Il ransomware è la minaccia numero uno per le aziende italiane nel 2026. Secondo il rapporto Clusit, gli attacchi ransomware contro le PMI sono aumentati del 65% nel 2025, con un riscatto medio di €115.000 e un tempo di fermo aziendale di 2-4 settimane. Ma la buona notizia è che la maggior parte degli attacchi è prevenibile con le giuste misure. In questa guida vediamo come proteggersi concretamente, dalla prevenzione alla risposta in caso di attacco.
Indice dei Contenuti
- 1. Come Funziona un Attacco Ransomware
- 2. I 5 Vettori di Attacco Più Comuni
- 3. Backup Immutabile: L'Ultima Linea di Difesa
- 4. Segmentazione della Rete
- 5. EDR/XDR: Oltre l'Antivirus
- 6. Formazione dei Dipendenti
- 7. Incident Response Plan
- 8. Cosa Fare Se Colpiti: I Primi 60 Minuti
- 9. Pagare o Non Pagare il Riscatto?
- 10. Domande Frequenti
1. Come Funziona un Attacco Ransomware
Il ransomware è un malware che crittografa i file dell'azienda rendendoli inaccessibili, e poi chiede un riscatto (ransom) per la chiave di decrittazione. Negli ultimi anni, gli attacchi si sono evoluti nella cosiddetta doppia estorsione: prima rubano i dati, poi li crittografano. Se non paghi, minacciano di pubblicare i dati rubati.
L'anatomia di un attacco ransomware tipico segue fasi ben definite:
Fase 1 — Accesso iniziale (T-30 giorni)
L’attaccante ottiene un primo accesso alla rete: phishing email, credenziali rubate, vulnerabilità non patchata, RDP esposto su Internet. Questo è il momento più critico e prevenibile.
Fase 2 — Movimento laterale (T-7 giorni)
Una volta dentro, l’attaccante si muove silenziosamente nella rete: escalation dei privilegi, compromissione del Domain Controller, mappatura dei sistemi critici e dei backup.
Fase 3 — Esfiltrazione dati (T-3 giorni)
I dati sensibili vengono copiati su server controllati dall’attaccante. Questa fase è spesso invisibile se non si monitora il traffico in uscita.
Fase 4 — Detonazione (Giorno 0)
Il ransomware viene attivato simultaneamente su tutti i sistemi compromessi. I file vengono crittografati, i backup accessibili dalla rete vengono eliminati, e compare la richiesta di riscatto.
Il tempo è dalla tua parte
Il tempo medio tra l'accesso iniziale e la detonazione del ransomware è di 5-30 giorni (IBM X-Force 2025). Questo significa che con un sistema di monitoraggio attivo (EDR/XDR + SOC), hai una finestra temporale significativa per rilevare e fermare l'attacco prima che causi danni. La chiave è rilevare le attività sospette nelle fasi 1 e 2.
2. I 5 Vettori di Attacco Più Comuni
Per difendersi efficacemente, bisogna sapere da dove arriva la minaccia. Ecco i vettori di attacco più usati dai gruppi ransomware nel 2025-2026:
Phishing email (41%)
Email con allegati malevoli (documenti Office con macro, PDF con link) o link a pagine di login fasulle. I dipendenti restano il vettore di ingresso più sfruttato. Difesa: email security avanzata (Libraesva) + formazione con simulazioni.
Credenziali rubate (27%)
Username e password ottenute da precedenti data breach, phishing o brute force. Usate per accedere a VPN, RDP, Microsoft 365. Difesa: MFA obbligatoria su tutti gli accessi, monitoraggio accessi anomali, password policy rigorose.
Vulnerabilità non patchate (18%)
Software e sistemi operativi con vulnerabilità note ma non corrette (CVE). I gruppi ransomware automatizzano la scansione di Internet alla ricerca di sistemi vulnerabili. Difesa: patch management automatizzato con NinjaOne, vulnerability assessment periodici.
RDP esposto su Internet (9%)
Il Remote Desktop Protocol (porta 3389) esposto direttamente su Internet è un invito per gli attaccanti: brute force automatizzato 24/7. Difesa: mai esporre RDP su Internet, usare VPN o soluzioni di accesso remoto sicure.
Il quinto vettore, in crescita nel 2026, è l'attacco alla supply chain: i criminali compromettono un fornitore di software o servizi IT per raggiungere i suoi clienti. L'attacco a Kaseya del 2021 ha colpito oltre 1.500 aziende in un colpo solo. Per approfondire, leggi il nostro articolo sulla sicurezza della supply chain.
3. Backup Immutabile: L'Ultima Linea di Difesa
Il backup è la tua assicurazione contro il ransomware: se puoi ripristinare i dati da un backup pulito, non hai bisogno di pagare il riscatto. Ma attenzione: i gruppi ransomware lo sanno, e il primo bersaglio sono proprio i backup. Il 93% degli attacchi ransomware nel 2025 ha tentato di compromettere o eliminare i backup (Veeam Ransomware Trends Report).
La soluzione è il backup immutabile: una copia dei dati che non può essere modificata, crittografata o eliminata per un periodo definito, nemmeno con credenziali di amministratore. Le tecnologie più efficaci:
Veeam con immutabilità nativa
Veeam Backup & Replication supporta backup immutabili su repository Linux (hardened repository), su cloud object storage con Object Lock (AWS S3, Azure Blob, Wasabi) e su tape. L’immutabilità è gestita a livello di storage: anche un admin compromesso non può cancellare i backup.
Regola 3-2-1-1-0
3 copie dei dati, su 2 media diversi, 1 copia offsite, 1 copia immutabile, 0 errori nei test di ripristino. Questa regola garantisce che almeno una copia dei dati sopravviva a qualsiasi scenario: ransomware, incendio, errore umano, guasto hardware.
Test di ripristino regolari
Un backup non testato è un backup che non funziona. Esegui test di ripristino trimestrali: ripristina un server completo dal backup e verifica che tutto funzioni. Documenta RTO (tempo di ripristino) e RPO (punto di ripristino) reali, non teorici.
Per una guida approfondita sulle strategie di backup, leggi il nostro articolo sulla regola 3-2-1-1-0 per il backup aziendale.
4. Segmentazione della Rete
Una rete "piatta" (senza segmentazione) è il paradiso del ransomware: una volta compromesso un singolo PC, l'attaccante può raggiungere direttamente server, backup, domain controller e tutte le postazioni. La segmentazione della rete limita il "raggio d'esplosione" di un attacco.
Come implementarla: usa VLAN e firewall rules per separare i segmenti di rete. I server devono essere su una VLAN dedicata accessibile solo dalle porte necessarie. I backup devono essere su una rete isolata, raggiungibile solo dal server di backup. Le postazioni devono poter comunicare solo con i servizi necessari, non tra di loro.
Il principio Zero Trust
La segmentazione di rete è il primo passo verso un'architettura Zero Trust: "non fidarti di nessuno, verifica tutto". In un modello Zero Trust, ogni accesso a ogni risorsa viene autenticato e autorizzato, indipendentemente dalla posizione del dispositivo nella rete. Questo approccio rende il movimento laterale del ransomware enormemente più difficile. Scopri il nostro servizio di architettura Zero Trust.
5. EDR/XDR: Oltre l'Antivirus
L'antivirus tradizionale è morto contro il ransomware moderno. I gruppi ransomware usano tecniche avanzate per evadere gli antivirus: malware fileless (senza file su disco), living-off-the-land (usano strumenti legittimi come PowerShell, PsExec, WMI), offuscamento del codice e polimorfismo. Serve un approccio diverso.
EDR (Endpoint Detection & Response) monitora il comportamento di ogni processo su ogni endpoint in tempo reale. Non cerca firme di malware: cerca comportamenti sospetti. Un processo che inizia a crittografare file in massa? L'EDR lo rileva, blocca il processo e isola l'endpoint dalla rete in millisecondi, prima che il danno si propaghi.
XDR (Extended Detection & Response) estende questa visibilità a tutta l'infrastruttura: correla eventi da endpoint, email, rete, cloud e identità per rilevare attacchi complessi che nessun singolo strumento vedrebbe. Un login sospetto da un paese straniero + un download di uno strumento di amministrazione + un tentativo di accesso al domain controller = alert critico automatico, anche se ogni singolo evento sembrerebbe innocuo.
La nostra scelta: Bitdefender GravityZone
BullTech utilizza Bitdefender GravityZone Ultra come piattaforma EDR/XDR per i propri clienti. Perché: motore di rilevamento basato su machine learning con il più alto tasso di detection nei test AV-Comparatives; risposta automatica (isolamento endpoint, kill process, rollback); integrazione con il nostro SOC per monitoraggio 24/7; console cloud centralizzata gestita dal nostro team.
6. Formazione dei Dipendenti
Il 41% degli attacchi ransomware inizia con un'email di phishing. La tecnologia può filtrare il 99,9% delle email malevole, ma quel 0,1% che passa potrebbe essere l'email che un dipendente apre per errore. La formazione sulla cybersecurity è l'unica difesa contro il fattore umano.
Ma la formazione tradizionale (una slide PowerPoint all'anno) non funziona. Serve un programma continuo e pratico:
Simulazioni di phishing mensili
Invia email di phishing simulate ai dipendenti e misura chi clicca. Chi cade nella simulazione riceve formazione mirata. In 6 mesi, il tasso di click su phishing scende dal 30% al 3-5%.
Formazione contestuale
Micro-lezioni di 5 minuti al momento giusto: quando un dipendente clicca su una simulazione di phishing, riceve immediatamente la spiegazione di cosa avrebbe dovuto notare. Apprendimento per esperienza diretta.
Procedure di segnalazione
I dipendenti devono sapere COSA fare quando ricevono un’email sospetta: non aprire allegati, non cliccare link, inoltrare al team IT/MSP con un click (pulsante "Report Phishing" in Outlook). Zero punizioni per le segnalazioni, anche false.
Scopri il nostro servizio di formazione cybersecurity per dipendenti.
7. Incident Response Plan
L'incident response plan (IRP) è il documento che definisce chi fa cosa quando si verifica un attacco. Senza un IRP, il panico regna sovrano: nessuno sa chi contattare, chi ha l'autorità per spegnere i sistemi, come comunicare con clienti e fornitori. Il risultato è un tempo di risposta più lungo e danni maggiori.
Un IRP efficace per una PMI deve includere:
- Team di risposta: chi sono i membri del team, con ruoli e responsabilità chiari. Include: IT manager / MSP, direzione, legale, comunicazione, referente per le forze dell'ordine.
- Escalation matrix: chi contattare per primo, entro quanto tempo, attraverso quale canale (telefono, non email — che potrebbe essere compromessa).
- Procedure di contenimento: passi precisi per isolare i sistemi compromessi, disconnettere dalla rete, preservare le evidenze forensi.
- Piano di comunicazione: template pre-approvati per comunicazioni a dipendenti, clienti, fornitori, autorità (Garante Privacy per data breach GDPR, entro 72 ore).
- Procedure di ripristino: ordine di ripristino dei sistemi (prima il Domain Controller, poi i server critici, poi le postazioni), verifiche post-ripristino, timeline attesa.
- Lesson learned: dopo ogni incidente (anche simulato), analisi di cosa ha funzionato e cosa va migliorato. Aggiornamento dell'IRP.
8. Cosa Fare Se Colpiti: I Primi 60 Minuti
Se il ransomware ha colpito la tua azienda, ogni minuto conta. Ecco le azioni da compiere nei primi 60 minuti:
ISOLARE IMMEDIATAMENTE: scollega dalla rete i sistemi infetti (stacca il cavo di rete, disabilita il WiFi). Non spegnere i PC — le evidenze in RAM sono preziose per la forensics.
NON PAGARE IL RISCATTO in modo impulsivo. Hai tempo. I criminali fissano scadenze, ma sono quasi sempre negoziabili.
CONTATTA IL TUO MSP o team IT immediatamente. Se hai un contratto con BullTech, chiama il numero dedicato 24/7.
VERIFICA LO STATO DEI BACKUP: i backup immutabili/offsite sono intatti? Se sì, hai la soluzione. Se no, la situazione è più critica.
NOTIFICA LA DIREZIONE e attiva il team di incident response secondo l’IRP.
PRESERVA LE EVIDENZE: screenshot della nota di riscatto, log dei sistemi, timeline degli eventi. Serviranno per la denuncia e l’indagine forense.
DENUNCIA alla Polizia Postale (https://www.commissariatodips.it) e, se c’è un data breach, notifica al Garante Privacy entro 72 ore.
COMUNICA con dipendenti, clienti e fornitori secondo il piano di comunicazione pre-approvato.
9. Pagare o Non Pagare il Riscatto?
È la domanda più difficile che un imprenditore possa affrontare. La risposta ufficiale è chiara: non pagare. Ma nella pratica, la decisione dipende da fattori specifici.
Perché NON pagare
- Il 20-30% delle vittime che pagano non riceve la chiave di decrittazione o riceve una chiave che non funziona completamente.
- L'80% delle aziende che pagano viene attaccato di nuovo entro 12 mesi, spesso dallo stesso gruppo (sanno che paghi).
- Finanzi attività criminali e incentivi ulteriori attacchi contro altre aziende.
- Il pagamento potrebbe violare normative antiriciclaggio e, in alcuni casi, leggi sul finanziamento del terrorismo.
- Anche dopo il pagamento, i dati rubati nella doppia estorsione potrebbero essere comunque venduti o pubblicati.
La vera risposta alla domanda "pagare o non pagare?" va data primadell'attacco: investendo in prevenzione, backup immutabili e incident response, si elimina la necessità di porsi la domanda. Il costo della prevenzione è sempre una frazione del costo di un riscatto.
Vuoi sapere quanto è vulnerabile la tua azienda al ransomware? Richiedi un vulnerability assessment gratuito. Il nostro team analizzerà la tua infrastruttura, testerà le difese e ti fornirà un report dettagliato con le azioni prioritarie. Scopri anche i nostri servizi di SOC e MDR per un monitoraggio 24/7 della tua sicurezza e la nostra checklist di sicurezza informatica per PMI.
Domande Frequenti
Quanto costa un attacco ransomware a una PMI italiana?
Secondo il rapporto Clusit 2025, il costo medio di un attacco ransomware per una PMI italiana è tra €80.000 e €200.000, considerando: riscatto richiesto (media €115.000), costo del fermo aziendale (2-4 settimane), ripristino dei sistemi, eventuale perdita definitiva di dati, danni reputazionali e possibili sanzioni GDPR. Il 60% delle PMI colpite da ransomware chiude entro 6 mesi dall’attacco. La prevenzione costa una frazione di queste cifre.
Il backup è sufficiente per proteggersi dal ransomware?
Il backup è l’ultima linea di difesa, non l’unica. Un backup tradizionale (non immutabile) può essere crittografato dal ransomware se è accessibile dalla rete. Per essere efficace, il backup deve essere: immutabile (non modificabile né cancellabile per un periodo definito), air-gapped (almeno una copia offline o su cloud isolato), testato regolarmente (un backup non testato è un backup che non funziona) e rapido da ripristinare (RTO definito e verificato). La strategia corretta è la regola 3-2-1-1-0: 3 copie, 2 media diversi, 1 offsite, 1 immutabile, 0 errori.
Qual è la differenza tra antivirus tradizionale ed EDR/XDR?
L’antivirus tradizionale si basa su firme (signature): riconosce solo minacce già note, analizzando i file. L’EDR (Endpoint Detection & Response) va oltre: monitora il comportamento in tempo reale, rileva attività sospette (es. un processo che crittografa file in massa), isola automaticamente l’endpoint infetto e fornisce strumenti di indagine forense. L’XDR (Extended Detection & Response) estende l’EDR a tutta l’infrastruttura: rete, email, cloud, endpoint. Per le PMI, l’EDR è il minimo indispensabile nel 2026; l’XDR è raccomandato per chi ha dati sensibili o obblighi di compliance.
Devo pagare il riscatto se colpito da ransomware?
La posizione ufficiale delle forze dell’ordine (Polizia Postale, Europol, FBI) è chiara: non pagare. I motivi: non c’è garanzia di ricevere la chiave di decrittazione (il 20-30% delle vittime che pagano non recupera i dati); finanzi ulteriori attività criminali; potresti essere colpito di nuovo (il 80% delle aziende che pagano viene attaccato nuovamente entro 12 mesi); il pagamento potrebbe violare normative antiriciclaggio. L’unica eccezione che alcune aziende considerano è quando i dati sono letteralmente vitali (es. settore sanitario) e non esiste backup. Ma anche in quel caso, la decisione va presa con il supporto di consulenti legali e forze dell’ordine.
Quanto tempo serve per riprendersi da un attacco ransomware?
Senza un piano di incident response e backup immutabili: 3-4 settimane in media, con possibile perdita permanente di dati. Con un MSP che gestisce backup immutabili e un piano di disaster recovery testato: 4-24 ore per il ripristino dei sistemi critici, 1-3 giorni per il ripristino completo. La differenza è tra un’azienda che rischia di chiudere e un’azienda che subisce un’interruzione gestibile. Il piano di incident response va scritto, testato e aggiornato PRIMA dell’attacco.
BullTech può aiutarmi a proteggere la mia azienda dal ransomware?
Sì, offriamo una protezione anti-ransomware multi-livello: vulnerability assessment gratuito per identificare le tue vulnerabilità; EDR gestito con Bitdefender GravityZone (monitoraggio 24/7, isolamento automatico degli endpoint); backup immutabile con Veeam e test di ripristino trimestrali; firewall gestito WatchGuard con IPS e sandboxing; email security con Libraesva (blocca il 99,9% delle email di phishing); formazione dipendenti con simulazioni di phishing; piano di incident response personalizzato. Contattaci per un assessment gratuito della tua postura di sicurezza.