Negli ultimi anni il ransomware è diventato una delle minacce informatiche più concrete per le piccole e medie imprese italiane.
Non si tratta più soltanto di un problema tecnico da lasciare al reparto IT, ma di un rischio che può bloccare la produzione, compromettere dati sensibili e mettere in discussione la continuità dell’azienda.
Capire che cos’è il ransomware, come si diffonde e quali contromisure adottare è oggi un passaggio necessario per qualsiasi imprenditore o responsabile aziendale, indipendentemente dal settore in cui opera.
Che cos’è il Ransomware
Il termine ransomware nasce dall’unione delle parole inglesi “ransom” (riscatto) e “software”, e indica una categoria di malware progettata per impedire l’accesso a dati o sistemi informatici fino al pagamento di una somma di denaro. In pratica, quando si parla di ransomware significato ci si riferisce a un software malevolo che prende in ostaggio le risorse digitali di un’azienda: file, cartelle condivise, database, talvolta interi server, per poi richiedere un pagamento, spesso in criptovaluta, in cambio della loro liberazione.
La caratteristica distintiva di un attacco ransomware è proprio questo meccanismo estorsivo: a differenza di altri malware pensati per rubare informazioni in modo silenzioso, il ransomware si manifesta apertamente, con una richiesta di riscatto e una scadenza entro cui pagare, spesso accompagnata da minacce di pubblicazione dei dati sottratti.
Quando ci si chiede cosa sono i ransomware nella pratica, è utile distinguere due macrocategorie:
- Locker ransomware: bloccano l’accesso al dispositivo o al sistema operativo, mostrando una schermata che impedisce qualunque operazione, ma senza cifrare i singoli file.
- Crypto ransomware: cifrano i file presenti sul dispositivo e, spesso, anche quelli raggiungibili su unità di rete condivise, rendendoli illeggibili senza la chiave di decrittazione in possesso degli attaccanti.
Oggi la maggior parte degli attacchi rilevati a livello europeo rientra nella categoria crypto ransomware, spesso abbinata a tecniche di doppia estorsione: prima i dati vengono copiati e sottratti, poi cifrati, in modo da poter minacciare sia il blocco operativo sia la diffusione pubblica delle informazioni.

Come avviene il contagio da Ransomware
Un attacco ransomware raramente inizia con la cifratura dei dati. Nella maggior parte dei casi si tratta della fase finale di un processo più lungo, che parte da un accesso iniziale non autorizzato alla rete aziendale.
Le modalità di ingresso più diffuse, secondo le analisi condotte a livello europeo sugli incidenti di sicurezza, sono riconducibili principalmente a un ristretto numero di vettori.
- Phishing e ingegneria sociale: email, SMS o messaggi che imitano comunicazioni legittime per indurre il destinatario a cliccare un link malevolo o aprire un allegato infetto, restano di gran lunga il principale punto di ingresso.
- Allegati e link malevoli: documenti con macro, file compressi o PDF che, una volta aperti, scaricano ed eseguono il codice malevolo sul dispositivo.
- Sfruttamento di vulnerabilità software: falle non corrette in sistemi operativi, applicativi gestionali o dispositivi di rete, spesso sfruttate nel giro di pochi giorni dalla loro divulgazione pubblica.
- Credenziali compromesse: password deboli, riutilizzate o ottenute tramite furti precedenti, che consentono l’accesso diretto a servizi aziendali esposti.
- Accessi RDP e VPN esposti su Internet: porte di accesso remoto configurate senza adeguate protezioni, un vettore particolarmente frequente nelle PMI con infrastrutture IT gestite internamente e senza personale dedicato alla sicurezza.
Una volta ottenuto un primo punto d’appoggio nella rete, gli attaccanti raramente agiscono subito. Nella maggior parte degli attacchi ransomware moderni segue una fase di compromissione iniziale e movimento laterale, durante la quale i criminali esplorano la rete, individuano i sistemi più critici, disattivano le soluzioni di backup e innalzano i propri privilegi di accesso.
Solo a questo punto avviene la cifratura dei dati, che rappresenta quindi la fase conclusiva e più visibile dell’attacco, non quella iniziale. Questo significa che, quando compaiono i primi segnali evidenti, l’intrusione nella rete può essere in corso già da giorni o settimane.
Come si manifesta il Ransomware: quali sono i segnali di un sistema compromesso
Riconoscere per tempo i segnali di un possibile attacco ransomware può fare la differenza tra un incidente contenuto e una crisi aziendale prolungata. Alcuni indicatori, se osservati singolarmente, possono sembrare banali problemi tecnici, ma se combinati tra loro meritano un’attenzione immediata.
- Rallentamenti anomali di rete o dispositivi: un traffico di rete insolito o un utilizzo elevato della CPU senza cause apparenti può indicare processi malevoli in esecuzione.
- File con estensioni sconosciute: comparsa improvvisa di file rinominati con estensioni non standard, spesso accompagnati da un file di testo con le istruzioni di riscatto.
- Impossibilità di aprire documenti abituali: file accessibili fino a poco prima che improvvisamente non si aprono più o restituiscono errori di formato.
- Accessi o modifiche a orari insoliti: log di sistema che mostrano accessi amministrativi in orari non lavorativi o da indirizzi IP non riconosciuti.
- Disattivazione di antivirus o strumenti di backup: software di sicurezza risultati disattivati senza intervento autorizzato, segnale tipico delle fasi preparatorie di un attacco.
A differenza della sequenza di intrusione descritta in precedenza, questi segnali sono ciò che concretamente un dipendente o un responsabile IT può osservare nell’operatività quotidiana, ed è per questo che la formazione del personale sul riconoscimento delle anomalie resta una delle difese più efficaci a basso costo.

Quali sono gli obiettivi più comuni di questi attacchi nelle PMI
Contrariamente a quanto si potrebbe pensare, le piccole e medie imprese non sono bersagli secondari rispetto alle grandi organizzazioni.
Diversi rapporti di settore indicano che le PMI rappresentano una quota rilevante delle vittime di ransomware, spesso proprio per la combinazione di due fattori: la presenza di dati e processi di valore, come ordini, anagrafiche clienti, progetti e contabilità, e un livello di protezione mediamente inferiore rispetto alle grandi imprese, con budget e personale dedicati alla sicurezza informatica più limitati.
Gli obiettivi tipici di un attacco ransomware contro una PMI includono in genere i server gestionali ed ERP, gli archivi documentali condivisi e i sistemi di fatturazione e contabilità, e in alcuni casi anche gli ambienti di produzione connessi in rete, soprattutto nei settori manifatturiero e industriale, oggi tra i più colpiti secondo le analisi settoriali più recenti.
Le aziende che operano come fornitori all’interno di filiere produttive più ampie sono inoltre esposte a un rischio ulteriore: un attacco alla singola PMI può ripercuotersi sui clienti a valle, generando interruzioni di servizio ben oltre il perimetro dell’azienda colpita.
Quali sono le conseguenze di un’infezione tramite Ransomware
Le conseguenze di un attacco ransomware vanno ben oltre il blocco temporaneo dei sistemi informatici e si riflettono su più livelli dell’attività aziendale.
Sul piano operativo, l’interruzione dell’accesso a documenti, gestionali e strumenti di produzione può fermare intere linee di lavoro per giorni, con ritardi nelle consegne e nell’evasione degli ordini. Sul piano economico, ai costi diretti di ripristino dei sistemi si sommano le perdite legate al fermo attività, gli eventuali costi di consulenza per la gestione dell’incidente e, in alcuni casi, l’importo del riscatto quando questo viene corrisposto.
Sul piano legale e normativo, se l’attacco comporta l’accesso o la sottrazione di dati personali, l’azienda è tenuta a valutare gli obblighi previsti dal Regolamento Generale sulla Protezione dei Dati, tra cui la notifica al Garante Privacy entro 72 ore dalla scoperta della violazione, quando questa comporta un rischio per i diritti e le libertà degli interessati.
Infine, sul piano reputazionale, la comunicazione, spesso obbligatoria, dell’incidente a clienti e partner commerciali può incidere sulla fiducia costruita nel tempo, soprattutto per le aziende che gestiscono dati di terzi o operano in filiere con requisiti di sicurezza contrattuali.

Cosa fare in caso di attacco Ransomware
Dopo l’attacco: le prime azioni da intraprendere
Quando un attacco ransomware viene individuato, le prime ore sono determinanti per limitarne l’impatto. Le azioni generalmente raccomandate dalle autorità competenti in materia di risposta agli incidenti includono:
- Isolare immediatamente i sistemi compromessi, scollegandoli dalla rete per impedire la propagazione ad altri dispositivi, senza però spegnerli se non strettamente necessario, per preservare eventuali evidenze utili all’analisi.
- Attivare le procedure interne di risposta all’incidente, se già definite, coinvolgendo le figure tecniche responsabili e, quando previsto, il fornitore di servizi di sicurezza gestita.
- Verificare l’estensione reale del compromesso, individuando quali sistemi, cartelle o database risultano coinvolti, prima di procedere a qualunque ripristino.
- In Italia, è importante segnalare l’incidente al CSIRT Italia dell’Agenzia per la Cybersicurezza Nazionale (obbligatorio per le aziende sotto normativa NIS2 e caldamente raccomandato per le altre). Inoltre, poiché i ransomware comportano quasi sempre una perdita di controllo sui dati, è fondamentale procedere alla notifica di Data Breach al Garante della Privacy entro 72 ore (obbligo previsto dal GDPR per qualsiasi azienda), valutando contestualmente la denuncia alla Polizia Postale.
- Ripristinare i sistemi a partire dai backup verificati, solo dopo essersi assicurati che l’accesso non autorizzato sia stato effettivamente eliminato dalla rete.
Sul tema del pagamento del riscatto non esiste una posizione univoca applicabile a ogni caso, ma le autorità di riferimento a livello europeo e nazionale raccomandano generalmente di non procedere al pagamento: non vi è alcuna garanzia che i dati vengano effettivamente restituiti o che non vengano comunque diffusi, e il pagamento contribuisce ad alimentare il modello di business criminale alla base del fenomeno.
In alcune situazioni specifiche, quando sono in gioco la continuità di servizi essenziali o rischi gravi per la sicurezza, la valutazione può essere più complessa e va comunque condotta con il supporto di esperti legali e tecnici, senza decisioni affrettate.
Prima, la prevenzione: come ridurre il rischio di un attacco
La migliore protezione dagli attacchi ransomware non è mai affidata a un unico strumento, ma a una combinazione di misure tecniche, organizzative e formative applicate in modo continuativo.
Tra le pratiche più efficaci indicate dalle linee guida di settore rientrano l’aggiornamento costante di sistemi operativi e applicativi, l’adozione dell’autenticazione a più fattori su tutti gli accessi critici, la segmentazione della rete aziendale per limitare i movimenti laterali, il monitoraggio attivo di endpoint e infrastrutture, e la formazione periodica del personale sul riconoscimento del phishing.
È proprio in questa fase, quella dell’implementazione di un presidio di sicurezza continuativo, che il supporto di un partner specializzato può fare la differenza per una PMI priva di un team IT interno strutturato.
L’approccio adottato da iDigital3 parte dall’analisi delle esigenze e del livello di maturità digitale dell’azienda per definire un percorso personalizzato, che può comprendere attività di monitoraggio e protezione, strategie di backup e disaster recovery, formazione del personale e verifiche periodiche della sicurezza, con l’obiettivo di costruire una difesa realmente integrata e proporzionata ai rischi.
Come possiamo definire le politiche di salvataggio nel caso del Ransomware
Poiché nessuna misura preventiva garantisce una protezione assoluta, disporre di una strategia di backup solida resta l’elemento che più di ogni altro consente di ridurre l’impatto reale di un attacco ransomware, permettendo di ripristinare l’operatività senza dover valutare il pagamento di un riscatto.
- Regola del 3-2-1: mantenere almeno tre copie dei dati, su due supporti differenti, di cui una conservata in una posizione fisicamente separata dalla sede aziendale.
- Copie offline o immutabili: conservare almeno una copia di backup non raggiungibile dalla rete aziendale in tempo reale, oppure protetta da tecnologie di immutabilità che ne impediscono la modifica o cancellazione anche in caso di accesso non autorizzato.
- Verifica periodica del ripristino: testare regolarmente le procedure di ripristino, non limitandosi a verificare che il backup sia stato eseguito correttamente, poiché un backup mai ripristinato realmente non garantisce che il processo funzioni quando serve davvero.
- Pianificazione della continuità operativa: definire in anticipo tempi di ripristino attesi e punti di recupero accettabili per le diverse categorie di dati, così da poter dare priorità ai sistemi più critici in caso di incidente.
Queste pratiche, se applicate con costanza, trasformano il backup da semplice adempimento tecnico a vera e propria rete di sicurezza per la continuità dell’azienda.

Prepararsi oggi per ridurre i rischi di domani
Nessuna organizzazione può eliminare completamente il rischio ransomware, ma ogni azienda può ridurne significativamente la probabilità e, soprattutto, limitarne le conseguenze.
La differenza non è rappresentata soltanto dalle tecnologie adottate, ma dalla capacità di combinare prevenzione, formazione del personale, monitoraggio continuo e strategie di backup efficaci.
Per una PMI, prepararsi oggi significa ridurre il rischio che un singolo incidente informatico possa trasformarsi in un problema operativo, economico e reputazionale difficile da gestire.
FAQ
Che relazione c’è tra phishing e ransomware?
Il phishing rappresenta nella maggior parte dei casi il primo passo di un attacco ransomware: attraverso un’email o un messaggio ingannevole, l’attaccante ottiene credenziali valide oppure induce la vittima a eseguire un file malevolo, aprendo così la porta d’accesso alla rete aziendale. Da qui prende avvio l’intera catena dell’attacco, fino alla cifratura dei dati. Per questo motivo riconoscere le tecniche di phishing è una delle difese più efficaci contro il ransomware. Sull’argomento è disponibile un approfondimento dedicato: Phishing: segnali, rischi e strategie di difesa per le aziende.
Qual è il canale di diffusione principale dei virus denominati ransomware?
Le analisi condotte a livello europeo sugli incidenti di sicurezza indicano costantemente il phishing, comprensivo di email, SMS e messaggistica istantanea, come il principale canale di diffusione, seguito dallo sfruttamento di vulnerabilità software non corrette e dall’uso di credenziali compromesse per accedere a servizi remoti come VPN e RDP. Negli ultimi anni si è aggiunta la diffusione tramite piattaforme di Phishing-as-a-Service, che rendono disponibili kit di attacco già pronti anche ad attori con competenze tecniche limitate, ampliando la platea dei potenziali aggressori.
Qual è la differenza tra ransomware e altri malware?
Distingue il ransomware da spyware/trojan (che restano invisibili per sottrarre dati) evidenziando il suo scopo estorsivo palese, e lo differenzia da virus, worm e altri malware tradizionali per l’impatto mirato a rendere inutilizzabili interi sistemi, non solo singoli file.
Perché le PMI sono tra i principali bersagli degli attacchi ransomware?
Le piccole e medie imprese uniscono due caratteristiche che le rendono particolarmente appetibili per i cybercriminali: da un lato gestiscono dati e processi di valore economico concreto, dall’altro dispongono generalmente di risorse più limitate da destinare alla sicurezza informatica rispetto alle grandi organizzazioni, con minore probabilità di avere personale dedicato o strumenti di monitoraggio avanzati. A questo si aggiunge il ruolo di molte PMI come fornitori all’interno di filiere produttive più ampie, che le rende un possibile punto di accesso indiretto verso clienti o partner di dimensioni maggiori.
Quali sono i ransomware più pericolosi in circolazione?
Il panorama dei gruppi ransomware cambia frequentemente, anche per effetto delle operazioni di contrasto condotte dalle forze dell’ordine internazionali. Tra le famiglie che, secondo le analisi di settore più recenti, hanno colpito con maggiore frequenza organizzazioni europee figurano varianti come Akira, Qilin e RansomHub, spesso operanti secondo il modello Ransomware-as-a-Service, in cui gli sviluppatori del malware forniscono lo strumento ad affiliati che conducono materialmente gli attacchi in cambio di una percentuale sul riscatto ottenuto. Questa frammentazione rende difficile individuare un’unica minaccia dominante e richiede un approccio difensivo basato sui comportamenti tipici degli attacchi, più che sul riconoscimento di una singola variante.
Conviene pagare il riscatto richiesto da un ransomware?
Le autorità competenti, a livello sia europeo sia nazionale, raccomandano generalmente di non pagare il riscatto. Il pagamento non garantisce infatti che i dati vengano effettivamente restituiti integri, né che non vengano comunque diffusi pubblicamente, e alimenta il modello economico che rende il ransomware un’attività criminale redditizia. Esistono tuttavia situazioni particolarmente delicate, ad esempio quando sono a rischio servizi essenziali o la sicurezza delle persone, in cui la decisione richiede una valutazione caso per caso condotta con il supporto di esperti legali e di sicurezza informatica, senza affidarsi a soluzioni standardizzate.
Esiste un modo per recuperare i file senza pagare il riscatto?
In alcuni casi sì. Oltre al ripristino da backup, che resta la via più affidabile quando disponibile, esistono iniziative internazionali come il progetto No More Ransom, che raccoglie strumenti di decrittazione gratuiti sviluppati da forze dell’ordine e aziende di sicurezza per specifiche varianti di ransomware per cui sono state individuate vulnerabilità nell’algoritmo di cifratura. La disponibilità di uno strumento di decrittazione dipende però dalla variante specifica coinvolta, ed è quindi opportuno identificare correttamente il ransomware prima di escludere questa possibilità, coinvolgendo esperti tecnici in grado di effettuare l’analisi.
Quanto tempo serve a un’azienda per riprendersi da un attacco ransomware?
I tempi di recupero dopo un attacco ransomware possono variare notevolmente: un’azienda dotata di backup regolarmente testati e di un piano di risposta agli incidenti può tornare operativa in tempi relativamente brevi, mentre in assenza di queste misure il ripristino può richiedere settimane o, nei casi più complessi, diversi mesi. Più che dalle dimensioni dell’azienda, la rapidità del recupero dipende dalla qualità della strategia di backup, dalla preparazione del personale e dalla capacità di gestire l’incidente in modo strutturato.

