I ransomware continuano a essere una delle minacce informatiche più gravi per le piccole e medie imprese italiane. Nel 2025 gli attacchi sono cresciuti del 37% rispetto all'anno precedente, e la richiesta media di riscatto in Italia ha superato i 250.000 euro. In questa guida vedremo cosa sono, come funzionano e – soprattutto – come difendersi in modo concreto.

Cos'è un ransomware e perché è così pericoloso

Un ransomware è un malware che cripta i file del sistema infetto rendendoli inaccessibili, e chiede un riscatto (in genere in criptovaluta) in cambio della chiave di decrittazione. Le varianti moderne non si limitano a cifrare: prima esfiltrano i dati e minacciano di pubblicarli (la cosiddetta double extortion).

Per una PMI un attacco riuscito significa nella maggior parte dei casi:

  • blocco totale dell'operatività per giorni o settimane;
  • perdita di dati critici (clienti, fatture, progetti);
  • danni reputazionali e legali (GDPR, notifiche al Garante);
  • costi diretti e indiretti che possono arrivare a centinaia di migliaia di euro.

I 7 pilastri della difesa

1. Backup 3-2-1 verificati

La regola del 3-2-1 è la base: 3 copie dei dati, su 2 supporti diversi, di cui 1 offline o immutabile. Un backup che non è stato testato negli ultimi 30 giorni non è un backup: è una speranza. Abbiamo dedicato una guida intera all'argomento, disponibile qui.

2. Endpoint protection di nuova generazione

Gli antivirus tradizionali basati su firme non sono più sufficienti. Serve una soluzione EDR (Endpoint Detection & Response) che analizzi il comportamento dei processi e blocchi le azioni sospette anche quando il malware non è ancora noto. Nei nostri abbonamenti offriamo ESET Protect Complete, che include protezione anti-ransomware dedicata.

3. Aggiornamenti sistematici (patch management)

Il 60% degli attacchi sfrutta vulnerabilità note per cui esiste già una patch. Un sistema di patch management automatizzato – tipicamente offerto dalle piattaforme RMM – applica gli aggiornamenti critici entro 48 ore dalla release, riducendo drasticamente la superficie d'attacco.

4. Segmentazione della rete

Separare la rete in VLAN o zone isolate impedisce al ransomware di propagarsi orizzontalmente. Se un PC della contabilità viene infettato, non deve poter raggiungere il server di produzione o i backup.

5. Autenticazione forte (MFA ovunque)

Il metodo di ingresso più comune nel 2026 resta il furto di credenziali via phishing. L'autenticazione a più fattori (MFA) su email, VPN, RDP e servizi cloud è un blocco che ferma la stragrande maggioranza degli attacchi prima che partano.

6. Formazione del personale

Il 90% degli attacchi inizia con una mail. Formare il personale a riconoscere phishing, allegati sospetti e link malevoli è l'investimento con il miglior rapporto costo/efficacia. Simulazioni periodiche di phishing aiutano a mantenere alta l'attenzione.

7. Piano di risposta agli incidenti

Avere un piano scritto prima dell'attacco fa la differenza tra ripartire in 6 ore o in 6 settimane. Il piano deve contenere: chi chiamare, quali sistemi isolare per primi, dove sono i backup, come comunicare con clienti e autorità, chi prende le decisioni.

Cosa fare se vieni colpito

  1. Isola immediatamente i dispositivi infetti dalla rete (cavo staccato, Wi-Fi disattivato).
  2. Non spegnere i sistemi: la memoria RAM contiene informazioni forensi utili.
  3. Non pagare il riscatto: nella metà dei casi i criminali non restituiscono i dati, e in Italia pagare può configurare reati di finanziamento ad attività illecite.
  4. Contatta specialisti di risposta agli incidenti prima di toccare i sistemi.
  5. Notifica al Garante entro 72 ore se ci sono dati personali coinvolti (obbligo GDPR).

In sintesi

La protezione dal ransomware non è un singolo prodotto, ma un processo fatto di prevenzione tecnica, formazione e preparazione. Nessuna di queste misure da sola basta; insieme riducono il rischio dal 90% a meno dell'1%.

Se vuoi una valutazione dello stato di sicurezza della tua infrastruttura, il nostro team può effettuare un assessment gratuito. Contattaci per fissare un appuntamento.