In Italia il ransomware colpisce duro: vulnerabilità sfruttate nel 35% dei casi, riscatti medi da 2,06 milioni. Ci sono segnali di miglioramento, ma anche molte criticità.
Autore: Redazione SecurityOpenLab
In Italia, la mediana delle cifre effettivamente pagate per i riscatti ransomware lo scorso anno è stata di 2,06 milioni di dollari; lo sfruttamento di vulnerabilità resta la principale causa degli attacchi. Questi numeri, ricavati dalle interviste a 3.400 responsabili IT e cybersecurity in 17 Paesi, sono contenuti nel report State of Ransomware 2025 di Sophos, che offre una fotografia dettagliata della situazione italiana, su cui ci concentriamo in questo articolo.
La situazione in Italia è caratterizzata da alcuni elementi di debolezza strutturale e lacune organizzative che favoriscono la buona riuscita degli attacchi. Iniziamo con il fatto che, per il terzo anno consecutivo, lo sfruttamento di vulnerabilità è la via d’accesso preferita dai cybercriminali, e per la precisione è responsabile del 35% degli incidenti. Seguono il phishing (23%) e la compromissione delle credenziali (16%). Questi dati, che sono in crescita, segnalano una persistente difficoltà delle aziende italiane nell’applicare patch tempestivamente e nel mantenere aggiornata la propria postura di sicurezza.
Questi dati mettono in luce una persistente difficoltà delle aziende italiane nel gestire la superficie di attacco e nel mantenere una postura di sicurezza aggiornata, soprattutto in termini di patching e segmentazione interna. Nel 36% dei casi, infatti, le aziende sono state colpite da ransomware a causa di lacune di sicurezza di cui non erano consapevoli (il dato è pressoché identico a quello internazionale), mentre il 37% ha segnalato una vulnerabilità nota ma non risolta.
Le carenze sono anche organizzative: il 63% delle aziende italiane riconosce di non avere risorse adeguate per fronteggiare il rischio ransomware: la mancanza di competenze pesa soprattutto sulle grandi aziende (oltre 3.000 dipendenti), mentre la mancanza di competenze e capacità operative colpisce le realtà di medie dimensioni (251–500 dipendenti). Questi elementi evidenziano da un lato la difficoltà nel reperire e trattenere personale qualificato, dall’altro la mancanza di visibilità sulle superfici di attacco.
Il 39% delle aziende ha dovuto modificare il team o la struttura organizzativa dopo un attacco, il 36% ha rilevato un aumento continuo del carico di lavoro, il 35% ha segnalato ansia o stress per il timore di nuovi attacchi e la stessa percentuale ha ammesso sentimenti di colpa per non aver fermato l’incidente. Il 32% ha segnalato assenze per stress o malessere psicologico.
Sul fronte delle dinamiche, il 55% degli attacchi ha portato alla cifratura dei dati, un valore superiore alla media globale (50%), ma in calo rispetto all’85% registrato in Italia nel 2024. Solo nell’11% dei casi in cui i dati sono stati crittografati si è verificato anche il furto delle informazioni, meno di un quarto rispetto al 45% dell’anno precedente.
Il ricorso ai backup per il recupero dei dati cifrati è in calo: solo il 58% delle aziende italiane ha utilizzato i backup, contro il 72% dell’anno precedente. Questo suggerisce possibili criticità nella gestione delle copie di sicurezza, forse legate a problemi di affidabilità o di test delle procedure di recovery.
Anche la gestione dell’incident response presenta criticità: la scelta di pagare il riscatto, spesso in assenza di piani efficienti di incident response e disaster recovery, riflette una postura reattiva e non proattiva. Il 24% delle aziende italiane ha pagato più di quanto richiesto inizialmente, contro una media globale del 18%: segno di una minore capacità di negoziazione o di una maggiore pressione psicologica durante la crisi.
La percentuale di aziende che recupera i dati tramite backup è in calo: nel 2024 il 58% delle aziende italiane ha usato i backup per ripristinare i dati cifrati, contro il 72% dell’anno precedente, e solo l’11% dei casi di cifratura ha comportato anche il furto di dati, in netta diminuzione rispetto al 45% dell’anno prima13.
La mediana delle richieste di riscatto ha raggiunto i 4,12 milioni di dollari, in aumento rispetto ai 3,19 milioni dell’anno precedente; il 68% delle richieste ha superato il milione di dollari (contro il 78% del 2024). Tuttavia, la mediana delle somme effettivamente pagate è stata di 2,06 milioni, leggermente inferiore ai 2,20 milioni dell’anno precedente. Le aziende italiane pagano mediamente il 97% della cifra richiesta, che è un valore superiore alla media globale (85%). Solo il 14% delle aziende ha pagato esattamente quanto richiesto (contro il 29% globale); il 62% ha pagato meno (media globale: 53%) e il 24% ha pagato più del richiesto (media globale: 18%).
Dal report emergono anche segnali incoraggianti. Il costo complessivo per il ripristino delle attività, esclusi i riscatti, è in netto calo: la spesa media sostenuta dalle aziende italiane per tornare alla normalità dopo un attacco ransomware è stata di 3,55 milioni di dollari, contro i 5,38 milioni dell’anno precedente. Questo riflette una maggiore efficienza nelle operazioni di recovery e una migliore preparazione agli incidenti.
Anche la velocità di ripristino mostra segnali incoraggianti: il 46% delle aziende italiane è riuscito a ripristinare completamente le attività entro una settimana dall’attacco, il doppio rispetto al 23% dell’anno precedente; il 26% ha impiegato da uno a sei mesi (nel 2024 era il 50%). Inoltre, il 99% delle aziende italiane colpite è riuscito a recuperare i dati cifrati, che è un dato superiore alla media globale.
Il 27% delle aziende italiane ha riavuto i propri dati dopo avere pagato il riscatto - dato in netto calo rispetto al 53% dell’anno precedente, segno di una maggiore efficacia delle strategie di backup e recovery.