Secondo Matteo Flora, docente di reputazione digitale ed esperto di sicurezza informatica, bisogna considerare due costi: quelli della sostituzione e quelli della non-sostituzione. Con un’avvertenza: serve valutare quanto l’attaccante è disposto a investire per colpire un soggetto