INDICE
Il ransomware è un malware che blocca l’accesso ai dati e chiede un riscatto per ripristinarli. Ad oggi, resta lo strumento di cybercrime più impattante in Europa secondo ENISA. Nel 2025 l’Italia ha registrato 507 incidenti gravi, il 42% in più rispetto al 2024 (Rapporto Clusit 2026). Il costo medio di recupero da un attacco, escluso l’eventuale riscatto, si attesta oggi intorno a 1,53 milioni di dollari a livello globale. La difesa efficace combina patch management, backup testati, autenticazione a più fattori e formazione dei dipendenti. Analizziamo questo tipo di attacco nel dettaglio.
Cos’è un attacco ransomware
Il ransomware è un malware (malicious software) che blocca l’accesso ai file o ai sistemi di un’organizzazione e chiede un riscatto, quasi sempre in criptovaluta, per ripristinarli. Un ransomware moderno raramente si limita a cifrare i file: nella maggior parte dei casi esfiltra prima i dati e poi li cifra, in quello che viene chiamato modello a doppia estorsione. Se l’azienda ha un backup e rifiuta di pagare, la minaccia si sposta sulla pubblicazione dei dati rubati. Alcuni gruppi arrivano alla tripla estorsione, coinvolgendo anche clienti o fornitori della vittima per aumentare la pressione.
Buona parte degli attacchi ransomware oggi viene condotta da affiliati che acquistano l’accesso a piattaforme di Ransomware-as-a-Service (RaaS), non da chi ha sviluppato il malware. Questo modello ha abbassato la barriera d’ingresso per i criminali informatici e spiega in parte la proliferazione di varianti: ENISA ha censito 82 varianti ransomware distinte impiegate contro organizzazioni dell’Unione Europea nel periodo analizzato, con Akira, SafePay e Qilin tra le più diffuse.

Come entra un ransomware in azienda
I tre vettori di accesso più comuni restano phishing, sfruttamento di vulnerabilità e credenziali compromesse, spesso combinati tra loro nello stesso attacco.
Phishing e ingegneria sociale
Il phishing resta il principale vettore di accesso iniziale, responsabile di circa il 60% delle intrusioni rilevate da ENISA nell’ultimo anno. L’intelligenza artificiale generativa ha reso queste campagne più credibili e più difficili da riconoscere: email grammaticalmente corrette, personalizzate sul destinatario, spesso indistinguibili da comunicazioni legittime. Abbiamo approfondito questa evoluzione nell’articolo su phishing multicanale.
Vulnerabilità non aggiornate e accessi remoti esposti
A livello europeo, secondo ENISA, il phishing è il principale vettore di accesso iniziale, seguito dallo sfruttamento di vulnerabilità. A livello globale, il Verizon DBIR 2025 evidenzia invece un peso maggiore dell’abuso di credenziali compromesse e dello sfruttamento di vulnerabilità. Lo sfruttamento di vulnerabilità note rappresenta circa il 21% delle intrusioni rilevate da ENISA ed è tra i due vettori di accesso iniziale più comuni anche a livello globale. Il Verizon DBIR 2025 lo colloca al 20% delle violazioni analizzate, con una crescita del 34% rispetto all’anno precedente. Molti attacchi partono da sistemi con patch mancanti o da servizi di accesso remoto (VPN, RDP) esposti su internet senza controlli adeguati. La velocità con cui i gruppi criminali armano una vulnerabilità appena resa pubblica si misura ormai in giorni, non in settimane.
Credenziali compromesse e movimento laterale
Le credenziali rubate, spesso raccolte tramite infostealer o acquistate da broker di accessi, permettono agli attaccanti di entrare senza sfruttare nessuna vulnerabilità tecnica. Sempre secondo il Verizon DBIR 2025, l’abuso di credenziali compromesse è il vettore di accesso iniziale più comune a livello globale, presente nel 22% delle violazioni analizzate. Una volta dentro, il movimento laterale verso i sistemi critici è la fase che precede la cifratura vera e propria.
Abbiamo trattato questo meccanismo nell’articolo su furto di credenziali.

Le conseguenze reali di un attacco
Un attacco ransomware comporta quasi sempre costi ben superiori al riscatto stesso, tra downtime operativo, remediation e danni reputazionali. Ma il costo economico è solo una parte dell’impatto complessivo.
Il primo effetto tangibile di un ransomware è il blocco operativo: linee di produzione ferme, ordini non evasi, sistemi gestionali irraggiungibili. A questo si sommano i costi di risposta all’incidente, l’eventuale riscatto (che Cyber Ack non consiglia di pagare, per ragioni sia etiche sia pratiche: pagare non garantisce il recupero dei dati né la loro non pubblicazione) e i costi di ripristino dell’infrastruttura. Secondo IBM, il costo totale medio di un incidente ransomware, inclusi downtime e remediation, si attesta intorno ai 5,08 milioni di dollari a livello globale.
Per i soggetti rientranti nel perimetro NIS2, inoltre, un incidente ransomware comporta obblighi di notifica con tempistiche precise, che abbiamo descritto nell’articolo dedicato all’adeguamento alla direttiva NIS2. A questo si aggiunge il rischio reputazionale verso clienti e partner, soprattutto quando l’azienda colpita fa parte di una filiera produttiva più ampia.
Oltre alla NIS2, il quadro normativo europeo si sta consolidando anche su altri fronti: il regolamento DORA per il settore finanziario e il Cyber Resilience Act per i produttori di software e dispositivi connessi stanno spingendo le organizzazioni verso una gestione del rischio più strutturata e documentata, requisito che diventa cruciale proprio nel momento in cui si deve dimostrare, dopo un incidente, di aver adottato misure adeguate.
Perché le aziende italiane sono un bersaglio concreto
L’Italia subisce quasi il 10% degli attacchi informatici mondiali pur rappresentando una quota molto più piccola del PIL globale. La causa principale è uno scarto strutturale negli investimenti in sicurezza. Il Rapporto Clusit 2026 segnala che l’Italia destina alla cybersecurity circa lo 0,13-0,14% del PIL, meno della metà della media G7, che si attesta intorno allo 0,3%. Il settore manifatturiero italiano, in particolare, assorbe il 16% di tutti gli attacchi manifatturieri censiti a livello mondiale, un dato rilevante per un’economia in cui l’industria pesa in modo significativo.
Va detto con chiarezza: questo non significa che ogni azienda subirà un attacco, ma che il rischio ransomware per un’organizzazione italiana, indipendentemente dal settore, non è più un’ipotesi remota da relegare all’IT.
Prevenzione e resilienza ransomware: le misure che fanno la differenza
Le misure con il maggiore impatto sulla riduzione del rischio ransomware sono, in ordine di priorità pratica: patch management costante, backup testati, autenticazione a più fattori e formazione dei dipendenti.
Patch management e gestione delle vulnerabilità
Mantenere aggiornati sistemi operativi, applicazioni e dispositivi di rete riduce in modo diretto la superficie sfruttabile, ed è la misura che agisce sulla causa tecnica più citata dalle aziende colpite. Un programma strutturato di Vulnerability Assessment permette di identificare le falle prima che diventino un punto d’ingresso.
Backup 3-2-1 e test di ripristino
Il backup resta la misura di resilienza più efficace contro il ransomware, a condizione che segua la regola del 3-2-1 (tre copie dei dati, su due supporti diversi, con almeno una copia offline o immutabile) e che venga testato periodicamente. Un backup che non è mai stato ripristinato in un test non è una garanzia, è una supposizione.
Autenticazione a più fattori e segmentazione della rete
L’MFA su accessi remoti e account amministrativi riduce drasticamente l’efficacia delle credenziali rubate. La segmentazione della rete limita la capacità dell’attaccante di muoversi lateralmente una volta ottenuto un primo accesso, contenendo l’impatto anche quando la prevenzione iniziale fallisce.
Formazione dei dipendenti
Dato che il phishing resta il vettore dominante, un programma di formazione continuativa sui dipendenti riduce concretamente il tasso di successo delle campagne di ingegneria sociale, oggi rese più insidiose dall’uso di IA generativa.

Cosa fare se l’attacco è già in corso
Il primo passo in caso di attacco ransomware è isolare immediatamente i sistemi compromessi dalla rete, per limitare la propagazione e preservare le evidenze utili all’analisi forense. Si consiglia di evitare lo spegnimento indiscriminato dei sistemi senza il supporto del team di incident response, perché alcune evidenze volatili potrebbero andare perse. Il passo successivo è attivare il piano di risposta agli incidenti, se già predisposto, o contattare un servizio di Incident Response specializzato.
Abbiamo descritto passo per passo cosa deve contenere un piano efficace nell’articolo su come costruire un piano di risposta agli incidenti. Ricorda di non ripristinare da backup prima di aver identificato il vettore di accesso iniziale: farlo senza questa verifica espone al rischio concreto di una reinfezione.
Tra il primo accesso e la cifratura o l’esfiltrazione dei dati può passare molto più tempo di quanto si pensi. In questo intervallo gli attaccanti creano spesso meccanismi di persistenza, come account di servizio nascosti o accessi paralleli, proprio per mantenere l’accesso anche dopo un primo intervento di bonifica. Per questo ripristinare un backup precedente all’intrusione senza prima verificare quando è avvenuto il primo accesso rischia di reintrodurre l’attaccante insieme ai dati, vanificando l’intero ripristino.
Il ransomware non si combatte con una singola misura, ma con la combinazione di prevenzione tecnica, formazione delle persone e capacità di risposta rapida in caso di incidente. Se vuoi capire il livello di esposizione reale della tua infrastruttura, un Vulnerability Assessment è il primo passo concreto per individuare le falle prima che lo faccia un attaccante. Se invece hai bisogno di strutturare o testare un piano di risposta agli incidenti, il nostro team è a disposizione per una valutazione.
FAQ – Ransomware in azienda
Conviene pagare il riscatto in caso di attacco ransomware? Le autorità di law enforcement e numerosi organismi di cybersecurity europei sconsigliano il pagamento del riscatto: pagare non garantisce il recupero dei dati, alimenta l’economia criminale e non esclude ulteriori estorsioni.
Il backup basta a proteggere l’azienda dal ransomware? Il backup è necessario, ma non sufficiente. Protegge dalla perdita dei dati in caso di cifratura, ma non impedisce l’esfiltrazione preventiva né la pubblicazione dei dati rubati, tipica della doppia estorsione.
Qual è il vettore di accesso più comune per un attacco ransomware? Il phishing resta il vettore dominante a livello europeo, responsabile di circa il 60% delle intrusioni secondo ENISA, seguito dallo sfruttamento di vulnerabilità (21-32% a seconda della fonte) e dalle credenziali compromesse.
Quanto costa in media un attacco ransomware? Il costo medio di recupero da un attacco ransomware, escluso l’eventuale riscatto, è di circa 1,53 milioni di dollari a livello globale (Sophos State of Ransomware 2025). Considerando anche downtime e remediation, il costo totale medio sale a circa 5,08 milioni di dollari (IBM Cost of a Data Breach 2025).
Quanto tempo serve per riprendersi da un attacco ransomware? I tempi variano molto in base alla preparazione dell’azienda. Come riferimento generale sulle violazioni informatiche, l’IBM Cost of a Data Breach Report 2025 rileva che il tempo medio per identificare e contenere un incidente è di 241 giorni.
Le piccole aziende sono davvero un bersaglio del ransomware? Sì. I gruppi RaaS colpiscono in modo automatizzato e opportunistico, spesso indipendentemente dalle dimensioni dell’azienda, privilegiando chi presenta vulnerabilità facilmente sfruttabili.