26 Giugno 2025
Attacchi ransomware 2025, in Italia sempre più aziende pagano i riscatti: le cifre in gioco


Dal report State of Ransomware 2025 di Sophos, giunto alla sesta edizione, emerge che metà delle imprese sotto attacco ransomware abbia versato un riscatto per riappropriarsi dei propri dati. In questi sei anni, è il secondo valore più elevato, nonostante gli esperti sconsiglino vivamente di pagare.

“Per quanto riguarda le cifre effettivamente pagate in Italia lo scorso anno, la mediana è stata il doppio della media“, commenta Claudio Telmon, Senior Partner – Information & Cyber Security presso P4I – Partners4Innovation.

Vuoi bloccare la procedura esecutiva?

richiedi il saldo e stralcio

 

“Il report di Sophos conferma che il ransomware resta una delle minacce più insidiose per le aziende di tutto il mondo, comprese le italiane. Il dato allarmante è rappresentato dalla metà delle aziende che decide di pagare il riscatto, con una mediana pari a 2,06 milioni di dollari”, conferma Paganini.

E “un dato è significativo: nel triennio 2022-2025 il principale vettore degli attacchi con cifratura dei dati resta costantemente lo sfruttamento di vulnerabilità“, mette in guardia Giovanni Del Panta, Responsabile Cybersecurity Architects per Maticmind.

Ecco come mitigare il rischio, sapendo che “il ransomware colpisce soprattutto quando tre fattori convergono: esposizione tecnica evitabile, deficit di competenze operative e decisioni emergenziali prese sotto pressione”.”, secondo Riccardo Michetti, Cyber Threat Intelligence Manager di Maticmind.

State of Ransomware 2025: i valori versati in Italia per i riscatti

La ricerca annuale di Sophos, in cui sono coinvolti responsabili IT e della cyber security appartenenti a 17 Paesi, per analizzare l’effetto degli attacchi ransomware sulle imprese, fotografa l’importo mediano versato.

Sconto crediti fiscali

Finanziamenti e contributi

 

Le aziende versano in media un milione di dollari, sebbene le richieste iniziali dipendono dalle dimensioni e dai fatturati delle aziende. Tuttavia il 53% paga una cifra minore a quella richiesta iniziale, anche attraverso la negoziazione. Infatti il 71% tratta direttamente o mediante terzi, per pagare riscatti inferiori.

“Il concetto di pagare i riscatti potrebbe essere più accettabile per le aziende italiane, che magari in media pagano più spesso e quindi probabilmente anche di più. Dipende anche da ‘quanto’ è illegale pagare nei diversi Paesi, se altrove il divieto è più rigido e più verificato, magari sono meno portati a pagare”, sottolinea Telmon: “Può essere un luogo comune, ma in altri Paesi forse l’illegalità è meno tollerata“.

Dal 2024 al 2025 la mediana delle cifre richieste all’inizio è calata di un terzo. Inoltre si è ridotta del 50% la mediana dei riscatti pagati, perché le imprese stanno minimizzando l’effetto di un attacco ransomware (grazie a backup cifrati e ad altre misure per mitigare impatto).

Gli enti della PA locale e centrale versano mediamente le cifre più alte (2,5 milioni di dollari), mentre la sanità paga i riscatti più bassi (150.000 dollari).

Le richieste iniziali per le imprese con fatturati sopra il miliardo di dollari sono state di oltre cinque milioni di dollari (cifra mediana). Ma mediamente la richiesta è stata inferiore a 350.000 dollari per le imprese con un giro d’affari inferiore ai 250 milioni di dollari.

Il panorama italiano

Lo scorso anno, il valore mediano in Italia delle richieste di pagamento per i riscatti si è attestato a quota 4,12 milioni di dollari, in aumento rispetto ai 3,19 milioni di dollari del 2024.

“Per quanto riguarda le cifre effettivamente pagate in Italia lo scorso anno, la mediana è stata di 2,06 milioni di dollari contro i 2,20 milioni dell’anno precedente”, spiega Claudio Telmon.

Il 68% delle richieste di riscatto ha superato la soglia del milione di dollari, in calo rispetto al 78% del 2024.

Opportunità uniche acquisto in asta

 ribassi fino al 70%

 

Ma “da noi pagano il doppio della media, probabilmente perché abbiamo un Pil pro capite che è più che doppio rispetto alla media mondiale”, ipotizza Telmon secondo cui “bisognerebbe confrontare con dati di altri Paesi UE per ragionarci”.

Le aziende italiane pagano in genere il 97% dell’importo richiesto per il riscatto, mentre il dato medio è pari all’85% della cifra. “Anche se in calo la percentuale delle aziende che ha pagato (27% rispetto al 53% dell’anno precedente), la capacità negoziale resta bassa: il 97% dell’importo richiesto viene mediamente versato. Un dato ben superiore alla media globale”, avverte Raul Arisi.

Le aziende pagano perché hanno “scarsa conoscenza della minaccia e delle dinamiche dietro il pagamento di un riscatto“, avverte Paganini: “Spesso è solo l’inizio dei problemi per un’impresa. Un’azienda compromessa, pagando il riscatto, non ha certezza che la minaccia sia stata eradicata e che le falle e gli accessi alla sua struttura non siano sfruttate in successivi attacchi da parte dello stesso attore malevolo o da parte di altri gruppi criminali che potrebbero individuare le medesime o rifornirsi dallo stesso Access Broker”.

Capacità negoziale: non un merito delle aziende, ma scorciatoia dei criminali

Il 62% ha pagato un importo inferiore (media globale: 53%); il 14% ha pagato la cifra esatta (media globale: 29%), mentre il 24% ha versato una cifra superiore dell’importo (a livello globale, in media il 18%).

“Sembrerebbe infatti crescere la capacità di negoziare i riscatti e i tempi di ripristino si riducono. Ritengo tuttavia tale aspetto non un merito delle aziende vittime, bensì una capacità acquisita dei principali gruppi criminali nel riuscire a gestire al meglio le negoziazioni che evidentemente spesso portano al successo. Lo scenario a parer mio è tutt’altro che roseo“, avverte Paganini.

“La realtà italiana infatti è in trasformazione: meno aziende pagano il riscatto rispetto al passato, più organizzazioni riescono a recuperare i propri dati. Ma, se da un lato questi segnali sono positivi, dall’altro emerge con forza un dato allarmante: il principale fattore operativo che apre la porta ai cyber criminali è la carenza di competenze interne“, mette in guardia Raul Arisi, Cybersecurity Marketing Director per Maticmind.

State of ransomware 2025: perché in Italia si pagano i riscatti

Le aziende italiane “sono ancora troppo esposte a causa di carenze strutturali e operative”, spiega Andrea Mariucci, Head of Cyber Defence Center di Maticmind: “Lo sfruttamento delle vulnerabilità e la mancanza di competenze restano le principali cause”.

Aste immobiliari

l’occasione giusta per il tuo investimento.

 

Chi sceglie di pagare il riscatto, potrebbe farlo, secondo Ciro Faella, Sales Specialist per Maticmind, “per diverse ragioni:

  • backup incompleti: alcune aziende potrebbero non avere backup completi dei loro dati, rendendo difficile il ripristino senza pagare il riscatto.
  • preoccupazione per la diffusione dei dati: le aziende potrebbero temere che i dati sottratti vengano diffusi online se non pagano il riscatto, il che potrebbe danneggiare la loro reputazione e causare ulteriori problemi.
  • urgenza di tornare operative: dopo un attacco ransomware, le aziende hanno spesso l’urgenza di tornare operative il prima possibile, e pagare il riscatto può sembrare un’opzione più veloce rispetto al ripristino dei dati dai backup, che può essere un processo lungo e complesso.
  • incertezza sulle mosse dei cybercriminali: le aziende potrebbero non sapere quali azioni abbiano compiuto i cybercriminali ai loro danni, come ad esempio l’aggiunta di backdoor o la copia di password e credenziali sensibili, il che rende difficile garantire la sicurezza dei dati ripristinati senza pagare il riscatto”.

Tuttavia, “pagare il riscatto non garantisce la sicurezza dei dati e non elimina il rischio di futuri attacchi“, aggiunge Faella. Oltre a violare normative vigenti.

Ma “quando la produzione o i servizi critici si fermano, il costo del down-time diventa l’indicatore dominante. Se i piani di business continuity e disaster recovery non sono stati predisposti e testati adeguatamente, la tentazione di soddisfare la richiesta di riscatto appare, sul momento, la soluzione più rapida per limitare le perdite finanziarie e reputazionali”, avverte Michetti.

Le cause del successo degli attacchi ransomware in Italia

Per il 35% dei casi italiani, la causa principale degli attacchi ransomware è stato lo sfruttamento delle vulnerabilità. “L’ingresso tramite vulnerabilità pubbliche non implica assenza di tecnologia difensiva, ma piuttosto una gestione discontinua dei processi di aggiornamento e di segmentazione interna: un singolo sistema non allineato può consentire ad un attaccante di muoversi lateralmente con rapidità, spesso prima che i controlli di sicurezza generino allarmi comprensibili”, ricorda Riccardo Michetti.

Il phishing è l’origine del 23% degli attacchi. La compromissione delle credenziali ha permesso di colpire nel 16% dei casi.

“La non corretta postura di sicurezza delle imprese che decidono di pagare”, evidentemente perché”, spiega Paganini, dimostra che “non in grado di rispondere in maniera opportuna all’incidente. Mancano piani efficienti di incident response e disaster recovery, sebbene le autorità ed il quadro normativo in essere spesso lo impongano”.

La tua casa è in procedura esecutiva?

sospendi la procedura con la legge sul sovraindebitamento

 

Il 45% degli italiani interpellati adduce come causa la lacuna di competenze. “Molte organizzazioni hanno investito in prodotti di detection avanzata, ma dispongono di team ridotti o ricorrono a servizi esterni privi di adeguati accordi con l’IT interno. Ne deriva una sovrabbondanza di segnali non interpretati e, di conseguenza, una finestra temporale ampia tra la compromissione iniziale e la sua effettiva detection”, avverte Michetti.

Il 37% degli intervistati ha invece denunciato una carenza nota di sicurezza.

Nel 36% dei casi, gli attacchi ransomware hanno avuto successo colpendo una vulnerabilità delle difese non precedentemente individuata.

“Phishing ed uso di credenziali compromesse restano minacce concrete, ma lo sfruttamento delle vulnerabilità è ormai la prima causa tecnica d’ingresso per gli attaccanti. Questo dato dovrebbe far riflettere tutte le imprese italiane sull’importanza di rafforzare i processi di patching, vulnerability management e segmentazione della rete“, avverte Raul Arisi.

Conseguenze degli attacchi ransomware

Il 55% degli attacchi in Italia ha provocato la cifratura dei dati, sopra la media globale del 50%, ma in calo rispetto all’85% dello scorso anno.

“La capacità degli attaccanti di cifrare i dati è significativamente superiore rispetto alla loro effettiva capacità di esfiltrarli”, osserva Giovanni Del Panta, Responsabile Cybersecurity Architects per Maticmind.

Nell’11% dei casi i dati sono stati prima crittografati e poi esfiltrati, meno di un quarto rispetto al 45% del furto dei dati del 2024.

Prestito personale

Delibera veloce

 

Inoltre, il 99% delle imprese italiane sotto attacco ransomware è riuscito a re-impossessarsi dei dati cifrati, sopra la media globale.

Il 27% delle imprese italiane ha pagato il riscatto, tornando in possesso dei propri dati, in discesa rispetto al 53% del 2024.

Infine, il backup ha salvato il 58% delle aziende italiane per il recupero dei dati cifrati, in calo rispetto al 72% dell’anno prima.

“La percentuale di successo nel ripristino dei dati da parte delle vittime risulta molto elevata, con un ricorso relativamente contenuto al pagamento di riscatti, grazie soprattutto all’utilizzo dei backup”, osserva Giovanni Del Panta: “Questi elementi testimoniano progressi concreti nelle capacità difensive post attacco. Tuttavia, per guidare efficacemente le strategie di contrasto, è fondamentale concentrarsi sulle cause primarie (root cause) piuttosto che limitarsi agli interventi di remediation“.

Infatti “è necessario un salto di qualità su prevenzione, formazione e gestione delle vulnerabilità, anche tramite strutture di servizi dedicati che consentano di abbattere i costi e garantire continuità e affidabilità nel tempo”.”, evidenzia Andrea Mariucci.

State of Ransomware: l’impatto sul business in Italia e nel mondo

Le spese per interruzione operativa, tempo sprecato delle persone, perdita di opportunità di business, costo dei dispositivi, costi di rete ammontano a 3,55 milioni di dollari, in flessione rispetto ai 5,38 milioni dell’anno precedente.

Il 46% delle aziende italiane (il doppio rispetto al 23% del 2024) è riuscita a ripristinare pienamente le attività entro una settimana. Per il 26%, invece, è servito da uno a sei mesi di tempo, in calo rispetto al 50% dell’anno precedente.

Finanziamo agevolati

Contributi per le imprese

 

Come mitigare il rischio

Per il terzo anno consecutivo, lo State of Ransomware 2025 di Sophos indica la la presenza di vulnerabilità sfruttabili dagli aggresori come causa primaria degli attacchi. Dunque mantenere aggiornati sistemi operativi, software e apps permette di ridurre significativamente il rischio di attacchi ransomware.

Il 40% dei casi di aziende colpite dal ransomware è da attribuire a carenze di sicurezza di cui non avevano consapevoezza. Altra misura per mitigare il rischio è essere consapevoli del perimetro di attacco della propria azienda.

“La causa principale resta lo sfruttamento di vulnerabilità, ma pesano anche la carenza di competenze e la scarsa visibilità delle superfici d’attacco”, mette in guardia Paganini.

Il 63% delle aziende interpellate punta il dito contro la mancanza di risorse adeguate. In particolare la lacuna di competenze (lo skill shortage) costituisce la causa principale nelle realtà con più di 3.000 dipendenti e l’assenza di personale/capacità la causa operativa in aziende da 251-500 dipendenti.

Invece, occorre mettere in sicurezza gli endpoint, avvalersi di un collaudato piano di risposta agli incidenti, avere le risorse per il monitoraggio e rilevamento attive 24 ore su 24.

Ecco le regole per mitigare il rischio ransomare. Secondo Ciro Faella, “occorre:

  • installare e tenere aggiornate le soluzioni di cyber security;
  • monitorare proattivamente le minacce;
  • rafforzare la sicurezza dell’ambiente IT;
  • prepararsi al peggio con un piano di recovery;
  • fare backup e pratica di ripristino regolare”.

Il 44% delle imprese è stata in grado di fermare gli attacchi ransomware prima della cifratura dei dati (il dato migliore nell’indagine di Sophos). Appena il 54% delle imprese ha utilizzato i backup per il ripristino dei dati (il dato più basso nell’indagine di Sophos).

Mutuo 100% per acquisto in asta

assistenza e consulenza per acquisto immobili in asta

 

La mediana delle spese per il ripristino delle attività ha registrato una flessione, passando dai 2,73 milioni di dollari del 2024 all’importo di 1,53 milioni del 2025.

Le 3 direttrici chiave per agire contro lo sfruttamento delle vulnerabilità

“Lo sfruttamento delle vulnerabilità rappresenta un rischio che troppo spesso si delega unicamente all’efficacia degli strumenti di protezione”, sottolinea Giovanni Del Panta: “Poiché però gli elementi di vulnerabilità sono, per natura, endemici e persistenti, diventa cruciale agire su tre direttrici chiave:

  • adozione di piattaforme di analisi Zero Time e comportamentale: Le piattaforme basate sull’analisi comportamentale non si affidano a firme statiche di minacce note, ma monitorano costantemente il comportamento di utenti, applicazioni e processi per individuare anomalie. Grazie a tecnologie di machine learning, euristiche e intelligenza artificiale, sono in grado di rilevare minacce nuove o varianti sconosciute (zero-day), spesso prima ancora che il malware venga formalmente classificato, intercettando attività sospette come movimenti laterali o tentativi di esfiltrazione;
  • serializzazione dei livelli di protezione: consente di creare una catena di controlli eterogenei che si integrano e compensano tra loro. Ogni livello — dalla rete, agli endpoint, al controllo accessi fino al rilevamento delle anomalie — contribuisce a mitigare le vulnerabilità specifiche di ciascuna piattaforma. La sovrapposizione strutturata di differenti tecnologie riduce la superficie d’attacco e aumenta significativamente la resilienza complessiva;
  • governo centralizzato dei sistemi di sicurezza: l’efficacia della cyber security dipende sempre più dalla presenza di servizi di governo centralizzati, apaci di garantire: monitoraggio proattivo continuo, gestione rapida e sistematica delle patch e analisi costante dei comportamenti anomali. Questi servizi permettono di anticipare gli attacchi, minimizzare le finestre di vulnerabilità e rafforzare la risposta agli incidenti, trasformando la sicurezza da reattiva a proattiva e adattiva”.

Le attività di remediation sono un a disciplina quotidiana: “Aggiornamenti puntuali, backup inattaccabili, monitoraggio integrato e processi di Crisis Management già collaudati. Quando queste quattro dimensioni lavorano in modo coordinato, la convenienza economica del ransomware si riduce a tal punto da far perdere agli aggressori gran parte del loro potere di ricatto”, precisa Riccardo Michetti.

Le 4 dimensioni delle attività di remediation

Diventa vitale trasformare le attività di remediation in routine amministrativa. “La prima leva è il ciclo di patch management e hardening: deve funzionare con la stessa puntualità con cui si pianifica la manutenzione di un impianto produttivo. Eventuali patch non implementate al momento della release devono avere una scadenza precisa e un responsabile che ne renda conto; altrimenti, quell’intervallo tra il rilascio e l’implementazione della patch diventa cronico e finisce per offrire un varco stabile agli aggressori”, sottolinea Michetti.

“La seconda linea di difesa è costituita dai backup, che vanno resi effettivamente sicuri da attacchi. Non è sufficiente possedere copie di backup se restano costantemente raggiungibili dalla rete operativa. Una replica immutabile, fisicamente o logicamente isolata, periodicamente provata con un ripristino completo in ambiente di test, muta radicalmente l’equilibrio psicologico: un management che ha già verificato tempi e modalità del restore è molto meno incline a cedere al ricatto”, continua Michetti.

“A monte di tutto serve un sistema di monitoraggio che raccolga le telemetrie di endpoint, server, rete e infrastrutture cloud in un’unica piattaforma, presidiata da analisti in grado di isolare un host o segmentare la rete nel giro di minuti. Se il Security Operations Center è affidato a un provider esterno, occorre comunque mantenere in casa un nucleo di competenze che conosca processi e asset aziendali, altrimenti gli allarmi restano segnali non contestualizzati”.

Infine, “la velocità e la lucidità della risposta dipendono da decisioni studiate e concordate, prima che l’incidente si verifichi. Simulazioni regolari con top management, legali e ufficio comunicazione consentono di definire in anticipo la soglia oltre la quale non si tratta, gli step di escalation, i canali ufficiali con cui informare stakeholder e autorità. Così, quando la schermata di riscatto appare, l’organizzazione non improvvisa: segue un copione già sperimentato, riducendo l’efficacia della pressione esercitata dagli estorsori”, conclude Michetti.

Il quadro normativo contro i pagamenti dei riscatti

“In un ambiente normativo sempre più attento alla resilienza digitale – come la Direttiva Nis 2 e al Cyber Resilience Act – la prassi che emerge dal report state of ransomware di Sophos mette in discussione la maturità cyber di molte organizzazioni”, spiega Massimo Biagiotti, Cybersecurity Competence Center Manager di Maticmind: “Pagare il riscatto non solo incoraggia le attività criminali, ma può anche comportare implicazioni legali complesse, specialmente quando si rischia di finanziare soggetti sanzionati o operanti fuori dalla legalità internazionale. Inoltre, la perdita di dati personali o la violazione di sistemi critici espone le aziende a sanzioni e a gravi ripercussioni reputazionali. Questo dato dimostra che c’è ancora molto lavoro da fare sul piano della cyber readiness: piani di continuità e disaster recovery insufficienti, assenza di simulazioni di attacco (per esempio, tabletop exercise), scarsa segmentazione delle reti e un’educazione del personale non all’altezza della minaccia”.

“Dunque, è essenziale rafforzare le difese proattive, investire in formazione, assessment, threat intelligence e condividere informazioni tra stakeholder pubblici e privati. Solo attraverso un approccio sistemico e coordinato – conforme alle strategie europee di cybersicurezza – possiamo uscire dalla logica del ‘pagare o morire’ e costruire un ecosistema digitale davvero resiliente”, conclude Biagiotti.

Cosa succede alle aziende dopo un attacco ransomware

In particolare, le aziende che hanno subito la cifratura dei dati, ha preso iniziative dopo gli attacchi ransomware:

  • nel 39% dei casi, l’azienda ha cambiato team o struttura organizzativa;
  • il 36% ha aumentato i workload su base continuativa;
  • il 35% ha denunciato più ansia o stress verso il rischio di attacchi futuri;
  • nel 35% dei casi, si è sentito in colpa per aver fallito nel bloccare l’attacco.
  • Il 32% ha subito un effetto sui dipendenti: assenze nello staff a causa di stress o malessere psicologico.



Source link

***** l’articolo pubblicato è ritenuto affidabile e di qualità*****

Visita il sito e gli articoli pubblicati cliccando sul seguente link

Source link

Tags:

Related News

Tribunale di Torino – Liq. Giudiziale ex art. 216 CCII n° 308/2024- Lotto 03

Tribunale di Torino – Liq. Giudiziale ex art. 216 CCII n° 308/2024- Lotto 03

26 Giugno 2025
Appartamento All’asta In Via Cavallotti, 16, 61030 Isola Del Piano Pu, Italia Isola Del Piano, Pesaro E Urbino

Appartamento All’asta In Via Cavallotti, 16, 61030 Isola Del Piano Pu, Italia Isola Del Piano, Pesaro E Urbino

26 Giugno 2025

You may have missed

Tribunale di Torino – Liq. Giudiziale ex art. 216 CCII n° 308/2024- Lotto 03

Tribunale di Torino – Liq. Giudiziale ex art. 216 CCII n° 308/2024- Lotto 03

26 Giugno 2025
Appartamento All’asta In Via Cavallotti, 16, 61030 Isola Del Piano Pu, Italia Isola Del Piano, Pesaro E Urbino

Appartamento All’asta In Via Cavallotti, 16, 61030 Isola Del Piano Pu, Italia Isola Del Piano, Pesaro E Urbino

26 Giugno 2025
Diamante naturale 0,14 ct I1 AIG MILANO – Asta online / Offerte online – Prezzo

Diamante naturale 0,14 ct I1 AIG MILANO – Asta online / Offerte online – Prezzo

26 Giugno 2025
PAVIA E LODI | LOTTO 4: LIBRO SANDRO CHIA “GENESI” TIRATURA LIMITATA

PAVIA E LODI | LOTTO 4: LIBRO SANDRO CHIA “GENESI” TIRATURA LIMITATA

26 Giugno 2025
Abitazione di tipo economico GENOVA 80.000 – 150.000 euro

Abitazione di tipo economico GENOVA 80.000 – 150.000 euro

26 Giugno 2025
Ufficio All’asta In Vle On Francesco Napolitano, 10, 80035 Nola Na, Italia Nola, Napoli

Ufficio All’asta In Vle On Francesco Napolitano, 10, 80035 Nola Na, Italia Nola, Napoli

26 Giugno 2025

Trasforma il tuo sogno in realtà

partecipa alle aste immobiliari.