Ransomware e PMI in Italia: come proteggersi davvero nel 2026

Lettura 8 min · AstraLoop Studio

Se hai un'azienda piccola o media e pensi che il ransomware sia un problema delle multinazionali, il Rapporto Clusit 2026 dice l'esatto contrario: in Italia le PMI sono il 72% dei bersagli. Non perche siano piu ricche, ma perche sono piu facili da colpire. Difese leggere, backup traballanti, nessuno che presidia la sicurezza a tempo pieno. Per un gruppo criminale sei il bersaglio ideale, perche paghi in fretta quando sei fermo e non hai un ufficio legale che tira per le lunghe.

Nel 2026 l'attacco non e piu quello di qualche anno fa. Non ti cifrano solo i file per chiederti il riscatto. Oggi il gioco e cambiato, e in peggio per chi non si e preparato. In questo articolo vediamo come si e evoluto il ransomware, quanto ti costa davvero un attacco e, soprattutto, le difese concrete che reggono. A partire da quella che quasi tutti trascurano: il backup con test di restore.

Illustrazione di una piccola azienda protetta da uno scudo mentre minacce informatiche tentano di penetrare

Come e cambiato il ransomware nel 2026

Il modello classico (cifro i tuoi dati, paghi, ti do la chiave) esiste ancora, ma e ormai la versione base. Gli attaccanti hanno capito che il backup, quando c'e, gli fa saltare il riscatto. Cosi hanno alzato la posta. Ecco le tre evoluzioni che stai affrontando oggi.

Doppia e tripla estorsione

Prima di cifrare, i criminali esfiltrano i tuoi dati: anagrafiche clienti, listini, contratti, dati sanitari o finanziari. La doppia estorsione funziona cosi: paghi per riavere i file e paghi di nuovo per non farli pubblicare sul loro sito nel dark web. La tripla estorsione aggiunge un terzo livello e contatta direttamente i tuoi clienti o fornitori, minacciando di rivelare che i loro dati sono finiti nelle mani sbagliate. A quel punto il backup non ti salva piu, perche i dati sono gia usciti dall'azienda. E qui entra in gioco anche il rischio data breach ai fini GDPR, con l'obbligo di notifica al Garante Privacy entro le 72 ore.

Data corruption al posto della cifratura

Alcuni gruppi hanno smesso di cifrare e hanno iniziato a corrompere silenziosamente i dati. Invece di bloccarti tutto in un colpo, alterano file e database poco alla volta, spesso per settimane prima di farsi vivi. Il risultato e peggiore della cifratura: quando te ne accorgi, i tuoi backup piu recenti contengono gia dati corrotti. Senza una catena di backup con versioni pulite e verificate, ti ritrovi a ripristinare spazzatura sopra spazzatura.

Leak selettivi mirati

Non pubblicano piu tutto in blocco. Pescano i documenti piu sensibili (un contratto riservato, i dati di un cliente importante, un progetto industriale) e li rilasciano a piccole dosi per aumentare la pressione. E una strategia da negoziatori: ogni giorno che non paghi, esce qualcosa che ti fa male. Per una PMI del manifatturiero del Nord-Est, o per uno studio professionale, un leak selettivo puo significare la perdita del cliente principale.

Quanto ti costa davvero un attacco

Il riscatto e solo una voce del conto, e spesso nemmeno la piu pesante. Per una PMI italiana il costo medio complessivo di un attacco ransomware si colloca tra 35.000 e 250.000 euro, e il range dipende quasi tutto da una cosa: quanto tempo resti ferma. Ecco come si compone la spesa reale.

Voce di costoCosa comprendeImpatto tipico PMI
Fermo operativoGiorni di produzione, ordini bloccati, magazzino congelatoSpesso la voce piu alta
Ripristino ITBonifica sistemi, ricostruzione infrastruttura, consulenti esterni10.000-80.000 EUR
Riscatto (se pagato)Pagamento in cripto, senza garanzia di recuperoVariabile, sconsigliato
Danno reputazionaleClienti persi, contratti saltati, fiducia erosaDifficile da quantificare, duraturo
Sanzioni GDPRIn caso di data breach non gestito correttamenteFino al 4% del fatturato

Pagare il riscatto, tra l'altro, non risolve. Le statistiche di settore mostrano che una parte significativa di chi paga non recupera tutti i dati, e in molti casi viene ricontattata a distanza di mesi. Se vuoi ragionare in termini di ritorno economico della prevenzione rispetto al costo di subire l'attacco, abbiamo dedicato un'analisi al costo reale di un data breach e al ROI della prevenzione.

Illustrazione di copie di backup a strati con una copia immutabile isolata e un ciclo di test di ripristino

La difesa che conta di piu: backup e test di restore

Se dovessi scegliere una sola misura contro il ransomware, sceglierei un backup fatto bene. Non perche impedisce l'attacco (non lo fa), ma perche ti restituisce il potere negoziale: se puoi ripristinare in poche ore, il riscatto diventa un problema molto piu piccolo. Il punto e che quasi nessuna PMI ha un backup vero. Ha dei file copiati da qualche parte e la speranza che funzionino.

La regola 3-2-1 (e perche il ransomware la mette alla prova)

  • 3 copie dei dati: l'originale piu due backup.
  • 2 supporti diversi: per esempio disco locale e cloud.
  • 1 copia offline o immutabile, scollegata dalla rete. E la copia che il ransomware non puo raggiungere ne cifrare.

Il ransomware moderno cerca attivamente i backup collegati in rete e li cifra per primi. Un backup su un NAS sempre connesso non e una difesa, e il primo bersaglio. Serve una copia immutabile (che non puo essere modificata per un periodo definito) oppure fisicamente offline. Molte PMI scoprono questo dettaglio nel giorno peggiore possibile.

Il test di restore: la misura che tutti saltano

Avere il backup non basta. Devi sapere che funziona davvero e in quanto tempo torni operativo. Il test di restore e la prova pratica: prendi un backup, lo ripristini in un ambiente separato, verifichi che i dati siano integri e cronometri quanto ci vuole. Chi non lo fa spesso scopre, durante un attacco reale, che i backup erano incompleti o corrotti, oppure che il ripristino completo richiede giorni invece di ore.

Definisci due parametri e mettili nero su bianco: l'RPO (quanto lavoro puoi permetterti di perdere, cioe ogni quanto salvi) e l'RTO (quanto tempo puoi restare fermo prima che il danno diventi insostenibile). Poi verifica che i tuoi backup rispettino davvero quei numeri. Un test di restore ogni tre mesi non e paranoia, e manutenzione ordinaria.

I backup non testati sono la sorpresa peggiore nel giorno di un attacco. Richiedi un'analisi della tua situazione: verifichiamo insieme dove sei esposto e cosa sistemare per primo.

Le altre difese che chiudono le porte d'ingresso

Il backup e la tua rete di sicurezza, ma l'obiettivo resta non farsi bucare. Il ransomware entra quasi sempre da tre strade: phishing, credenziali deboli, vulnerabilita non aggiornate. Ecco le contromisure che fanno la differenza.

Bloccare l'ingresso via email e credenziali

  • MFA ovunque. L'autenticazione a piu fattori su email, VPN, gestionale e accessi da remoto blocca la stragrande maggioranza degli accessi rubati. E la misura con il miglior rapporto costo/efficacia in assoluto.
  • Formazione anti-phishing. Nel 2026 il phishing e potenziato dall'AI: email iper-realistiche, deepfake vocali, vishing. Il tuo personale deve saper riconoscere un tentativo di phishing aziendale prima di cliccare.
  • Privilegi minimi. Nessun utente deve avere permessi da amministratore se non gli servono. Cosi limiti la propagazione quando un account viene compromesso.

Tenere aggiornato tutto, sempre

Il Rapporto Clusit segnala che nel 2026 lo sfruttamento delle vulnerabilita e cresciuto in modo netto. Sistemi operativi, gestionali, VPN e soprattutto il sito web: ogni componente non aggiornato e una porta aperta. Se hai un e-commerce o un sito su WordPress il tema e ancora piu caldo, dato il numero enorme di falle nei plugin di terze parti. Vale la pena approfondire come mettere in sicurezza la sicurezza informatica di un e-commerce.

Segmentare la rete e monitorare

Una rete piatta, dove tutto parla con tutto, permette al ransomware di diffondersi da un singolo PC a tutta l'azienda in pochi minuti. Segmentare la rete (dividerla in zone che comunicano solo per necessita) contiene i danni. Aggiungi un monitoraggio che rilevi comportamenti anomali, come accessi notturni, download massivi o cifratura improvvisa di file, e hai qualche possibilita di fermare l'attacco prima che si completi.

Il quadro normativo: NIS2 rende tutto questo un obbligo

Fino a ieri la sicurezza era una scelta. Dal 2026 per molte aziende diventa un obbligo di legge, con responsabilita diretta dei vertici. La NIS2 (direttiva UE recepita in Italia) impone misure di sicurezza di base e la notifica degli incidenti, con scadenze operative nel corso del 2026 e la responsabilita che ricade su CEO e CdA, non piu delegabile all'ufficio IT. Se non sai se ti riguarda, parti da qui: la NIS2 si applica alla mia azienda? e quali obblighi NIS2 devono affrontare le PMI.

La notifica degli incidenti significativi ha tempistiche stringenti: un attacco ransomware, se rientra nei criteri, va segnalato alle autorita competenti in tempi brevi. Chi non e pronto rischia di gestire malissimo proprio il momento piu critico. Per inquadrare il tema piu ampio della protezione dei dati e degli adempimenti, la nostra guida alla cyber security per le PMI nel 2026 mette in fila minacce, obblighi e priorita.

Da dove partire davvero

Comprare software di sicurezza a caso non serve. Serve prima capire dove sei esposto e poi chiudere le falle nell'ordine giusto. Questo e esattamente il compito di un audit di sicurezza informatica completo: mappare i sistemi, verificare i backup, testare le vulnerabilita e restituirti una lista di priorita concrete. Non uno scan automatico da due soldi, ma un'analisi che tenga conto di come lavori davvero e di cosa hai davvero da perdere.

La sequenza sensata per una PMI e semplice. Primo, sistemare backup e test di restore, perche sono la tua rete di salvataggio. Secondo, attivare MFA e formare le persone, perche chiudono le porte piu usate. Terzo, fare un audit per scoprire cosa ti sei perso. Quarto, mettere a norma quanto richiede la NIS2. Non e un progetto da anni: le difese di base si costruiscono in poche settimane, e ognuna riduce il rischio in modo misurabile.

Il ransomware nel 2026 e piu aggressivo e piu redditizio che mai, e le PMI italiane sono il bersaglio preferito proprio perche molte non si sono ancora mosse. La buona notizia e che le difese che contano non sono ne costose ne complicate, sono solo trascurate. Iniziare a metterle in ordine oggi ti mette davanti alla maggioranza dei tuoi concorrenti, e soprattutto davanti a chi vuole colpirti.

Domande frequenti

Perche le PMI sono il bersaglio principale del ransomware in Italia?

Perche hanno difese piu leggere delle grandi aziende, raramente qualcuno presidia la sicurezza a tempo pieno e tendono a pagare in fretta pur di tornare operative. Il Rapporto Clusit 2026 indica le PMI come il 72% dei bersagli in Italia.

Conviene pagare il riscatto?

In generale no. Pagare non garantisce di recuperare i dati, una parte di chi paga viene ricontattata a distanza di mesi e comunque alimenti il modello criminale. Con backup immutabili e testati puoi ripristinare senza cedere all'estorsione. La decisione andrebbe presa con consulenti e, quando previsto, coinvolgendo le autorita.

Cos'e la doppia e tripla estorsione?

Nella doppia estorsione i criminali cifrano i dati e li rubano, chiedendoti di pagare per riaverli e di nuovo per non pubblicarli. Nella tripla aggiungono un terzo ricatto contattando direttamente clienti o fornitori. In questi casi il solo backup non basta, perche i dati sono gia usciti dall'azienda.

Perche il backup da solo non basta contro il ransomware moderno?

Perche il ransomware cerca e cifra i backup collegati in rete, e perche in caso di esfiltrazione i dati sono gia stati rubati. Serve almeno una copia immutabile o offline e, soprattutto, un test di restore periodico che dimostri che il ripristino funziona davvero e nei tempi previsti.

La NIS2 obbliga la mia PMI a proteggersi dal ransomware?

Dipende dal settore e dalla dimensione, ma la NIS2 estende gli obblighi di sicurezza e di notifica degli incidenti a molte piu aziende rispetto al passato, con responsabilita diretta dei vertici aziendali. Conviene verificare se la tua impresa rientra nel perimetro e adeguarsi entro le scadenze del 2026.

Quanto costa in media un attacco ransomware a una PMI italiana?

Tra circa 35.000 e 250.000 euro, considerando fermo operativo, ripristino IT, danno reputazionale ed eventuali sanzioni. La voce piu pesante e quasi sempre il tempo di inattivita, non il riscatto: piu velocemente ripristini, meno paghi.

Vuoi sapere quanto sei davvero esposto al ransomware? Parlane con noi e ti aiutiamo a costruire un piano di difesa concreto, a partire dalle misure che contano di piu.