Ransomware e PMI: 5 misure concrete per non farsi trovare impreparati

Il problema non è "se" ma "quando"

Nel 2025 l'Italia ha subito 507 attacchi informatici gravi, con un incremento del +42% rispetto all'anno precedente. Lo certifica il Rapporto Clusit 2026. Il nostro paese rappresenta ormai il 9,6% degli incidenti mondiali.

La distribuzione delle vittime dice qualcosa di preciso: il 67% sono piccole e medie imprese, una percentuale superiore di dieci punti rispetto alla media globale.

Il motivo è semplice. Le PMI italiane dipendono dall'IT quasi quanto le grandi aziende — hanno gestionali, e-mail, VPN, dati dei clienti — ma investono molto meno in sicurezza e reagiscono più lentamente. Per i gruppi criminali, sono un bersaglio efficiente.

Il costo medio di un incidente ransomware per una PMI italiana si colloca tra i 150.000 e i 200.000 euro, tra blocco operativo, recupero dati, danni reputazionali e, in alcuni casi, pagamento del riscatto. Cifre che per molte aziende significano mesi di utile azzerati — o la chiusura.

Come funziona oggi un attacco ransomware

Il ransomware del 2026 non è quello di dieci anni fa. Non arriva più solo via allegato e-mail sospetto. Oggi esistono veri e propri marketplace nel dark web dove chiunque può "affittare" software di attacco sofisticato, pagando una percentuale del riscatto. Si chiama Ransomware-as-a-Service.

Le varianti più diffuse usano la cosiddetta doppia estorsione: prima rubano i dati sensibili, poi cifrano i sistemi. Se non paghi, i dati vengono pubblicati. Non si tratta solo di perdere l'accesso ai file — si rischia una violazione di dati personali con tutte le conseguenze che ne derivano sul fronte GDPR.

Un aspetto spesso sottovalutato: i criminali entrano nella rete e ci restano in media dai 5 ai 15 giorni prima di scatenare la cifratura. In quel periodo mappano i sistemi, identificano i backup, rubano credenziali e copiano i dati. Solo alla fine attivano il blocco. Chi non ha strumenti di monitoraggio adeguati non si accorge di nulla fino al disastro.

Tra i gruppi più attivi contro le PMI italiane nel 2025-2026 c'è Akira, che sfrutta preferibilmente accessi VPN privi di autenticazione a due fattori su apparati Cisco e Fortinet. Se la tua VPN aziendale non ha l'MFA attivo, sei un bersaglio concreto.

I criminali entrano, aspettano, guardano. Poi colpiscono. Il problema non è l'attacco in sé — è non accorgersene in tempo.

I tre vettori di attacco più comuni in Italia

Prima di parlare di difese, vale la pena capire da dove entrano. Nei casi italiani documentati, i tre vettori più frequenti sono:

Phishing via e-mail — il dipendente clicca su un link o apre un allegato malevolo in un messaggio apparentemente legittimo. È il vettore numero uno in assoluto.
Vulnerabilità non patchate — sistemi operativi, firewall, VPN o software esposti su internet con falle note per cui esiste già una correzione, ma non è stata applicata.
Credenziali rubate e riusate — password sottratte in precedenti violazioni, usate per accedere a sistemi aziendali non protetti da autenticazione a due fattori.

Tre problemi tecnici, tutti e tre risolvibili con misure accessibili anche a una PMI senza un reparto IT dedicato.

Le 5 misure essenziali (con costi contenuti)

1. Backup immutabile con la regola 3-2-1-1

Un backup che può essere cifrato o cancellato dall'attaccante non serve a nulla. I moderni gruppi ransomware cercano attivamente i backup prima di colpire — è una delle prime cose che fanno durante quei giorni di permanenza silenziosa nella rete.

Lo standard minimo nel 2026 è la regola 3-2-1-1: tre copie dei dati, su due supporti diversi, una copia offsite, una copia air-gapped (fisicamente isolata dalla rete). I backup devono essere immutabili, cioè non modificabili nemmeno da chi ha privilegi amministrativi.

Ma non basta avere i backup: bisogna testarli regolarmente. Un backup che non hai mai ripristinato potrebbe non funzionare quando ne hai davvero bisogno. Pianifica almeno un test di ripristino ogni trimestre.

2. Autenticazione a due fattori ovunque

L'MFA (autenticazione a più fattori) è probabilmente la misura con il miglior rapporto costo-efficacia disponibile oggi. Microsoft riporta che blocca il 99,9% degli attacchi automatizzati di compromissione degli account.

Va attivata su tutto ciò che conta: e-mail aziendale, VPN, ERP, CRM, portali di amministrazione, servizi cloud. Molti di questi sistemi la offrono già inclusa — spesso è solo questione di attivarla.

Se hai una VPN senza MFA, attivalo questa settimana. Non tra un mese.

3. Aggiornamenti sistematici (patch management)

La maggior parte degli attacchi che sfruttano vulnerabilità tecniche usa falle già note e già corrette dai produttori. Il problema è che le patch non vengono applicate in tempo.

Non serve un sistema complicato. Serve una abitudine: definisci una finestra mensile di manutenzione — anche solo due ore al mese — in cui aggiorni sistemi operativi, antivirus, firewall, router e software critici. Verifica che anche i fornitori cloud che usi applichino aggiornamenti regolari.

I sistemi esposti direttamente su internet (VPN, firewall, server web) vanno aggiornati con priorità assoluta.

4. Formazione del personale

Un dipendente che clicca su un link sbagliato può vanificare qualsiasi investimento tecnico. Il phishing è il vettore numero uno perché funziona — e funziona su persone di ogni livello, non solo sui meno esperti.

La formazione non deve essere un corso annuale da tre ore che nessuno ricorda. Bastano sessioni brevi e frequenti, anche da 15 minuti al mese, e periodiche simulazioni di phishing — email false inviate ai dipendenti per vedere chi clicca e poi spiegare come riconoscerle.

I temi minimi da coprire:

Come riconoscere un'e-mail di phishing (mittente, link, tono d'urgenza)
Gestione sicura delle password (e perché non riusarle)
Cosa fare se si sospetta un incidente (a chi dirlo, cosa non fare)

5. Un piano di risposta agli incidenti

Anche con buone difese, un incidente può capitare. La differenza tra un'azienda che riprende in poche ore e una che resta bloccata per settimane spesso non è tecnologica — è organizzativa.

Un piano di risposta non deve essere un documento di 50 pagine. Deve rispondere a domande pratiche:

Chi chiamo per primo se scopro un problema? (referente interno, fornitore IT, assicurazione)
Come isolo i sistemi colpiti senza bloccare tutto il resto?
Da quale backup ripristino, e in quanto tempo?
Come comunico con clienti e fornitori durante il blocco?
Ho l'obbligo di notifica al Garante Privacy? (Sì, se ci sono dati personali coinvolti: entro 72 ore.)

Scrivi le risposte, condividile con le persone giuste, tienile aggiornate. Un foglio stampato in un cassetto vale più di un piano teorico che nessuno conosce.

Da dove iniziare se parti da zero

Se oggi la tua azienda non ha nessuna di queste misure, non serve partire da tutto insieme. Inizia dalle più urgenti in base alla tua situazione:

Attiva l'MFA sulla VPN e sulle e-mail aziendali — oggi, non rimandare.
Verifica che i backup esistano, siano separati dalla rete e siano testati.
Pianifica un aggiornamento mensile dei sistemi critici.
Fai un briefing di 30 minuti con il team sul riconoscimento del phishing.
Scrivi una lista di tre numeri di telefono da chiamare se qualcosa va storto.

Non è sicurezza perfetta. Ma è la differenza tra essere un bersaglio facile e uno che richiede troppo sforzo per essere conveniente.

Nota sulla trasparenza: questo articolo è stato redatto con l'assistenza di strumenti di intelligenza artificiale a partire da fonti pubbliche, e verificato dal nostro team. Non costituisce consulenza professionale: per la valutazione specifica della tua azienda, parliamone.