Gli attacchi ransomware continuano a colpire con particolare intensità anche le aziende italiane, sfruttando finestre temporali di minore attenzione come weekend, festività e momenti di cambiamento organizzativo. Secondo il 2025 Holiday Ransomware Risk Report di Semperis, quasi un’azienda italiana su due (49%) ha subito un attacco ransomware durante un fine settimana o un giorno festivo, mentre il 38% è stato colpito subito dopo eventi aziendali rilevanti come fusioni, acquisizioni o riorganizzazioni interne.
Il dato è particolarmente critico se si osserva la struttura delle difese: solo l’87% delle organizzazioni italiane dispone di un Security Operation Center (SOC), la percentuale più bassa tra i Paesi analizzati nello studio. Tra chi possiede un SOC, il 57% riduce il personale di almeno il 50% nei giorni festivi e nei fine settimana, mentre il 3% rimane completamente scoperto in quei periodi. Questo scenario crea un terreno favorevole per i gruppi ransomware, che pianificano le intrusioni proprio quando la capacità di risposta è più debole.
A peggiorare il quadro c’è il ritardo sulle strategie di Identity Threat Detection and Response (ITDR): il 21% delle organizzazioni italiane dichiara di non avere alcuna strategia in questo ambito e solo il 79% esegue scansioni regolari alla ricerca di vulnerabilità legate alle identità digitali. Il risultato è un ecosistema esposto, dove la compromissione di una singola credenziale può diventare rapidamente un incidente critico per l’intera infrastruttura.
La resilienza dell’identità diventa una priorità per le imprese italiane
Se il ransomware è la minaccia più visibile, l’identità rappresenta sempre più spesso il punto di ingresso preferito dagli attaccanti. Il RZL Identity Report di Rubrik Zero Labs evidenzia come l’88% dei responsabili IT e sicurezza in Italia consideri gli attacchi basati sull’identità la principale preoccupazione, in linea con la media EMEA.
Il contesto italiano mostra alcune specificità che rendono il tema ancora più urgente:
-
Il 94% delle organizzazioni ha già integrato, totalmente o in parte, agenti di intelligenza artificiale nella propria infrastruttura di identità, superando la media EMEA (89%)
-
Il 34% dei decisori IT italiani ritiene che oltre il 70% degli attacchi futuri sarà guidato da AI agentica, contro il 27% della media EMEA
-
Il 94% delle aziende prevede nuove assunzioni in ambito identity security nei prossimi 12 mesi, segnale di un mercato in forte trasformazione
La crescita degli agenti AI e delle identità non umane (NHI) sta moltiplicando la superficie di attacco. Le ricerche citate nel report Rubrik mostrano come le identità non umane abbiano già superato quelle umane con un rapporto di 82 a 1, rendendo più complesso il controllo degli accessi e la governance delle credenziali.
Tempi di ripristino: il vero punto debole
Un elemento spesso sottovalutato riguarda la capacità di recupero dopo un incidente. In Italia, secondo il RZL Identity Report, solo il 26% delle organizzazioni ritiene di poter ripristinare completamente i propri sistemi entro 12 ore da un attacco, in calo rispetto all’anno precedente. Oltre la metà stima che siano necessari almeno due giorni per tornare pienamente operativi.
Tra le aziende italiane che hanno subito un attacco ransomware nell’ultimo anno, il 90% ha pagato un riscatto per recuperare i dati o fermare l’attacco, la percentuale più alta tra i Paesi analizzati. Questo dato mette in luce non solo la pressione operativa, ma anche la mancanza di piani di risposta e ripristino realmente efficaci, soprattutto quando la compromissione riguarda le identità.
Come sta cambiando l’approccio alla sicurezza in Italia
Nel mercato italiano si sta affermando una nuova priorità: la resilienza dell’identità come pilastro della strategia di cybersecurity. Non si tratta solo di prevenzione, ma di capacità concreta di resistere, isolare l’incidente e ripristinare rapidamente le credenziali compromesse.
Il report Rubrik evidenzia che l’88% dei responsabili IT e sicurezza italiani sta valutando o ha già avviato il cambio del fornitore di soluzioni IAM, spinto in larga parte dalla necessità di ridurre i costi e aumentare l’efficacia operativa. Parallelamente, i dati Semperis mostrano che le aziende iniziano a riconoscere l’importanza di rafforzare i piani ITDR non solo in fase di rilevazione, ma anche di risposta e ripristino.
Per le imprese italiane, il percorso è ormai tracciato: maggiore copertura del SOC nei momenti critici, integrazione di processi di identity resilience, protezione delle identità non umane e automazione delle procedure di ripristino. La combinazione di ransomware sempre più mirati e di un ecosistema di identità in espansione rende questa evoluzione non più rinviabile.