Ransomware in azienda: come funziona e come proteggersi

Cos’è un attacco ransomware

Il ransomware è un malware (malicious software) che blocca l’accesso ai file o ai sistemi di un’organizzazione e chiede un riscatto, quasi sempre in criptovaluta, per ripristinarli. Un ransomware moderno raramente si limita a cifrare i file: nella maggior parte dei casi esfiltra prima i dati e poi li cifra, in quello che viene chiamato modello a doppia estorsione. Se l’azienda ha un backup e rifiuta di pagare, la minaccia si sposta sulla pubblicazione dei dati rubati. Alcuni gruppi arrivano alla tripla estorsione, coinvolgendo anche clienti o fornitori della vittima per aumentare la pressione.

Buona parte degli attacchi ransomware oggi viene condotta da affiliati che acquistano l’accesso a piattaforme di Ransomware-as-a-Service (RaaS), non da chi ha sviluppato il malware. Questo modello ha abbassato la barriera d’ingresso per i criminali informatici e spiega in parte la proliferazione di varianti: ENISA ha censito 82 varianti ransomware distinte impiegate contro organizzazioni dell’Unione Europea nel periodo analizzato, con Akira, SafePay e Qilin tra le più diffuse.

Ransomware 83,5%

Come entra un ransomware in azienda

I tre vettori di accesso più comuni restano phishing, sfruttamento di vulnerabilità e credenziali compromesse, spesso combinati tra loro nello stesso attacco.

Phishing e ingegneria sociale

Vulnerabilità non aggiornate e accessi remoti esposti

Credenziali compromesse e movimento laterale

Cause diffuse degli attacchi in azienda

Le conseguenze reali di un attacco

Un attacco ransomware comporta quasi sempre costi ben superiori al riscatto stesso, tra downtime operativo, remediation e danni reputazionali. Ma il costo economico è solo una parte dell’impatto complessivo.

Oltre alla NIS2, il quadro normativo europeo si sta consolidando anche su altri fronti: il regolamento DORA per il settore finanziario e il Cyber Resilience Act per i produttori di software e dispositivi connessi stanno spingendo le organizzazioni verso una gestione del rischio più strutturata e documentata, requisito che diventa cruciale proprio nel momento in cui si deve dimostrare, dopo un incidente, di aver adottato misure adeguate.

Perché le aziende italiane sono un bersaglio concreto

L’Italia subisce quasi il 10% degli attacchi informatici mondiali pur rappresentando una quota molto più piccola del PIL globale. La causa principale è uno scarto strutturale negli investimenti in sicurezza. Il Rapporto Clusit 2026 segnala che l’Italia destina alla cybersecurity circa lo 0,13-0,14% del PIL, meno della metà della media G7, che si attesta intorno allo 0,3%. Il settore manifatturiero italiano, in particolare, assorbe il 16% di tutti gli attacchi manifatturieri censiti a livello mondiale, un dato rilevante per un’economia in cui l’industria pesa in modo significativo.

Va detto con chiarezza: questo non significa che ogni azienda subirà un attacco, ma che il rischio ransomware per un’organizzazione italiana, indipendentemente dal settore, non è più un’ipotesi remota da relegare all’IT.

Prevenzione e resilienza ransomware: le misure che fanno la differenza

Le misure con il maggiore impatto sulla riduzione del rischio ransomware sono, in ordine di priorità pratica: patch management costante, backup testati, autenticazione a più fattori e formazione dei dipendenti.

Patch management e gestione delle vulnerabilità

Mantenere aggiornati sistemi operativi, applicazioni e dispositivi di rete riduce in modo diretto la superficie sfruttabile, ed è la misura che agisce sulla causa tecnica più citata dalle aziende colpite. Un programma strutturato di Vulnerability Assessment permette di identificare le falle prima che diventino un punto d’ingresso.

Backup 3-2-1 e test di ripristino

Il backup resta la misura di resilienza più efficace contro il ransomware, a condizione che segua la regola del 3-2-1 (tre copie dei dati, su due supporti diversi, con almeno una copia offline o immutabile) e che venga testato periodicamente. Un backup che non è mai stato ripristinato in un test non è una garanzia, è una supposizione.

Autenticazione a più fattori e segmentazione della rete

L’MFA su accessi remoti e account amministrativi riduce drasticamente l’efficacia delle credenziali rubate. La segmentazione della rete limita la capacità dell’attaccante di muoversi lateralmente una volta ottenuto un primo accesso, contenendo l’impatto anche quando la prevenzione iniziale fallisce.

Formazione dei dipendenti

Come difendersi dai ransomware: patch management, backup 3.2.1, MFA e segmentazione, formazione personale

Cosa fare se l’attacco è già in corso

FAQ – Ransomware in azienda

Conviene pagare il riscatto in caso di attacco ransomware? Le autorità di law enforcement e numerosi organismi di cybersecurity europei sconsigliano il pagamento del riscatto: pagare non garantisce il recupero dei dati, alimenta l’economia criminale e non esclude ulteriori estorsioni.

Il backup basta a proteggere l’azienda dal ransomware? Il backup è necessario, ma non sufficiente. Protegge dalla perdita dei dati in caso di cifratura, ma non impedisce l’esfiltrazione preventiva né la pubblicazione dei dati rubati, tipica della doppia estorsione.

Qual è il vettore di accesso più comune per un attacco ransomware? Il phishing resta il vettore dominante a livello europeo, responsabile di circa il 60% delle intrusioni secondo ENISA, seguito dallo sfruttamento di vulnerabilità (21-32% a seconda della fonte) e dalle credenziali compromesse.

Quanto costa in media un attacco ransomware? Il costo medio di recupero da un attacco ransomware, escluso l’eventuale riscatto, è di circa 1,53 milioni di dollari a livello globale (Sophos State of Ransomware 2025). Considerando anche downtime e remediation, il costo totale medio sale a circa 5,08 milioni di dollari (IBM Cost of a Data Breach 2025).

Quanto tempo serve per riprendersi da un attacco ransomware? I tempi variano molto in base alla preparazione dell’azienda. Come riferimento generale sulle violazioni informatiche, l’IBM Cost of a Data Breach Report 2025 rileva che il tempo medio per identificare e contenere un incidente è di 241 giorni.

Le piccole aziende sono davvero un bersaglio del ransomware? Sì. I gruppi RaaS colpiscono in modo automatizzato e opportunistico, spesso indipendentemente dalle dimensioni dell’azienda, privilegiando chi presenta vulnerabilità facilmente sfruttabili.

Condividi su :