Il 76% delle imprese fatica a tenere il passo con la velocità degli attacchi potenziati dall’Intelligenza Artificiale; la rapidità di reazione determina l’esito della sicurezza; pagare il riscatto dei ransomware alimenta nuovi attacchi. Sono questi alcuni dei dati più rilevanti emersi dal CrowdStrike State of Ransomware Survey 2025, basato sulle interviste che hanno coinvolto 1.100 responsabili IT e cybersecurity in sette Paesi. La morale è che la fiducia riposta dalle aziende nella propria preparazione è spesso infondata, in un momento in cui il ransomware viene messo in campo con tecniche AI-driven.

Partiamo proprio da quest’ultimo dato: il 78% dei partecipanti ammette di avere subìto almeno un attacco ransomware nell’ultimo anno. Di questi, solo la metà si considerava molto preparata ad affrontare la minaccia; meno di un quarto ha effettivamente ripristinato operatività entro 24 ore. Il dato è preoccupante di per sé ma ce n’è uno che dà ancora più da pensare: circa il 25% delle vittime ha subìto gravi interruzioni o la perdita di dati, a dimostrazione del fatto che la convinzione di essere pronti raramente coincide con la reale capacità di gestione dell’incidente.

Disconnessione tra leadership e security

Una delle cause di quanto appena esposto è uno scollamento di proporzioni ancora importanti fra chi si occupa di security e chi dirige l’azienda. In particolare, è il 76% delle aziende a segnalare una distanza tra le valutazioni del management e quelle dei team di sicurezza sulla reale resilienza. Quello che accade si può sintetizzare come segue: i dirigenti hanno spesso una percezione troppo ottimista, non supportata dai dati. Questo li porta a stanziare investimenti inadeguati e a dare scarsa priorità agli interventi necessari. L’esempio lampante è quello di Singapore: spicca per l’ottimismo (58%) ma crolla nei risultati, con appena il 7% di recovery entro 24 ore.

Circoscrivendo la situazione al Vecchio Continente, le aziende britanniche dichiarano il 47% di preparazione, ma ottengono un 35% di successo nel ripristino rapido. Germania e Francia registrano rispettivamente il 25% e il 23%. Non ci sono dati relativi all’Italia. Fra i settori, i più fragili risultano essere il pubblico e la manifattura: nel primo solo il 12% ripristina i servizi in giornata e il 42% subisce danni significativi.​

Ulteriori dettagli su questo report sono stati oggetto di questa intervista con Luca Nilo Livrieri, Senior Director, Sales Engineering Southern Europe di CrowdStrike

Ma che cosa porta gli attacchi in azienda? La risposta è piuttosto scontata: per la maggior parte il phishing è il vettore iniziale più diffuso (45%), seguito dallo sfruttamento delle vulnerabilità (40%) e al terzo posto la compromissione della supply chain (35%).​ A prescindere dal vettore iniziale, oggi la partita della security si gioca sui tempi: più velocemente si reagisce all’attacco, minori saranno i danni. Ed è qui che gli intervistati scoprono le carte: il 45% teme che le proprie difese non reagiscano abbastanza rapidamente rispetto agli attacchi automatizzati. Come fare a reagire rapidamente? Rispondendo con la stessa arma, ossia combattendo gli attacchi automatizzati con l’AI usando una difesa automatizzata che usa a sua volta l’AI. Nel momento in cui questi due parametri sono disallineati si verificano i problemi. E disallineati lo sono: secondo il report, l’adozione difensiva dell’AI resta indietro (solo il 53% impiega AI-powered threat detection), in particolare nel settore pubblico.​

Ransomware

Il ransomware evolve continuamente e i dati che emergono dal report sono poco confortanti. Un tempo si disincentivavano le vittime a pagare per non alimentare l’ecosistema criminale. Oggi è appurato che chi paga viene etichettato come bersaglio appetibile. Lo si deduce dal fatto che l’83% delle aziende che paga subisce nuovi attacchi; il 93% constata furti di dati a prescindere dal pagamento, mentre il 45% non riesce nemmeno a recuperare tutti gli asset digitali. Un altro dato poco rassicurante è che i backup non sono più una garanzia: il 39% delle organizzazioni non riesce a ripristinare tutti i dati e l’82%, pur recuperando i dati, non riesce poi a gestire la crisi reputazionale, che spesso è prolungata nel tempo.​ Intanto i costi lievitano: il costo medio per downtime si attesta a 1,7 milioni di dollari per incidente, con picchi di 2,5 milioni nel settore pubblico.

La conseguenza di tutto questo è che dopo aver subito un ransomware, il 51% delle aziende aumenta l’investimento in cybersecurity e il 47% rafforza detection e monitoraggio, mentre il 45% punta sulla formazione. Tuttavia, solo il 38% risolve il problema tecnico che ha permesso l’intrusione, lasciando la porta aperta a futuri attacchi.​