Ransomware e PMI: Come Prevenire gli Attacchi e Cosa Fare Se Colpiti

Il 43% degli attacchi ransomware nel 2025 ha colpito aziende sotto i 250 dipendenti. La ragione è banale: le PMI hanno valore sufficiente per valere l'attacco ma difese inferiori rispetto alle grandi aziende. Il riscatto medio richiesto a una PMI italiana è di 180.000 euro, ma il costo totale dell'incidente (fermi operativi, perdita clienti, ricostruzione dati, costi legali) arriva mediamente a 3-5 volte tanto. Questa guida spiega come prevenire gli attacchi e, se succede il peggio, come gestire l'incidente nelle prime 24 ore critiche.

Un avvertimento preliminare: pagare il riscatto non è quasi mai la soluzione. Nel 35% dei casi le chiavi di decrittazione fornite dai criminali non funzionano o decifrano solo parzialmente, e nel 80% dei casi i dati vengono comunque pubblicati o rivenduti indipendentemente dal pagamento. Inoltre, pagare segnala ai criminali che siete un bersaglio profittevole, aumentando il rischio di attacchi futuri.

Le 3 vie di accesso principali: email, RDP e supply chain

L'80% dei ransomware entra in azienda attraverso tre vettori. Il primo è il phishing via email: una mail che sembra provenire da un fornitore, un cliente o un'istituzione, con un allegato o un link che scarica il malware. I criminali moderni usano AI per generare email perfettamente credibili, spesso personalizzate sul destinatario con dati raccolti da LinkedIn o dal sito aziendale. La seconda via è il Remote Desktop Protocol (RDP) esposto su Internet: molte PMI lasciano server accessibili in RDP dall'esterno per comodità, con password deboli o senza autenticazione a più fattori. Gli attaccanti scansionano costantemente Internet alla ricerca di queste porte aperte. La terza via è la supply chain: un fornitore compromesso diventa il cavallo di Troia per attaccare i suoi clienti.

La prevenzione efficace combina misure tecniche e formazione. Tecnicamente: autenticazione a più fattori (MFA) obbligatoria su tutti gli accessi (email, VPN, gestionali, cloud), eliminazione di RDP esposti a Internet sostituendolo con VPN o soluzioni zero-trust, endpoint detection response (EDR) moderno su tutti i computer (non il semplice antivirus gratuito), aggiornamenti automatici di sistema operativo e software critici entro 48 ore dalle patch. Sul fronte umano: formazione cybersecurity annuale per tutto il personale, test di phishing simulato trimestrale, procedura scritta per verificare l'autenticità di email sospette prima di cliccare link o aprire allegati.

I segnali di compromissione precoce

La maggior parte dei ransomware non agisce immediatamente. C'è una fase di ricognizione che dura in media 4-7 giorni, durante la quale l'attaccante mappa la rete, identifica server critici, escalation privilegi, esfiltra dati sensibili. Riconoscere questa fase significa bloccare l'attacco prima che i file vengano cifrati. I segnali da monitorare: accessi anomali fuori orario lavorativo, esecuzione di tool di amministrazione come PsExec, Mimikatz o strumenti di exploitation su workstation di utenti normali, disattivazione improvvisa di antivirus o servizi di sicurezza, creazione di nuovi account con privilegi elevati, connessioni outbound verso indirizzi IP sconosciuti.

Questi segnali sono visibili solo se esiste un sistema di monitoraggio attivo. Un EDR moderno (CrowdStrike, SentinelOne, Microsoft Defender for Business) rileva automaticamente queste anomalie e allerta l'amministratore. Per PMI che non possono permettersi soluzioni enterprise, esistono opzioni gestite a costo contenuto: il servizio Managed Detection and Response (MDR) ha costi di 15-30€/postazione/mese ma copre il gap tra tecnologia e competenza umana, offrendo un SOC che monitora 24/7 e reagisce in tempo reale.

Cosa fare nelle prime 24 ore dopo un attacco

Se il ransomware è già stato eseguito, le prime ore sono critiche. La prima azione è isolare i sistemi compromessi dalla rete: scollegare cavi di rete, disabilitare WiFi, spegnere switch se necessario. NON spegnere i computer: si rischia di perdere chiavi di decrittazione che potrebbero essere ancora in RAM. La seconda azione è preservare le evidenze: scattare foto ai messaggi di riscatto, salvare copie dei file cifrati di esempio, documentare orari e eventi. Questi dati serviranno agli investigatori e, se possibile, alla decrittazione.

La terza azione è la notifica. Per aziende soggette a NIS2 o GDPR, la notifica alle autorità è obbligatoria entro 24-72 ore. ACN (Agenzia per la Cybersicurezza Nazionale), Garante Privacy e forze dell'ordine (Polizia Postale) vanno contattate immediatamente. La denuncia formale è anche requisito per eventuale copertura assicurativa. La quarta azione è attivare il piano di ripristino: ripristino da backup testati su infrastruttura pulita (mai sulla stessa dove c'è stato l'incidente), reinstallazione sistemi da zero prima di ricollegare ai dati, verifica completa prima di tornare operativi. Per i casi dove i backup sono compromessi o assenti, il recupero dati professionale da supporti cifrati è l'ultima possibilità: il nostro partner Salvataggio Dati Srl analizza il tipo di ransomware e verifica l'esistenza di decrittatori pubblici prima di proporre interventi di recupero invasivi.

La lezione finale è semplice: nessuna PMI è troppo piccola per essere attaccata. Gli attacchi moderni sono automatizzati e colpiscono chiunque presenti vulnerabilità, indipendentemente dalle dimensioni. Investire 3.000-10.000€ all'anno in prevenzione cybersecurity è economicamente razionale rispetto al rischio di 180.000€ di riscatto e 500.000€ di costi totali di un incidente.