L’ultima indagine annuale di Sophos esplora le esperienze concrete con attacchi ransomware subite da 292 operatori del settore sanitario nell’ultimo anno. Il rapporto esamina come cause e conseguenze di questi attacchi siano evolute nel tempo. L’edizione di quest’anno fa, inoltre, luce su ambiti finora poco esplorati, inclusi i fattori organizzativi che hanno lasciato i provider esposti e il costo umano che il ransomware impone ai team IT e di cybersecurity.
Scarica il rapporto per scoprire tutti i risultati →.
Le vulnerabilità sfruttate e le sfide relative alla capacità sono alla base delle principali cause degli attacchi.
Per la prima volta in tre anni, gli operatori sanitari hanno indicato le vulnerabilità sfruttate come la causa tecnica più comune degli attacchi, utilizzata nel 33 % degli incidenti. Questo supera gli attacchi basati sulle credenziali, che erano stati la causa più segnalata nel 2023 e 2024.
Molti fattori organizzativi concorrono a far diventare le strutture vittime di ransomware. Il più comune è la mancanza di risorse umane/e capacità (ossia un numero insufficiente di esperti in cybersecurity che monitorassero i sistemi al momento dell’attacco), citato dal 42 % delle vittime. A poca distanza, le lacune di sicurezza già note erano un fattore contribuente nel 41 % degli attacchi.
Cause organizzative alla base degli attacchi nel settore sanitario
L’encryption dei dati in forte calo ma l’estorsione esplode
Nel settore sanitario, la cifratura dei dati negli attacchi è scesa al suo livello più basso degli ultimi cinque anni: solo un terzo (34 %) degli attacchi ha portato alla cifratura dei dati — il secondo valore più basso registrato nel sondaggio di quest’anno, e meno della metà del 74 % riportato dalle strutture sanitarie nel 2024.
Parallelamente, la proporzione di attacchi “solo estorsione” (in cui i dati non vengono cifrati ma viene comunque richiesto un riscatto) è triplicata, arrivando al 12 % nel 2025, rispetto al solo 4 % nel 2022-23 — il tasso più alto riportato in questo sondaggio. Ciò è probabilmente legato all’elevata sensibilità dei dati medici (cartelle pazienti, ecc.).
Cifratura dei dati nel settore sanitario | 2021-2025
I tassi di pagamento del riscatto diminuiscono, ma la fiducia nei backup vacilla
Nel 2025, solo il 36 % degli operatori sanitari ha effettivamente pagato il riscatto — in diminuzione rispetto al 61 % nel 2022 — collocando il settore tra quelli meno inclini a recuperare i dati in questo modo. Contemporaneamente, l’uso dei backup è sceso al 51 % (rispetto al 72 % precedente). Questi risultati nel loro insieme indicano una resistenza maggiore alle richieste di riscatto, ma possibili debolezze o mancanza di fiducia nella resilienza dei backup.
Recupero dei dati cifrati nel settore sanitario | 2021-2025
Crollano somme richieste, pagamenti e costi di recupero
Le dinamiche economiche del ransomware nel sanitario sono cambiate drasticamente nel 2025. Le richieste di riscatto sono crollate del 91 %, fino a 343.000 USD (rispetto ai 4 milioni nel 2024), e i pagamenti sono scesi da 1,47 milioni a soli 150.000 USD — il valore più basso tra tutti i settori analizzati in questo sondaggio.
Questo declino riflette una netta diminuzione delle richieste multimilionarie, anche se le richieste di medio valore (1-5 milioni USD) e i pagamenti sotto 1 milione sono aumentati.
Allo stesso tempo, il costo medio del recupero (escludendo eventuali riscatti pagati) è sceso al punto più basso degli ultimi tre anni, calando del 60 % in un anno fino a 1,02 milioni USD, contro 2,57 milioni nel 2024. Questi elementi indicano un settore che è sempre più difficile da rapinare per grandi somme e più efficiente nel recupero, anche se gli attacchi di minore entità stanno diventando più frequenti.
Gli attacchi ransomware esercitano notevole pressione sui team IT/cybersecurity
Il sondaggio evidenzia che, quando i dati vengono cifrati in un attacco ransomware, le ricadute per i team IT/cybersecurity nelle strutture sanitarie sono significative, con un aumento della pressione da parte dei vertici citato dal 39 % dei rispondenti
Altri impatti includono (tra gli altri):
- Aumento dell’ansia o stress rispetto a futuri attacchi — citato dal 37 %
- Cambiamento delle priorità o del focus del team — citato dal 37 %
- Senso di colpa per non aver fermato l’attacco — citato dal 32 %
Scarica il rapporto completo per ulteriori approfondimenti sull’impatto umano e finanziario del ransomware sul settore sanitario.
Informazioni sul sondaggio
Il rapporto si basa sui risultati di un sondaggio indipendente e neutrale rispetto ai fornitori, commissionato da Sophos, che ha coinvolto 3.400 dirigenti IT/cybersecurity in 17 paesi delle Americhe, EMEA e Asia Pacifico, tra cui 292 del settore sanitario. Tutti i rispondenti rappresentano organizzazioni con un numero di dipendenti compreso tra 100 e 5.000. Il sondaggio è stato condotto dallo specialista in ricerche Vanson Bourne tra gennaio e marzo 2025, e i partecipanti.
