In Italia, la mediana delle cifre effettivamente pagate per i riscatti ransomware lo scorso anno è stata di 2,06 milioni di dollari; lo sfruttamento di vulnerabilità resta la principale causa degli attacchi. Questi numeri, ricavati dalle interviste a 3.400 responsabili IT e cybersecurity in 17 Paesi, sono contenuti nel report State of Ransomware 2025 di Sophos, che offre una fotografia dettagliata della situazione italiana, su cui ci concentriamo in questo articolo.

Italia: le cause degli attacchi

La situazione in Italia è caratterizzata da alcuni elementi di debolezza strutturale e lacune organizzative che favoriscono la buona riuscita degli attacchi. Iniziamo con il fatto che, per il terzo anno consecutivo, lo sfruttamento di vulnerabilità è la via d’accesso preferita dai cybercriminali, e per la precisione è responsabile del 35% degli incidenti. Seguono il phishing (23%) e la compromissione delle credenziali (16%). Questi dati, che sono in crescita, segnalano una persistente difficoltà delle aziende italiane nell’applicare patch tempestivamente e nel mantenere aggiornata la propria postura di sicurezza.

Questi dati mettono in luce una persistente difficoltà delle aziende italiane nel gestire la superficie di attacco e nel mantenere una postura di sicurezza aggiornata, soprattutto in termini di patching e segmentazione interna. Nel 36% dei casi, infatti, le aziende sono state colpite da ransomware a causa di lacune di sicurezza di cui non erano consapevoli (il dato è pressoché identico a quello internazionale), mentre il 37% ha segnalato una vulnerabilità nota ma non risolta.

Le carenze sono anche organizzative: il 63% delle aziende italiane riconosce di non avere risorse adeguate per fronteggiare il rischio ransomware: la mancanza di competenze pesa soprattutto sulle grandi aziende (oltre 3.000 dipendenti), mentre la mancanza di competenze e capacità operative colpisce le realtà di medie dimensioni (251–500 dipendenti). Questi elementi evidenziano da un lato la difficoltà nel reperire e trattenere personale qualificato, dall’altro la mancanza di visibilità sulle superfici di attacco.

Il 39% delle aziende ha dovuto modificare il team o la struttura organizzativa dopo un attacco, il 36% ha rilevato un aumento continuo del carico di lavoro, il 35% ha segnalato ansia o stress per il timore di nuovi attacchi e la stessa percentuale ha ammesso sentimenti di colpa per non aver fermato l’incidente. Il 32% ha segnalato assenze per stress o malessere psicologico.

Sul fronte delle dinamiche, il 55% degli attacchi ha portato alla cifratura dei dati, un valore superiore alla media globale (50%), ma in calo rispetto all’85% registrato in Italia nel 2024. Solo nell’11% dei casi in cui i dati sono stati crittografati si è verificato anche il furto delle informazioni, meno di un quarto rispetto al 45% dell’anno precedente.

Il ricorso ai backup per il recupero dei dati cifrati è in calo: solo il 58% delle aziende italiane ha utilizzato i backup, contro il 72% dell’anno precedente. Questo suggerisce possibili criticità nella gestione delle copie di sicurezza, forse legate a problemi di affidabilità o di test delle procedure di recovery.

Il capitolo dei riscatti

Anche la gestione dell’incident response presenta criticità: la scelta di pagare il riscatto, spesso in assenza di piani efficienti di incident response e disaster recovery, riflette una postura reattiva e non proattiva. Il 24% delle aziende italiane ha pagato più di quanto richiesto inizialmente, contro una media globale del 18%: segno di una minore capacità di negoziazione o di una maggiore pressione psicologica durante la crisi.

La percentuale di aziende che recupera i dati tramite backup è in calo: nel 2024 il 58% delle aziende italiane ha usato i backup per ripristinare i dati cifrati, contro il 72% dell’anno precedente, e solo l’11% dei casi di cifratura ha comportato anche il furto di dati, in netta diminuzione rispetto al 45% dell’anno prima13.

La mediana delle richieste di riscatto ha raggiunto i 4,12 milioni di dollari, in aumento rispetto ai 3,19 milioni dell’anno precedente; il 68% delle richieste ha superato il milione di dollari (contro il 78% del 2024). Tuttavia, la mediana delle somme effettivamente pagate è stata di 2,06 milioni, leggermente inferiore ai 2,20 milioni dell’anno precedente. Le aziende italiane pagano mediamente il 97% della cifra richiesta, che è un valore superiore alla media globale (85%). Solo il 14% delle aziende ha pagato esattamente quanto richiesto (contro il 29% globale); il 62% ha pagato meno (media globale: 53%) e il 24% ha pagato più del richiesto (media globale: 18%).

I segnali positivi: dove l’Italia sta migliorando

Dal report emergono anche segnali incoraggianti. Il costo complessivo per il ripristino delle attività, esclusi i riscatti, è in netto calo: la spesa media sostenuta dalle aziende italiane per tornare alla normalità dopo un attacco ransomware è stata di 3,55 milioni di dollari, contro i 5,38 milioni dell’anno precedente. Questo riflette una maggiore efficienza nelle operazioni di recovery e una migliore preparazione agli incidenti.

Anche la velocità di ripristino mostra segnali incoraggianti: il 46% delle aziende italiane è riuscito a ripristinare completamente le attività entro una settimana dall’attacco, il doppio rispetto al 23% dell’anno precedente; il 26% ha impiegato da uno a sei mesi (nel 2024 era il 50%). Inoltre, il 99% delle aziende italiane colpite è riuscito a recuperare i dati cifrati, che è un dato superiore alla media globale.

Il 27% delle aziende italiane ha riavuto i propri dati dopo avere pagato il riscatto - dato in netto calo rispetto al 53% dell’anno precedente, segno di una maggiore efficacia delle strategie di backup e recovery.