Il dato è di Federprivacy e non lascia spazio all'interpretazione: il 33% delle PMI italiane ha subito almeno un cyberattacco negli ultimi 12 mesi. Il ransomware è la minaccia principale. Eppure il 60% delle imprese colpite ha scoperto di essere stata attaccata solo dopo che i dati erano già cifrati.
Nel 2025 gli attacchi ransomware in Italia sono aumentati del 65% rispetto all'anno precedente. A gennaio 2026, le organizzazioni italiane subivano in media 2.403 attacchi a settimana. L'Italia, che rappresenta il 3% del PIL mondiale, riceve l'11% di tutti gli attacchi informatici globali — una sproporzione enorme.
Come funziona un attacco ransomware oggi
Il ransomware moderno non arriva da un hacker incappucciato che digita codice furiosamente. Arriva attraverso canali banali:
Email di phishing (68% dei casi): una email apparentemente da un fornitore, dalla banca o dalle Poste con un allegato o un link. Un clic di un dipendente è sufficiente.
Vulnerabilità non patchate (22%): sistemi Windows non aggiornati, VPN con vulnerabilità note, firewall con firmware obsoleto. Gli scanner automatici trovano questi sistemi in pochi secondi.
Credenziali compromesse (10%): password rubate in precedenti data breach, riutilizzate senza MFA su RDP, VPN o pannelli di accesso remoto.
Il ransomware Akira è quello che più frequentemente colpisce le PMI italiane nel 2025-2026. Il suo modus operandi: entrare tramite VPN senza MFA, espandersi lateralmente nella rete per settimane, rubare dati prima di cifrare tutto. Così il riscatto include la doppia minaccia: restituire i file E non pubblicare i dati rubati.
I costi reali per una PMI
Il costo medio di un attacco ransomware per una PMI italiana è di 35.000 euro. Ma questo è solo il riscatto medio — quando viene pagato. Il costo totale comprende:
- Downtime: 23 giorni medi di fermo operativo senza un piano di risposta strutturato
- Ripristino sistemi: migrazione dati, reinstallazione, riconfigurazioni
- Perdita di clienti: chi ti scopre offline per 3 settimane non torna
- Danni reputazionali: soprattutto se i dati dei clienti vengono pubblicati
- Sanzioni GDPR: se erano presenti dati personali, la notifica all'Autorità Garante è obbligatoria entro 72 ore
Un'azienda con 30 dipendenti nel settore manifatturiero del Veneto che subisce un ransomware completo può trovarsi con un danno totale tra 80.000 e 200.000 euro.
Perché le PMI sono il bersaglio preferito
La risposta è economica. Le grandi aziende hanno SOC, team di sicurezza dedicati, budget per la difesa. Le PMI no. Ma i dati che custodiscono — dati clienti, progetti, codici di produzione, contratti — hanno lo stesso valore.
Il rapporto rischio/rendimento per un gruppo ransomware è quindi molto più favorevole su una PMI che su un'azienda enterprise. Meno difese, stessa probabilità di incasso.
La difesa in profondità: cosa funziona davvero
Non esiste la "soluzione unica" contro il ransomware. Quello che funziona è la difesa a strati:
1. Backup offline conforme 3-2-1-1-0 Tre copie, due media diversi, una offsite, una offline o immutabile, zero errori verificati. Un backup raggiungibile dalla rete è un backup già cifrato insieme ai tuoi dati.
2. MFA su tutto VPN, accesso remoto, email aziendale, pannelli di gestione. L'MFA blocca il 99% degli attacchi basati su credenziali rubate.
3. Patch management automatizzato I sistemi non aggiornati sono porte aperte. Un processo strutturato di patch management riduce drasticamente la superficie d'attacco.
4. Segmentazione della rete Server, NAS, sistemi industriali non devono essere sulla stessa rete dei PC degli utenti. Se un PC viene compromesso, il ransomware non deve poter raggiungere il fileserver.
5. Endpoint Detection & Response (EDR) L'antivirus classico non basta. Un EDR analizza il comportamento dei processi in tempo reale e blocca attività anomale prima che il ransomware si espanda.
6. Formazione del personale Il fattore umano è la prima porta d'ingresso. Una simulazione di phishing mensile riduce del 70% la probabilità che un dipendente clicchi su un link malevolo.
Il valore di un MSP nella risposta agli incidenti
Quando un attacco ransomware colpisce, ogni minuto conta. Un MSP strutturato che conosce già la tua infrastruttura può attivare il piano di risposta in pochi minuti, non in ore o giorni.
Kubee gestisce backup, EDR, patch management e risposta agli incidenti per le PMI del Veneto e del Friuli. Non come prodotti separati, ma come parte di un contratto di manutenzione integrato.
Sei preoccupato per la sicurezza della tua azienda? Contattaci per un vulnerability assessment gratuito.