile con la definizione classica di BN aciclica, costringendo ad adottare reti bayesiane dinamiche (DBN) o algoritmi ad hoc.

FAIR-BN: il compromesso fra ontologia e flessibilità statistica

Per superare le rigidità di FAIR senza rinunciarne alla tassonomia, Wang, Neil e Fenton hanno proposto un approccio ibrido: FAIR-BN. L’idea è semplice nella sua eleganza: si conserva la decomposizione ontologica di FAIR (LEF, LM, fattori di vulnerabilità), ma si implementa il calcolo del rischio tramite una rete bayesiana invece che con Monte Carlo. Il guadagno è duplice: si possono usare distribuzioni statistiche arbitrarie (incluse quelle a coda pesante, più realistiche per i danni cyber) e si possono estendere i nodi del modello con relazioni causali aggiuntive senza riprogettare l’ontologia.

L’analisi sperimentale degli autori mostra che, in scenari aderenti alle assunzioni rigorose di FAIR, FAIR-BN restituisce risultati coerenti con FAIR; in scenari più realistici, dove le distribuzioni triangolari sono inadeguate, FAIR-BN risulta più accurato. La Extended FAIR-BN (EFBN) integra inoltre componenti process-oriented e game-theoretic, aprendo alla modellazione delle interazioni strategiche fra attaccante e difensore. Lavori successivi, citati anche nella review CRQ di ENISA, hanno mostrato come l’integrazione di BN nei flussi FAIR consenta anche di importare dinamicamente dati da feed esterni, riducendo la dipendenza da elicitazione esperti.

L’approccio FAIR-BN non è ancora uno standard formale, ma rappresenta un ponte significativo: chi adotta FAIR per ragioni di interoperabilità e linguaggio comune con il business può estenderne la potenza analitica con la matematica bayesiana, ottenendo un modello che parla “in euro” al consiglio di amministrazione e “in probabilità condizionate” al SOC.

FAIR e Bayesian a confronto: una tabella operativa

La tabella suggerisce una conclusione operativa: i due approcci non sono sostituti perfetti, ma complementari. FAIR risponde meglio alla domanda “quanto rischio in euro stiamo trasferendo, accettando, mitigando?” e si presta alla comunicazione con CFO, board, assicuratori. Le reti bayesiane rispondono meglio alla domanda “data l’evidenza che osservo ora, quanto è probabile che questo asset sia compromesso e che la propagazione raggiunga sistemi critici?” e si prestano all’integrazione con SOC, Continuous Threat Exposure Management (CTEM) e supply chain monitoring.

Implicazioni per NIS2, DORA e l’ecosistema regolatorio italiano

Per le organizzazioni italiane in perimetro NIS2 (recepita con il Decreto legislativo 4 settembre 2024, n. 138) o DORA, la scelta del modello di CRQ non è una preferenza accademica ma una decisione che incide sulla difendibilità delle valutazioni davanti all’autorità competente. L’ENISA, attraverso la sua Technical Implementation Guidance del giugno 2025, destinata in primo luogo ai soggetti dell’Implementing Regulation (UE) 2024/2690 (infrastrutture digitali, ICT service management, digital providers), non impone una metodologia specifica ma richiede coerenza, documentazione e proporzionalità. L’Interoperable EU Risk Management Toolbox, aggiornato nel 2023, fornisce un meta-framework per valutare l’interoperabilità delle metodologie esistenti.

DORA, dal canto suo, è particolarmente prescrittivo: il Capo II del Regolamento richiede che le entità finanziarie identifichino, classifichino e documentino il rischio ICT in modo strutturato, con soglie di materialità per le incident notification e con un registro dei fornitori ICT. La quantificazione finanziaria del rischio non è formalmente obbligatoria, ma diventa di fatto necessaria per dimostrare la proporzionalità delle misure adottate e per supportare il Threat-Led Penetration Testing (TLPT) previsto per le entità più critiche. Un modello FAIR ben implementato fornisce questa traccia documentale in modo naturale; un modello bayesiano dinamico la fornisce con granularità superiore ma richiede una governance dei dati più matura.

Per il mercato assicurativo cyber, il dibattito è ancora aperto. Il rapporto ENISA AI and Cyber Insurance sottolinea come l’industria attuariale stia integrando approcci classici (modelli GLM, distribuzioni a code pesanti) con tecniche di machine learning, e come la Solvency 2 imponga modelli stocastici verificabili. In questo perimetro, sia FAIR sia le BN trovano spazio: FAIR per la riserva tecnica e la sottoscrizione individuale, le BN per la modellazione di scenari sistemici e dipendenze di portafoglio.

Le quattro questioni che restano aperte

Tre tendenze e una questione critica meritano attenzione nei prossimi mesi.

La prima è l’automazione. FAIR-CAM e le piattaforme che lo implementano (Safe Security, RiskLens, Kovrr, fra le altre) mirano a ridurre la dipendenza da stime manuali integrando telemetria di controllo. Le BN dinamiche, alimentate da EPSS e CTI, vanno nella stessa direzione. La convergenza fra le due correnti è probabile.

La seconda è l’AI risk quantification. Con l’entrata in vigore dell’AI Act (Regolamento UE 2024/1689) e la pubblicazione del framework FAIR-AIR, la quantificazione del rischio derivante dai sistemi di intelligenza artificiale (model leakage, prompt injection, data poisoning) sta diventando un dominio applicativo specifico. Le reti bayesiane, per la loro capacità di trattare incertezza epistemica, sembrano particolarmente adatte a questo perimetro.

La terza è la convergenza con CTEM. Continuous Threat Exposure Management, indicato da Gartner come priorità per il 2026, richiede di prioritizzare le esposizioni in base all’impatto sul business e non al solo punteggio tecnico. Sia FAIR sia le BN forniscono il “layer decisionale” che CTEM richiede.

La questione critica, infine, è la qualità dei dati. Nessun modello, per quanto sofisticato, può sostituire una base storica solida su frequenza e magnitudo degli eventi. La condivisione di dati di perdita anonimizzati fra organizzazioni, l’estensione dei feed pubblici (CISA KEV, EPSS) e l’integrazione con le segnalazioni di incident DORA e NIS2 sono le precondizioni per portare la CRQ dal laboratorio alla pratica operativa quotidiana.

Conclusioni: scegliere il modello giusto è scegliere la domanda giusta

Confrontare FAIR e reti bayesiane non significa cercare un vincitore. Significa riconoscere che esprimono due domande diverse, entrambe legittime: quanto vale il rischio che porto a board e mercato, e quanto è probabile che un certo scenario di attacco si materializzi data l’evidenza che osservo.

Per la maggior parte delle organizzazioni mature, la risposta sta in una strategia ibrida: una tassonomia FAIR per il reporting strategico e la comunicazione finanziaria, una o più reti bayesiane per la modellazione dinamica delle minacce e l’integrazione con la threat intelligence. Il framework FAIR-BN, proposto dalla scuola di Queen Mary, indica la direzione tecnica; gli standard O-RA 2.1 e O-RT 3.1 forniscono la cornice metodologica annunciata da The Open Group nel maggio 2025; ENISA, NIST e ACN tracciano il perimetro regolatorio.

In un contesto in cui DORA è applicabile da diciotto mesi e NIS2 viene attuata con sanzioni che possono raggiungere il 2 per cento del fatturato globale annuo, smettere di descrivere il rischio cyber a parole e iniziare a misurarlo, in euro e in probabilità, non è più una scelta culturale ma una richiesta esplicita di chi vigila e di chi investe.

Fonti:

• FAIR Institute, 2025 State of Cyber Risk Management Report, giugno 2025.
• FAIR Institute, FAIR Framework for Effective Cyber Risk Management.
• FAIR Institute, FAIR Controls Analytics Model (FAIR-CAM).
• FAIR Institute, A FAIR Artificial Intelligence (AI) Cyber Risk Playbook (FAIR-AIR).
• The Open Group, Open FAIR Body of Knowledge; annuncio rilascio O-RA 2.1 e O-RT 3.1, maggio 2025.
• The Open Group, Risk Analysis (O-RA) e Risk Taxonomy (O-RT).
• PwC, 2025 Global Digital Trust Insights.
• Kovrr, 6 Cyber Risk Quantification (CRQ) Trends That Will Define 2026.
• NIST, Special Publication 800-30 Rev. 1, Guide for Conducting Risk Assessments.
• NIST, Special Publication 800-61 Rev. 3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management, aprile 2025.
• ENISA, Technical Implementation Guidance on cybersecurity risk-management measures, giugno 2025.
• ENISA, Interoperable EU Risk Management Toolbox.
• ENISA, Research and Innovation Brief: AI and Cyber Insurance.
• Jiali Wang, Martin Neil, Norman Fenton, A Bayesian network approach for cybersecurity risk assessment implementing and extending the FAIR model, Computers and Security, 2020.
• Marcel Frigault, Lingyu Wang, Sushil Jajodia, Anoop Singhal, Measuring the Overall Network Security by Combining CVSS Scores Based on Attack Graphs and Bayesian Networks, in Network Security Metrics, Springer, 2017.
• Quantifying cyber threat using Bayesian statistical analysis, International Journal of Information Security, febbraio 2026.
• Bayesian Networks for Cybersecurity Decision Support: Enhancing Human-Machine Interaction in Technical Systems, Applied Sciences (MDPI), marzo 2026.
• Vulnerability Assessment Combining CVSS Temporal Metrics and Bayesian Networks, arXiv, 2025.
• A hybrid approach combining Bayesian networks and logistic regression for enhancing risk assessment, Scientific Reports, 2025.
• P. Cheimonidis, K. Rantos, A Bayesian-Markov Framework for Proactive and Dynamic Cyber Risk Assessment Driven by EPSS, IEEE CSR 2025.
• Regolamento (UE) 2022/2554 (DORA); Direttiva (UE) 2022/2555 (NIS2); Decreto legislativo 4 settembre 2024, n. 138.