Sono le 7:42 di lunedì mattina. Il responsabile IT della tua azienda ti chiama: “I server non rispondono. Tutti i file hanno un'estensione strana. C'è un file di testo che chiede un riscatto in Bitcoin.” Il ransomware ha colpito. Quello che fai nelle prossime 60 minuti determinerà se la tua azienda si riprende in ore o in settimane. Questa guida ti spiega esattamente cosa fare — e cosa non fare mai.
I Primi 60 Minuti: la Timeline di Emergenza
I primi minuti dopo la scoperta di un attacco ransomware sono i più critici. Azioni sbagliate possono peggiorare enormemente la situazione, mentre una risposta strutturata può limitare i danni e accelerare il recovery. Ecco la timeline che ogni azienda dovrebbe seguire.
Minuti 0-10: Contenimento Immediato
La priorità assoluta è fermare la propagazione. Il ransomware si muove lateralmente nella rete, cifrando tutto ciò che può raggiungere. Ogni secondo conta.
ISOLARE la rete: disconnetti il cavo di rete dal/dai server colpiti. Non spegnerli — la RAM potrebbe contenere chiavi di decifratura
DISATTIVARE il Wi-Fi aziendale per impedire la propagazione ai dispositivi wireless
DISCONNETTERE i NAS e i dispositivi di storage dalla rete (se non sono già cifrati)
NON riavviare i sistemi colpiti: il riavvio può distruggere evidenze forensi nella memoria volatile
VERIFICARE immediatamente lo stato dei backup: sono accessibili? Sono stati cifrati anche loro?
DOCUMENTARE tutto: orario di scoperta, sistemi colpiti, estensione dei file cifrati, contenuto della richiesta di riscatto
Minuti 10-30: Valutazione dell'Impatto
Con la propagazione contenuta, è il momento di capire l'estensione del danno. Rispondi rapidamente a queste domande:
- Quali sistemi sono compromessi? Server, workstation, NAS, servizi cloud
- I backup sono integri? Verifica i backup locali, le repliche off-site e le copie immutabili
- Quale variante di ransomware? Il file di riscatto e le estensioni dei file cifrati possono identificare la variante (LockBit, BlackCat, Akira, ecc.)
- Come è entrato? Email di phishing, VPN compromessa, RDP esposto, vulnerabilità non patchata?
- I dati sono stati anche esfiltrati? Molti ransomware moderni (double extortion) rubano i dati prima di cifrarli
Se la tua azienda ha un servizio SOC/MDR attivo, il team di sicurezza sarà probabilmente già al lavoro sull'analisi. Se non lo hai, questo è il momento di chiamare il tuo Managed Service Provider o un team di incident response specializzato.
Minuti 30-60: Attivazione del Piano di Recovery
Con un quadro chiaro della situazione, attiva il Disaster Recovery Plan. Se non ne hai uno (e dovresti averlo), segui queste priorità:
- Attiva il team di crisi: IT, management, legale, comunicazione
- Notifica la Polizia Postale (obbligatorio in molti contesti)
- Valuta l'obbligo di notifica al Garante Privacy entro 72 ore (GDPR) e 24 ore (NIS2)
- Prepara la comunicazione interna ai dipendenti (canali alternativi se l'email è compromessa)
- Avvia il processo di ripristino dai backup immutabili, partendo dai sistemi mission-critical
Attenzione: Non Comunicare sui Canali Aziendali
Se l'attaccante è ancora nella rete (probabile), può leggere le vostre email e i messaggi Teams/Slack aziendali. Usate telefonate su cellulari personali, messaggi WhatsApp su numeri personali o un gruppo Signal dedicato. Mai discutere la strategia di risposta su canali che l'attaccante potrebbe monitorare.
Pagare o Non Pagare il Riscatto: l'Analisi Completa
È la domanda che ogni azienda colpita si pone. La risposta breve è: non pagare. Ma comprendiamo che per un imprenditore con l'azienda paralizzata la decisione non è così semplice. Ecco un'analisi oggettiva dei pro e dei contro.
Perché NON Pagare (i Motivi Sono Schiaccianti)
Non garantisce il recupero dei dati
Secondo Sophos (State of Ransomware 2025), il 46% delle aziende che paga non recupera tutti i dati. I decryptor forniti dai criminali sono spesso lenti, buggati e incompleti. Alcuni corrompono ulteriormente i file durante la decifratura.
L'azienda diventa un bersaglio ricorrente
L'80% delle aziende che paga viene attaccata di nuovo entro 12 mesi (Cybereason 2025). Pagare dimostra disponibilità economica e assenza di difese adeguate. I gruppi ransomware condividono liste di “buoni pagatori”.
Finanzia attività criminali organizzate
I proventi del ransomware finanziano organizzazioni criminali internazionali, spesso legate a stati ostili. In Italia, il pagamento può configurare reati di finanziamento di attività criminale.
Rischio legale e reputazionale
Pagare un riscatto a entità sotto sanzioni internazionali (OFAC) può esporre a sanzioni aggiuntive. Se diventa pubblico, il danno reputazionale è enorme: clienti e partner perdono fiducia nell'azienda.
I tempi di recovery con pagamento sono comunque lunghi
Anche pagando, la negoziazione richiede 3-7 giorni, la decifratura può richiedere settimane per terabyte di dati, e dopo il ripristino serve comunque ripulire l'infrastruttura dall'accesso dell'attaccante.
L'Unico Scenario in Cui il Pagamento Viene Considerato
In situazioni estreme — nessun backup funzionante, dati irrecuperabili e critici per la sopravvivenza dell'azienda, rischio concreto di chiusura — alcune aziende scelgono di pagare come ultima risorsa. Anche in questo caso, è fondamentale coinvolgere un negoziatore esperto (che può ridurre il riscatto del 40-60%), le forze dell'ordine e un legale specializzato. Ma la lezione è chiara: se avessi avuto un backup 3-2-1 con copie immutabili, non saresti in questa situazione.
Il Processo di Recovery Tecnico: Step by Step
Supponendo che i backup siano integri (e con una strategia 3-2-1-1-0 correttamente implementata lo saranno), ecco il processo di recovery che seguiamo come BullTech Informatica quando assistiamo i nostri clienti.
Fase 1: Bonifica dell'Ambiente
Prima di ripristinare qualsiasi dato, l'ambiente deve essere bonificato. Ripristinare i backup nella stessa infrastruttura compromessa significa rischiare una re-infezione immediata. La bonifica prevede:
- Identificazione del vettore di ingresso (phishing, VPN, RDP, vulnerabilità) e chiusura immediata
- Reset completo delle password di tutti gli account, a partire dagli account amministrativi
- Verifica dell'integrità di Active Directory (gli attaccanti spesso creano backdoor AD)
- Reinstallazione del sistema operativo su tutti i server compromessi (non fidarsi del ripristino in-place)
- Aggiornamento di tutti i sistemi con le patch di sicurezza più recenti
- Revisione delle regole del firewall aziendale e della segmentazione di rete
Fase 2: Ripristino dei Sistemi Critici
Il ripristino segue l'ordine di priorità definito nel Disaster Recovery Plan. Tipicamente:
Active Directory e DNS: tutti gli altri sistemi ne dipendono per l'autenticazione e la risoluzione dei nomi
Server di posta (Exchange/Microsoft 365): per ripristinare le comunicazioni aziendali
Database e applicativi critici (ERP, gestionale, fatturazione elettronica): per riprendere l'operatività
File server: per dare accesso ai documenti di lavoro al personale
Sistemi secondari: CRM, applicativi di settore, ambienti di test
Con Veeam Backup & Replication, il ripristino può sfruttare funzionalità avanzate come l'Instant VM Recovery, che avvia le macchine virtuali direttamente dal backup in pochi minuti, consentendo di riprendere l'operatività mentre il ripristino completo avviene in background. Questa capacità può ridurre l'RTO effettivo da ore a minuti per i sistemi virtualizzati.
Fase 3: Verifica e Monitoraggio Post-Recovery
Dopo il ripristino, è fondamentale un periodo di monitoraggio intensivo. L'attaccante potrebbe aver lasciato backdoor o persistenze che il ripristino del backup non elimina se erano già presenti prima dell'attacco.
- Monitoraggio 24/7 per le prime 2-4 settimane con il servizio SOC/MDR
- Scansione completa con soluzioni EDR/antivirus aggiornate su tutti gli endpoint
- Verifica di tutti gli accessi amministrativi e delle policy di sicurezza
- Test di integrità dei dati ripristinati con gli utenti di business
- Analisi forense per comprendere la catena di attacco completa e prevenire recidive
Prevenzione: Costruire una Difesa Anti-Ransomware
Il miglior recovery è quello che non serve mai. Ecco le misure preventive che implementiamo per i nostri clienti PMI per ridurre drasticamente il rischio di ransomware.
Backup Immutabili: la Difesa Definitiva
Come approfondito nella nostra guida alla regola 3-2-1 del backup, i backup immutabili sono la pietra angolare della protezione anti-ransomware. Un backup immutabile non può essere modificato, cancellato o cifrato per il periodo di retention definito — nemmeno da un attaccante con credenziali di amministratore.
Le tecnologie che implementiamo:
- Linux Hardened Repository: server Linux dedicato con flag di immutabilità a livello di file system, inaccessibile via rete se non da Veeam
- Object Lock su cloud S3: immutabilità garantita a livello di protocollo su Wasabi, Amazon S3 o Azure Blob, per la copia off-site
- Air-gap logico: backup in un dominio di sicurezza separato, con credenziali diverse e nessuna trust relationship con l'Active Directory di produzione
Segmentazione di Rete e Zero Trust
Il ransomware si propaga lateralmente nella rete. Una rete piatta (dove ogni dispositivo può raggiungere qualsiasi altro) è il sogno di ogni attaccante. La segmentazione Zero Trust limita drasticamente la superficie di attacco:
- VLAN separate per utenti, server, IoT, backup e management
- Firewall inter-VLAN con policy restrittive (solo il traffico necessario è consentito)
- Micro-segmentazione per i sistemi critici (il server di backup è raggiungibile solo dal Veeam server)
- NAC (Network Access Control) per impedire a dispositivi non autorizzati di connettersi alla rete
Formazione del Personale
L'85% degli attacchi ransomware inizia con un'email di phishing o un'interazione social engineering. La tecnologia da sola non basta: il personale deve saper riconoscere le minacce. La nostra formazione cybersecurity include simulazioni di phishing realistiche, sessioni pratiche sulle minacce attuali e procedure chiare su cosa fare in caso di sospetto incidente.
Patching e Vulnerability Management
Le vulnerabilità non patchate sono il secondo vettore più comune per il ransomware. Un programma di patching regolare, combinato con monitoraggio proattivo delle vulnerabilità critiche, chiude le porte prima che gli attaccanti possano sfruttarle. Con NinjaOne, automatizziamo il deployment delle patch su tutti i sistemi dei nostri clienti.
Casi Reali: Il Ransomware nelle PMI Italiane
Per comprendere l'impatto concreto del ransomware sulle PMI italiane, analizziamo alcuni scenari tipici che abbiamo gestito o che sono stati documentati pubblicamente.
Caso 1: Azienda Manifatturiera, 60 Dipendenti (Brianza)
Attacco LockBit 3.0 entrato tramite email di phishing con allegato Excel malevolo. Il ransomware ha cifrato 4 server (file server, ERP, database SQL, domain controller) e 15 workstation in meno di 3 ore. Il NAS di backup era sulla stessa rete e anche quello è stato cifrato. L'azienda non aveva backup off-site né copie immutabili. Risultato: 12 giorni di fermo totale, riscatto pagato di 85.000 euro, solo il 70% dei dati recuperato. Costo totale stimato: oltre 350.000 euro tra riscatto, downtime, consulenze e danni commerciali.
Caso 2: Studio Professionale, 25 Dipendenti (Milano)
Attacco via VPN con credenziali compromesse (password debole, no MFA). Il ransomware ha cifrato il file server con tutti i documenti dei clienti. L'azienda aveva un backup Veeam su NAS locale e una replica cloud con Object Lock su Wasabi. Il NAS locale era stato cifrato, ma la copia cloud immutabile era intatta. Risultato: ripristino completo in 14 ore, zero perdita di dati, zero pagamento di riscatto. L'investimento in backup immutabile di circa 300 euro/mese ha evitato un danno di oltre 200.000 euro.
La Differenza: Preparazione vs Improvvisazione
Questi due casi illustrano una realtà incontrovertibile: la differenza tra un recovery di 14 ore e uno di 12 giorni (con pagamento del riscatto) è interamente nella preparazione preventiva. Un backup 3-2-1 con copie immutabili, un Disaster Recovery Plan testato e una strategia di business continuity sono l'investimento più importante che una PMI possa fare.
Costi del Downtime: i Numeri che Ogni CFO Deve Conoscere
Per giustificare l'investimento in prevenzione e disaster recovery, è utile quantificare i costi reali di un attacco ransomware. Ecco le principali voci di costo:
Downtime operativo
5.000 - 20.000 € al giorno per PMI, fino a 50.000 €/giorno per aziende manifatturiere con linee di produzione ferme. Media per PMI italiane: 8 giorni di fermo dopo ransomware senza backup adeguati.
Costi di ripristino tecnico
15.000 - 50.000 € per consulenze specialistiche di incident response, forensics, reinstallazione dei sistemi, riconfigurazioni. Con un contratto MSP attivo, gran parte di questi costi sono già coperti.
Sanzioni normative
Il GDPR prevede sanzioni fino al 4% del fatturato per mancata protezione dei dati personali. La NIS2 aggiunge ulteriori sanzioni per mancata compliance e mancata notifica tempestiva degli incidenti.
Danni reputazionali e perdita clienti
Difficili da quantificare ma spesso i più costosi a lungo termine. Il 29% dei clienti B2B interrompe i rapporti con un fornitore che ha subito un data breach (Ponemon Institute).
Costi legali
Consulenze legali per la gestione del data breach, notifiche al Garante Privacy, eventuali contenziosi con clienti i cui dati sono stati esfiltrati. Da 5.000 a 30.000 €.
Come BullTech Informatica Protegge le PMI dal Ransomware
In qualità di Managed Service Provider con certificazioni Veeam, WatchGuard e Bitdefender, BullTech Informatica offre un approccio completo alla protezione ransomware per le PMI lombarde. Non vendiamo singoli prodotti: costruiamo una difesa stratificata che copre prevenzione, detection e recovery.
Backup Immutabili 3-2-1-1-0
Architettura di backup completa con Veeam: locale, cloud e immutabile. I tuoi dati sono sempre recuperabili, anche nel peggiore degli scenari.
SOC/MDR 24/7
Monitoraggio continuo della sicurezza con rilevamento e risposta automatizzata alle minacce. Blocchiamo gli attacchi prima che arrivino ai backup.
Disaster Recovery Testato
DRP documentato e testato trimestralmente. In caso di attacco, sappiamo esattamente cosa fare e in quanto tempo.
Incident Response Rapido
Team di risposta dedicato raggiungibile h24. Interveniamo entro 30 minuti dalla segnalazione per contenere l'attacco e avviare il recovery.
Con sede a Vimercate, copriamo tutta la Lombardia con interventi rapidi on-site quando l'emergenza lo richiede. La prevenzione costa una frazione di quanto costa un attacco: contattaci per valutare insieme il livello di protezione della tua azienda.
Domande Frequenti sul Ransomware Recovery
Quanto tempo serve per recuperare i dati dopo un attacco ransomware?
Il tempo di recovery dipende dalla preparazione dell'azienda. Con un Disaster Recovery Plan testato e backup immutabili funzionanti, il ripristino dei sistemi critici può avvenire in 4-24 ore. Senza backup, i tempi si allungano a giorni o settimane: la negoziazione con gli attaccanti richiede 3-7 giorni, e anche dopo il pagamento il decryptor fornito dai criminali è spesso lento e inaffidabile. Il 46% delle aziende che paga non recupera tutti i dati. La preparazione preventiva è l'unico modo per garantire tempi di recovery accettabili.
Devo pagare il riscatto ransomware?
La raccomandazione unanime delle forze dell'ordine e degli esperti di cybersecurity è di non pagare. Pagare finanzia i criminali e non garantisce il recupero dei dati: secondo Sophos (2025), il 46% delle aziende che paga non recupera tutti i dati, e il 80% viene attaccata nuovamente. Inoltre, in Italia il pagamento può configurare reati (finanziamento di attività criminali). L'unica strategia realmente efficace è la prevenzione: backup immutabili, segmentazione di rete, formazione del personale e un Disaster Recovery Plan testato.
I backup nel cloud sono sicuri dai ransomware?
Dipende dalla configurazione. Un backup cloud standard (sincronizzazione file come OneDrive o Google Drive) NON protegge dal ransomware: i file cifrati vengono sincronizzati nel cloud sovrascrivendo quelli sani. Un backup cloud professionale con immutabilità (Object Lock su S3, Veeam Cloud Connect con insider protection) è invece sicuro perché i dati non possono essere modificati o cancellati per il periodo di retention definito, nemmeno con credenziali di amministratore. La chiave è l'immutabilità, non semplicemente il cloud.
Come capisco se il ransomware ha colpito anche i backup?
I ransomware moderni cercano attivamente i backup prima di lanciare la cifratura. Segnali che i backup sono compromessi: file di backup con estensioni modificate, repository Veeam inaccessibili, NAS con file cifrati, backup cloud con modifiche non autorizzate. Per verificare, tentate un ripristino di test in un ambiente isolato. I backup immutabili (Linux Hardened Repository, Object Lock S3) sono per definizione immuni: anche se l'attaccante accede al sistema di backup, non può modificare le copie protette da immutabilità.
Quali sono i costi reali di un attacco ransomware per una PMI?
Secondo IBM (Cost of a Data Breach 2025), il costo medio di un attacco ransomware per una PMI italiana si aggira tra i 50.000 e i 250.000 euro, considerando: costo del downtime (5.000-20.000 €/giorno), costi di ripristino tecnico (15.000-50.000 €), eventuali sanzioni GDPR, danni reputazionali, perdita di clienti e contratti. Se l'azienda paga il riscatto, si aggiungono 30.000-500.000 € di riscatto medio. Il costo della prevenzione (backup professionale + DRP + formazione) è tipicamente il 5-10% del costo di un singolo incidente.