NIS2 e Cybersicurezza

Ransomware: Come Proteggere la Tua Azienda dagli Attacchi

Pubblicato il 2026-03-27 4 min di lettura Di Redazione NIS2 Italia

Nel 2025, un'azienda manifatturiera del Nord Italia si e svegliata con tutti i server crittografati e una richiesta di riscatto di 2 milioni di euro in bitcoin. Produzione ferma per 18 giorni. Danni totali stimati: oltre 4 milioni di euro tra perdita di produzione, consulenti forensi, ripristino sistemi e perdita clienti. Il ransomware era entrato tramite un'email di phishing aperta da un impiegato dell'ufficio acquisti.

Questo scenario e sempre piu comune in Italia. Gli attacchi ransomware sono aumentati del 300% negli ultimi 5 anni, e le aziende italiane sono tra i bersagli preferiti in Europa. La NIS2, non a caso, pone la prevenzione e la gestione degli incidenti al centro degli obblighi di cybersicurezza.

Come funziona un attacco ransomware

Il ransomware moderno segue un copione consolidato. L'attaccante ottiene un accesso iniziale (phishing, VPN compromessa, vulnerabilita nota), si muove lateralmente nella rete esplorando i sistemi, identifica i dati critici e i backup, esfila i dati sensibili (per il doppio ricatto) e infine cripta tutto attivando la richiesta di riscatto. Il tempo medio tra l'accesso iniziale e la crittografia e di 5-7 giorni — un'eternita in cui l'attaccante si aggira indisturbato nella tua rete.

Le 7 misure di protezione fondamentali

1. Backup immutabili e testati

Il backup e la tua ultima linea di difesa contro il ransomware. Ma attenzione: nel 94% degli attacchi, i criminali tentano di compromettere anche i backup. Servono backup immutabili (che non possono essere modificati o cancellati), offline (disconnessi dalla rete) e testati (verificando periodicamente che il ripristino funzioni). La strategia 3-2-1-1: 3 copie, 2 supporti, 1 offsite, 1 offline.

2. Segmentazione della rete

Se la rete e piatta — cioe tutti i sistemi possono comunicare con tutti — il ransomware si propaga ovunque in pochi minuti. La segmentazione divide la rete in zone isolate: produzione, uffici, servizi, backup. Se un segmento viene compromesso, gli altri restano protetti. Per le aziende manifatturiere, separare la rete IT dalla rete OT e prioritario.

3. MFA ovunque

L'autenticazione a piu fattori blocca l'80% degli attacchi basati su credenziali rubate. VPN, email, accesso remoto, console di amministrazione: tutto deve avere l'MFA. E la misura con il miglior rapporto costo-efficacia in assoluto — costa quasi zero e riduce drasticamente il rischio.

4. Patch management

Le vulnerabilita non patchate sono il secondo vettore di ingresso piu comune dopo il phishing. Un processo di patch management strutturato — identificare le vulnerabilita, prioritizzare quelle critiche, testare e applicare le patch — e fondamentale. Le patch critiche vanno applicate entro 48-72 ore dalla pubblicazione.

5. EDR su tutti gli endpoint

L'antivirus tradizionale non basta piu contro il ransomware moderno. Servono soluzioni EDR (Endpoint Detection and Response) che monitorano il comportamento dei processi, rilevano attivita anomale e possono bloccare automaticamente la crittografia. Soluzioni come CrowdStrike, SentinelOne o Microsoft Defender for Endpoint.

6. Formazione anti-phishing

Il 91% degli attacchi parte dal phishing. La formazione dei dipendenti e la prima linea di difesa: simulazioni periodiche, micro-learning, cultura della segnalazione. Un dipendente che riconosce e segnala un'email sospetta puo fermare un attacco prima che inizi.

7. Piano di risposta pronto

Se il ransomware colpisce, il panico e il peggior consigliere. Un piano di incident response specifico per il ransomware — con ruoli, procedure, contatti e decisioni pre-definite — fa la differenza tra un'interruzione di giorni e una di settimane.

Pagare il riscatto? La domanda scomoda

La risposta breve: nella maggior parte dei casi, no. Pagare non garantisce di recuperare i dati (nel 20% dei casi i criminali non forniscono la chiave di decrittazione). Finanzia la criminalita organizzata. E puo esporti a sanzioni se il gruppo criminale e in lista nera (sanctions list). L'ACN e le forze dell'ordine sconsigliano fortemente il pagamento. L'unico scenario in cui il pagamento puo avere senso e quando non esiste alternativa (backup inesistenti o compromessi) e l'interruzione del servizio mette a rischio vite umane.

Approfondimento Scopri come creare un piano di incident response e l'importanza della formazione dei dipendenti.

Domande Frequenti

Quanto costa un attacco ransomware a un'azienda?
Il costo medio in Italia e stimato tra 500.000 e 5 milioni di euro, includendo fermo produttivo, ripristino sistemi, consulenti forensi, perdita clienti e danni reputazionali. Il riscatto medio richiesto e intorno ai 300.000 euro.
Il ransomware puo colpire anche i backup nel cloud?
Si, se i backup cloud sono accessibili con le stesse credenziali dei sistemi compromessi. Per proteggersi servono backup con MFA separata, immutabilita e versioning. Alcuni cloud offrono 'vault' specifici anti-ransomware.
Un'assicurazione cyber copre i danni da ransomware?
Dipende dalla polizza. Molte cyber insurance coprono i costi di ripristino, la perdita di ricavi e la consulenza forense. Alcune coprono anche il pagamento del riscatto, anche se la tendenza e di escluderlo. Verifica le condizioni specifiche della tua polizza.

Articoli Correlati

ACN: Ruolo e Funzioni dell'Autorita Nazionale per la Cybersicurezza
3 min di lettura
Audit di Cybersecurity: Come Valutare la Sicurezza della Tua Azienda
2 min di lettura
Backup e Disaster Recovery: Strategie per la Continuita Aziendale
3 min di lettura