Il ransomware non è più soltanto un’emergenza tecnica: è un fenomeno che condiziona la vita quotidiana delle imprese e la stabilità dei mercati.
Ogni nuovo report mostra come l’impatto economico e organizzativo vada ben oltre la sfera IT, colpendo produzione, servizi essenziali e intere filiere di approvvigionamento, mentre i numeri ci narrano una dimensione del rischio che non si arresta con una distribuzione geografica che fanno dell’Italia un’osservata speciale nello scenario internazionale.
Il costo medio e la dinamica dei pagamenti
Il ransomware continua a rappresentare anche una delle minacce più onerose per le organizzazioni a livello globale e non solo a causa del riscatto. Secondo il sondaggio State of Ransomware 2025 eseguito da Sophos (su oltre 3.400 professionisti dell’IT e della cybersecurity di aziende da 100 a 5.000 dipendenti), il costo medio complessivo di recupero da un attacco, che include consulenze specialistiche, downtime operativo, attività di comunicazione e ripristino dei sistemi, ha raggiunto 1,53 milioni di dollari. Questo dato è particolarmente significativo se si considera che molti attacchi non colpiscono solo l’infrastruttura IT, ma si traducono in una paralisi completa della catena operativa, con impatti diretti sulla capacità di produzione, sulla logistica e sulla relazione con i clienti.
L’aspetto più delicato resta quello del pagamento del riscatto. Sempre Sophos rileva che oltre la metà delle organizzazioni paga una somma inferiore a quella inizialmente richiesta, segno che le dinamiche negoziali restano una componente fondamentale dell’intero processo. Più sorprendente è il dato relativo al 18% delle vittime, che ha finito per pagare un importo superiore a quello preteso dai criminali. Questo fenomeno, apparentemente paradossale, è in realtà il riflesso di trattative mal gestite, dove la pressione psicologica, la paura di ulteriori danni reputazionali o legali e la mancanza di un supporto professionale nelle negoziazioni spingono le aziende a cedere oltre misura.
A confermare la pervasività del fenomeno è anche Unit 42 di Palo Alto Networks, che nel suo ultimo report Extortion and Ransomware Trends 2025 ha evidenziato come l’86% degli incidenti ransomware registrati nel 2025 abbia comportato interruzioni significative delle attività, con conseguenze tangibili sul fatturato e sulla continuità del business. Non si tratta quindi di una minaccia confinata alla sfera IT, ma di un rischio che incide direttamente sulla capacità operativa delle imprese.
I gruppi più attivi e l’evoluzione delle campagne
Il panorama criminale è in continua evoluzione e caratterizzato da oscillazioni significative. Il primo trimestre del 2025 ha visto un’impennata delle attività del gruppo Cl0p, passato da 93 vittime documentate nel 2024 a oltre 350 nel giro di pochi mesi, secondo un’analisi condotta da Optiv. Parallelamente, altri gruppi come Akira e RansomHub hanno aumentato la loro visibilità, confermando la vitalità di un ecosistema che non conosce crisi.
Una ricerca di Rapid7 ha rilevato che nel secondo trimestre del 2025 erano attivi 65 gruppi ransomware, con una contrazione del 14,5% rispetto al trimestre precedente ma un aumento del 41% rispetto alla prima metà del 2024. Questo dato mette in evidenza la natura ciclica del fenomeno, con fasi di consolidamento e di espansione che seguono dinamiche quasi industriali, più vicine a quelle di un mercato illegale organizzato che a quelle di un insieme di azioni criminali isolate.
Check Point nel suo report The State of Ransomware – Q2 2025 ha inoltre osservato, nel secondo trimestre del 2025, una leggera riduzione nel numero di vittime pubblicate sui cosiddetti “data leak sites”, una tendenza che potrebbe riflettere l’impatto delle operazioni di contrasto da parte delle forze dell’ordine. Tuttavia, la stessa ricerca sottolinea che i gruppi più strutturati hanno ormai diversificato le strategie di estorsione, includendo minacce di attacchi DDoS o di segnalazioni forzate alle autorità regolatorie in caso di mancato pagamento.
Le porte aperte nel Cloud
Il cloud è un altro tema che entra nello scenario dei rinnovati vettori per gli attacchi, inclusi quelli di ransomware.
Tra gli aspetti oggi al centro dell’attenzione dei responsabili della sicurezza vi è quello delle configurazioni errate del cloud. Nonostante oggi siano disponibili molteplici innovazioni e soluzioni di Cloud security posture management (CSPM), la sfida rimane alta e le violazioni continuano a verificarsi a causa di semplici errori di configurazione. Per esempio, un problema frequente è quello del public storage cloud non crittografato.
Il Cloud Security Risk Report pubblicato di recente da SentinelOne descrive i cinque rischi emergenti nel 2025 con esempi di attacchi che sfruttano il furto di credenziali cloud, il movimento laterale, l’archiviazione cloud, gli attacchi alla supply chain e i servizi di AI in cloud. Tra gli esempi forniti dal Risk Report di SentinelOne figura una violazione del dicembre 2024, quando il bucket S3 di una filiale Volkswagen configurato in modo errato ha reso vulnerabili dati sensibili di oltre 800mila.
Il tema della compromissione delle credenziali, già citato, acquista una connotazione specifica parlando di cloud. Alcune indicazioni interessanti si possono trovare nel Cloud Security Survey Report sempre di SentinelOne, che raccoglie i dati di 400 responsabili e professionisti della sicurezza IT che gestiscono le operazioni di sicurezza del cloud, le responsabilità, le percezioni delle tecnologie e i futuri piani di investimento. In relazione al tema delle credenziali compromesse è interessante osservare come Il survey di SentinelOne abbia rilevato che tra le funzionalità di sicurezza del cloud di base, la cosiddetta “scansione segreta delle credenziali” ovvero la verifica se le informazioni personali sono state esposte su siti o database accessibili dal dark Web si colloca all’ultimo posto nell’elenco delle cinque funzionalità di sicurezza cloud più importanti.
La distribuzione geografica e i settori più colpiti
Geograficamente, gli Stati Uniti restano il bersaglio principale, con oltre 2.600 vittime di ransomware dichiarate solo nel 2024, secondo dati raccolti dal Department of Homeland Security e riportati da Fortinet nel 2025 Global Threat Landscape Report. Il numero elevato riflette da un lato la maggiore esposizione delle aziende americane, dall’altro una trasparenza normativa più stringente, che rende pubblici episodi che in altri contesti rimarrebbero sottotraccia.
A livello settoriale, i servizi pubblici e privati guidano le statistiche, seguiti dal manifatturiero, dalla sanità e dal comparto tecnologico. Sono settori che combinano un alto valore dei dati trattati con un livello di esposizione tecnologica spesso eterogeneo, in cui convivono sistemi moderni e infrastrutture legacy difficili da aggiornare. L’elemento trasversale è la scarsa tolleranza al downtime: quando la continuità operativa è vitale, la pressione a pagare il riscatto diventa più intensa.
L’Italia tra vulnerabilità e trasparenza
Nel contesto europeo, l’Italia si colloca stabilmente tra i paesi più colpiti. Il Cyber Security Report 2025 del Gruppo TIM segnala che il 58% degli attacchi ransomware nel nostro Paese ha interessato il settore dei servizi, mentre il 26% ha coinvolto il manifatturiero.
A questi dati si aggiungono le rilevazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN Operational Summary) che, ad aprile 2025, ha registrato un incremento del 30% degli attacchi rispetto al mese precedente, con una particolare concentrazione su telecomunicazioni, trasporti e pubblica amministrazione.
Questi numeri non devono però essere interpretati solo come segnale di fragilità. L’Italia, rispetto ad altri paesi, ha avviato un percorso di maggiore trasparenza nella rilevazione e nella comunicazione degli incidenti, spinta anche dall’entrata in vigore della direttiva NIS2 e dai requisiti più stringenti in materia di notifica delle violazioni. È possibile, quindi, che il nostro Paese emerga più frequentemente nelle statistiche non solo per la frequenza degli attacchi, ma anche per un quadro normativo che rende più visibile un fenomeno che altrove rimane nascosto.
La lettura complessiva dello scenario mostra un’Italia sotto pressione, ma anche in fase di maggiore maturità nella gestione del rischio. Una posizione che, se consolidata, può trasformarsi in un vantaggio competitivo, perché la resilienza e la capacità di risposta alle minacce cyber stanno diventando criteri sempre più rilevanti nella valutazione complessiva di un’impresa e del suo ecosistema.