Nel 2025 il ransomware è stato coinvolto nel 44% delle violazioni analizzate a livello globale, diventando di fatto il “volto” più frequente degli incidenti cyber. Questo significa che, quasi una volta su due, un data breach non si limita al furto di informazioni ma include anche cifratura dei dati o estorsione, con impatti diretti su operatività, reputazione e conti economici di imprese di ogni dimensione.
- Perché il ransomware è ovunque (o quasi)
- Cosa significa un attacco ransomware per una PMI
- Mossa 1: rafforzare i punti d’ingresso (identità, patch, superficie esposta)
- Mossa 2: proteggere endpoint e rete con strumenti adeguati
- Mossa 3: fare formazione continua su phishing e truffe digitali
- Mossa 4: backup solidi, isolati e testati
- Mossa 5: preparare un piano di risposta e valutare la protezione assicurativa
Perché il ransomware è ovunque (o quasi)
I dati dei principali report mostrano che il ransomware è passato da minaccia tra le tante a modalità di attacco dominante: nel 2025 è presente in circa il 44% di tutte le violazioni, in forte aumento rispetto a poco più del 30% dell’anno precedente. Il motivo è semplice: per i criminali è un modello di business rodato, che combina blocco dei sistemi, furto di dati e pressione psicologica sulla vittima, con un potenziale ritorno economico elevato anche se solo una parte delle aziende paga.
Allo stesso tempo, gli attaccanti hanno perfezionato le tecniche: alle campagne “di massa” si sono affiancati attacchi mirati a settori critici come manifattura, sanità, energia e servizi finanziari, che nel 2025 hanno visto una crescita a doppia cifra degli incidenti. La diffusione di modelli di doppia e tripla estorsione (cifratura, esfiltrazione dati, minaccia di leak o DDoS) aumenta la leva di ricatto e rende complesso per le aziende gestire la crisi senza impatti significativi.
Cosa significa un attacco ransomware per una PMI
Per una piccola o media impresa, un attacco ransomware non è solo un problema “IT”, ma un evento che può fermare la produzione, bloccare i servizi ai clienti e causare la perdita di dati critici. Secondo le analisi 2025, il costo medio di un incidente di questo tipo, considerando fermi operativi, ripristino, consulenze e danni indiretti, si colloca nell’ordine di milioni di dollari nei casi più gravi, anche se i valori variano molto per dimensione e settore dell’azienda.
Un altro elemento chiave è che sempre più organizzazioni scelgono di non pagare il riscatto: alcuni report stimano che meno del 40% delle vittime effettui un pagamento, in calo rispetto agli anni precedenti. Questo obbliga le imprese a puntare sulla resilienza – backup, piani di risposta, continuità operativa – perché l’idea di “pagare e tornare come prima” è ormai poco realistica, sia per i rischi legali sia per la bassa affidabilità delle promesse dei criminali.
Mossa 1: rafforzare i punti d’ingresso (identità, patch, superficie esposta)
Le statistiche sui data breach mostrano che molte violazioni iniziano ancora “alla vecchia maniera”: credenziali rubate, phishing riuscito, sistemi esposti con vulnerabilità note. Ridurre queste porte d’ingresso è il primo livello di difesa contro il ransomware. Per una PMI significa:
- Applicare regolarmente aggiornamenti di sicurezza a server, applicazioni e dispositivi collegati a Internet, con particolare attenzione ai sistemi esposti esternamente;
- Abilitare l’autenticazione a più fattori (MFA) su email, VPN, gestionali e strumenti cloud critici, così da rendere meno efficace il furto di password;
- Chiudere servizi non utilizzati, vecchi account e accessi remoti superflui, riducendo la superficie attaccabile.
Queste azioni non eliminano il rischio, ma abbassano sensibilmente la probabilità che un attaccante riesca a entrare con strumenti relativamente semplici e poco costosi.
Mossa 2: proteggere endpoint e rete con strumenti adeguati
Nel 2025 l’antivirus tradizionale non basta più: molti attacchi sfruttano strumenti legittimi presenti sui sistemi, rendendo difficile distinguere attività lecite da comportamenti malevoli. Le guide per le piccole imprese raccomandano di valutare soluzioni di Endpoint Detection and Response (EDR) o sistemi equivalenti in grado di monitorare in tempo reale i comportamenti sospetti, isolare macchine compromesse e supportare l’analisi degli incidenti.
Parallelamente, è importante segmentare la rete, in modo che un singolo dispositivo compromesso non consenta al ransomware di propagarsi liberamente a server, NAS e backup. Anche l’uso di VPN sicure, la chiusura di protocolli rischiosi esposti verso Internet e la limitazione dei privilegi amministrativi riducono l’impatto di un eventuale ingresso dell’attaccante.
Mossa 3: fare formazione continua su phishing e truffe digitali
Molti incidenti di ransomware partono da un clic sbagliato: email che imitano fornitori, allegati malevoli, link a siti creati per rubare credenziali. I dati mostrano che una percentuale non trascurabile di violazioni ha ancora come vettore iniziale phishing e social engineering, soprattutto nelle realtà dove la formazione è sporadica o puramente formale.
Per ridurre questo rischio è più efficace puntare su brevi incontri periodici, esempi pratici e simulazioni, invece che su un’unica sessione annuale. Alcune buone pratiche includono:
- Insegnare a riconoscere i segnali tipici di email sospette (urgenza, richieste di pagamento, cambio IBAN, allegati inattesi);
- Introdurre procedure semplici per verificare richieste finanziarie o cambi di coordinate, sempre tramite un secondo canale (telefono, portale ufficiale);
- Coinvolgere non solo l’IT, ma anche amministrazione, vendite e ruoli di front office, spesso i più esposti a comunicazioni esterne.
Una cultura minima di attenzione può evitare proprio quell’“unico clic di troppo” che apre la porta a un attacco complesso.
Mossa 4: backup solidi, isolati e testati
Quando il ransomware colpisce, la possibilità di ripartire dai backup è ciò che separa un incidente grave da una crisi esistenziale. Tuttavia, diversi report evidenziano come molti backup non siano realmente utilizzabili perché non aggiornati, non isolati o mai testati in condizioni reali.
Le linee guida più aggiornate suggeriscono un approccio che preveda:
- Copie di backup automatizzate e regolari dei dati critici, con conservazione in sedi logiche o fisiche diverse.
- Almeno una copia “offline” o immutabile (non riscrivibile), così che il ransomware non possa cifrarla insieme al resto dell’infrastruttura.
- Test periodici di ripristino, per verificare tempi, integrità dei dati e procedure operative in caso di emergenza.
Un piano di backup ben progettato non riduce la probabilità di attacco, ma limita enormemente il danno e rende meno allettante l’idea di pagare un riscatto.
Mossa 5: preparare un piano di risposta e valutare la protezione assicurativa
Anche con tutte le misure tecniche in atto, il rischio zero non esiste: gli esperti insistono sulla necessità di avere un piano di risposta a incidenti che includa ruoli, contatti, decisioni da prendere nelle prime ore e canali di comunicazione interni ed esterni. Sapere in anticipo chi chiama chi, quali sistemi isolare, quali consulenti coinvolgere e come gestire clienti e fornitori riduce il caos e i tempi morti nel momento più delicato.
Per molte PMI diventa sempre più rilevante affiancare a tecnologia e processi anche una polizza assicurativa specifica per il cyber risk, in grado di contribuire a coprire costi di risposta all’incidente, ripristino sistemi, consulenza legale, comunicazione verso gli interessati e, in alcuni casi, perdite da interruzione di attività. Inserita in una strategia di sicurezza più ampia, la polizza non sostituisce le misure tecniche ma le completa, offrendo un’ultima linea di difesa sul piano economico e gestionale.
In un contesto in cui quasi la metà delle violazioni vede coinvolto il ransomware, le “5 mosse minime” – ridurre la superficie d’attacco, rafforzare endpoint e rete, formare le persone, avere backup affidabili e preparare un piano di risposta con adeguata copertura assicurativa – rappresentano la base per non farsi trovare del tutto impreparati.
