Immagina di accendere il computer un mercoledì mattina e trovare una schermata rossa con un conto alla rovescia. Tutti i file del server — documenti, fatture, database del gestionale, archivio email — sono stati cifrati. Un messaggio in inglese stentato ti spiega che per riaverli devi pagare 50.000 euro in Bitcoin entro 72 ore, altrimenti tutto verrà cancellato. Il telefono inizia a squillare: i colleghi non riescono ad accedere a nulla. Il commercialista chiama perché non riceve le fatture. Un cliente importante manda una PEC furiosa. Benvenuto nel mondo del ransomware.
Non è fantascienza e non succede solo alle multinazionali. In Italia, nel solo 2025, migliaia di PMI sono state colpite da attacchi ransomware. Molte hanno pagato il riscatto. Alcune hanno chiuso. Pochissime erano adeguatamente preparate. Questa guida ti spiega come non finire tra le vittime.
Cos’è il ransomware e come funziona davvero
Il ransomware è un tipo di malware — software malevolo — che una volta entrato nei sistemi aziendali cifra i file rendendoli inaccessibili, poi chiede un riscatto (ransom, in inglese) per fornire la chiave di decifratura. Le varianti moderne fanno anche peggio: prima di cifrare, copiano i dati sui server dei criminali e minacciano di pubblicarli online se non paghi. Si chiama “doppia estorsione” ed è diventata la norma.
Come entra il ransomware in azienda? Nella stragrande maggioranza dei casi, attraverso uno di questi canali:
- Email di phishing: un dipendente apre un allegato apparentemente innocuo — una finta fattura, un finto sollecito di pagamento, un finto documento DHL — e il gioco è fatto
- Accessi remoti non protetti: porte RDP (Remote Desktop) esposte su Internet con password deboli
- Vulnerabilità software: sistemi non aggiornati con falle di sicurezza note e già sfruttate
- Siti web compromessi: navigazione su siti legittimi che sono stati hackerati per distribuire malware
- Chiavette USB: supporti rimovibili infetti, a volte lasciati apposta nei parcheggi aziendali (sì, succede davvero)
Una volta dentro, il ransomware non agisce subito. Le varianti più sofisticate restano silenti per giorni o settimane, mappando la rete, identificando i backup, elevando i propri privilegi. Quando sono pronti, colpiscono tutto simultaneamente — server, NAS, backup collegati in rete, postazioni di lavoro. Massimo danno, massima pressione per pagare.
Il panorama italiano: numeri che fanno riflettere
L’Italia è il terzo Paese più colpito dal ransomware in Europa, dopo Germania e Francia. Il rapporto Clusit 2025 registra un aumento del 35% degli attacchi rispetto all’anno precedente, con un riscatto medio richiesto alle PMI italiane di circa 120.000 euro. Ma il costo reale di un attacco va ben oltre il riscatto.
Consideriamo un caso tipico: una PMI manifatturiera del Lazio con 40 dipendenti viene colpita da ransomware. I costi complessivi?
- Fermo produttivo: 5 giorni a capacità ridotta = 25.000-50.000 euro di fatturato perso
- Ripristino sistemi: intervento tecnico d’emergenza = 5.000-15.000 euro
- Perdita dati: se i backup non funzionano, i danni possono essere incalcolabili
- Danno reputazionale: clienti che perdono fiducia, contratti a rischio
- Sanzioni GDPR: se vengono esfiltrati dati personali e non si gestisce correttamente la notifica al Garante
Totale? Facilmente 100.000 euro o più, anche senza pagare il riscatto. Per una PMI può significare la differenza tra sopravvivere e chiudere.
La difesa inizia dai dipendenti: formazione e consapevolezza
Puoi avere il firewall migliore del mondo, ma se il contabile apre l’allegato “Fattura_urgente.exe” perché “sembrava vera”, è tutto inutile. Il fattore umano resta il punto debole numero uno della sicurezza informatica, e l’unico modo per gestirlo è la formazione continua.
Non parliamo di corsi teorici da due ore una volta l’anno dove tutti si addormentano. Parliamo di:
- Simulazioni di phishing periodiche: si inviano finte email di phishing ai dipendenti per testare chi ci casca e fornire formazione mirata
- Micro-training regolari: pillole formative di 5-10 minuti al mese su temi specifici
- Procedure chiare: cosa fare quando si riceve un’email sospetta? Chi chiamare? Come segnalare?
- Cultura della sicurezza: nessuno deve sentirsi in colpa per aver chiesto conferma prima di aprire un allegato — va premiato, non deriso
Un programma di awareness ben fatto riduce il rischio di cadere nel phishing dell’80-90%. È l’investimento con il miglior rapporto costo-beneficio in assoluto nella cybersecurity.
Protezione tecnica: le difese che non possono mancare
Endpoint Detection and Response (EDR)
Dimenticati il vecchio antivirus che confronta i file con un database di firme note. Contro il ransomware moderno non serve a nulla — le varianti cambiano ogni giorno e spesso sono create su misura per il bersaglio. Serve un EDR: un sistema che monitora il comportamento dei processi in tempo reale e blocca le attività sospette, anche se il malware è completamente nuovo.
Soluzioni come SentinelOne, CrowdStrike o Bitdefender GravityZone offrono EDR accessibili anche alle PMI, con console centralizzate gestite dal provider IT. Il costo? Dai 3 ai 10 euro per postazione al mese — praticamente nulla rispetto ai danni di un attacco riuscito.
Firewall next-generation e segmentazione della rete
Un firewall moderno non si limita a filtrare il traffico per porta e protocollo. Analizza il contenuto dei pacchetti, blocca i siti malevoli, ispeziona il traffico cifrato e identifica pattern di comunicazione tipici dei malware. Marchi come Fortinet, SonicWall e WatchGuard offrono soluzioni dimensionate per le PMI.
La segmentazione della rete è altrettanto importante: se il PC della reception è sulla stessa rete del server con i dati aziendali, quando il primo viene compromesso il secondo cade subito dopo. Separare la rete in VLAN isolate limita la propagazione del ransomware in modo drastico.
Patch management: aggiornare, aggiornare, aggiornare
L’85% degli attacchi ransomware sfrutta vulnerabilità per cui esisteva già una patch. Il problema è che quella patch non era stata installata. Un sistema di patch management automatizzato garantisce che sistemi operativi, applicazioni e firmware vengano aggiornati in modo tempestivo e senza intervento manuale. È noioso? Sì. È fondamentale? Assolutamente sì.
Backup: l’ultima linea di difesa (se fatto bene)
Il backup è l’unica vera assicurazione contro il ransomware. Se puoi ripristinare tutto dai backup, il riscatto diventa irrilevante. Ma attenzione: i gruppi ransomware lo sanno benissimo, e la prima cosa che fanno dopo essere entrati in rete è cercare e distruggere i backup. Ecco perché serve una strategia di backup anti-ransomware specifica.
La regola del 3-2-1-1-0
L’evoluzione della classica regola 3-2-1:
- 3 copie dei dati (originale + 2 backup)
- 2 supporti diversi (NAS locale + cloud, oppure disco + tape)
- 1 copia offsite (fuori dall’ufficio, in cloud o in un altro edificio)
- 1 copia immutabile (che non può essere modificata o cancellata nemmeno con credenziali di amministratore)
- 0 errori nei test di ripristino
Il punto cruciale è la copia immutabile. Tecnologie come Veeam con repository hardened, backup su Object Storage S3 con Object Lock, o anche semplicemente un disco esterno collegato solo durante il backup e poi fisicamente scollegato e portato altrove. Il ransomware non può cifrare quello che non riesce a raggiungere.
Il piano di risposta agli incidenti: preparati al peggio
Anche con le migliori difese, il rischio zero non esiste. Per questo serve un piano di risposta agli incidenti (Incident Response Plan) testato e aggiornato. Ecco cosa deve contenere:
- Chi contattare: numeri di telefono (su carta, non sul computer che potrebbe essere cifrato!) del responsabile IT, del fornitore di sicurezza, dell’avvocato, del DPO
- Cosa fare nei primi 15 minuti: isolare i sistemi dalla rete, NON spegnere i computer (le prove forensi nella RAM sono preziose), documentare tutto con foto
- Come comunicare: canali alternativi se email e telefoni sono compromessi (gruppo WhatsApp d’emergenza, ad esempio)
- Se pagare o no: la posizione ufficiale delle autorità italiane ed europee è di non pagare mai. Pagare non garantisce il recupero dei dati e finanzia le organizzazioni criminali. In ogni caso, la decisione va presa con il supporto di esperti
- Obblighi GDPR: se l’attacco coinvolge dati personali, hai 72 ore per notificare il Garante Privacy
La NIS2 cambia le regole del gioco
Con l’entrata in vigore della direttiva NIS2 in Italia, molte aziende che prima non erano soggette a obblighi specifici di cybersecurity ora lo sono. Anche PMI che operano in settori considerati critici o importanti — manifattura, alimentare, trasporti, servizi digitali — devono adottare misure di sicurezza adeguate e notificare gli incidenti. Le sanzioni per chi non si adegua possono arrivare fino al 2% del fatturato globale.
Non sai se la tua azienda rientra nel perimetro NIS2? È una domanda che vale la pena farsi subito, prima che sia qualcun altro a fartela — nel contesto di un’ispezione.
Proteggi la tua azienda prima che sia troppo tardi
Il ransomware non è un problema che si risolve comprando un prodotto. È una sfida che richiede un approccio stratificato: formazione dei dipendenti, difese tecniche adeguate, backup inattaccabili, procedure di risposta testate. Nessun singolo strumento è sufficiente, ma la combinazione giusta rende la tua azienda un bersaglio troppo difficile per la maggior parte degli attaccanti, che preferiranno passare a vittime più facili.
Auxilia Sistemi aiuta le aziende di Roma e del Lazio a costruire una difesa efficace contro il ransomware e le minacce informatiche. Dalla valutazione della postura di sicurezza attuale all’implementazione di soluzioni EDR, firewall next-gen, backup immutabili e piani di risposta — ti accompagniamo in ogni passo. Non aspettare di vedere la schermata rossa. Chiamaci al 06 2170 1593 o scrivici dalla pagina contatti per una consulenza sulla sicurezza della tua azienda.
