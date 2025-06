Siamo lieti di presentare la sesta edizione del report State of Ransomware, la ricerca annuale che coinvolge responsabili IT e della cybersicurezza di 17 Paesi per studiare l’impatto degli attacchi ransomware sulle aziende.

L’’edizione di quest’anno ha rilevato come quasi il 50% delle aziende colpite abbia accettato di versare un riscatto per tornare in possesso dei propri dati: si tratta del secondo valore più alto registrato in questi sei anni.

Nonostante l’alta percentuale di aziende che hanno pagato il riscatto, più della metà di esse – il 53% – ha versato meno di quanto originariamente richiesto. Nel 71% di questi casi la riduzione è frutto di una negoziazione effettuata direttamente o tramite l’assistenza di terzi. Se dal 2024 al 2025 la mediana delle cifre richieste inizialmente è scesa di un terzo, la mediana dei riscatti versati si è dimezzata, a dimostrazione della crescente abilità delle aziende nel minimizzare l’impatto del ransomware.

Complessivamente, comunque, il valore mediano dei riscatti versati è stato pari a un milione di dollari nonostante le richieste iniziali variassero significativamente a seconda delle dimensioni e dei fatturati delle aziende colpite. La mediana delle richieste originali per le realtà con fatturati superiori al miliardo di dollari è stata di oltre cinque milioni di dollari; cifra che è stata invece mediamente meno di 350.000 dollari per le organizzazioni aventi un giro d’affari inferiore ai 250 milioni di dollari.

Per il terzo anno consecutivo la causa tecnica primaria degli attacchi riguarda la presenza di vulnerabilità sfruttabili dai malintenzionati, mentre nel 40% dei casi le aziende sono state colpite dal ransomware a causa di lacune di sicurezza di cui non erano consapevoli – evidenziando le difficoltà sperimentate per ottenere visibilità e protezione sulle proprie superfici di attacco. Per il 63% delle aziende interpellate, tra i fattori che hanno permesso l’attacco c’è stata la carenza di risorse adeguate, con la mancanza di competenze a rappresentare la principale causa operativa nelle realtà da oltre 3.000 dipendenti e la mancanza di personale/capacità in quelle da 251-500 dipendenti.

I dati italiani

Perché le aziende italiane vengono colpite dal ransomware

Lo sfruttamento delle vulnerabilità è stata la più comune causa tecnica principale degli attacchi che hanno colpito le aziende del nostro Paese (il 35% dei casi). Segue il phishing, punto di partenza del 23% degli attacchi. Le credenziali compromesse sono state sfruttate per colpire nel 16% degli attacchi.

La causa operativa principale invece è stata la carenza di competenze, come indicato dal 45% degli intervistati italiani; il 37% degli interpellati ha invece segnalato una lacuna di sicurezza conosciuta. Nel 36% dei casi, il successo degli attacchi ransomware ha fatto leva su un punto debole delle difese che non era stato precedentemente identificato.

Cosa accade ai dati

Il 55% degli attacchi ha causato la cifratura dei dati, un valore superiore alla media globale del 50% ma in discesa rispetto all’85% registrato in Italia nel 2024.

Solamente nell’11% dei casi in cui i dati sono stati crittografati si è verificato anche il furto dei dati stessi, meno di un quarto rispetto al 45% dello scorso anno.

Il 99% delle aziende italiane che ha subìto la cifratura dei dati è riuscito a tornarne in possesso, un dato superiore rispetto alla media globale.

Il 27% delle aziende italiane ha versato il riscatto e ottenuto i propri dati, con una flessione significativa rispetto al 53% dell’anno precedente.

Il 58% delle aziende italiane si è avvalso dei backup per recuperare i dati cifrati, anche in questo caso un valore in discesa rispetto al 72% dell’anno prima.

Riscatti – Richieste e pagamenti

La mediana degli importi richiesti per i riscatti lo scorso anno in Italia è stata pari a 4,12 milioni di dollari, con un considerevole incremento rispetto ai 3,19 milioni registrati dall’indagine svolta nel 2024.

Il 68% delle richieste di riscatto è stato superiore al milione di dollari, in flessione rispetto al 78% del 2024.

Per quanto riguarda le cifre effettivamente pagate in Italia lo scorso anno, la mediana è stata di 2,06 milioni di dollari contro i 2,20 milioni dell’anno precedente.

Le aziende italiane versano generalmente il 97% del riscatto richiesto, mentre il dato medio è del’’85% dell’importo richiesto.

Il 62% ha pagato MENO di quanto inizialmente richiesto (media globale: 53%)

Il 14% ha pagato LO STESSO importo di quanto inizialmente richiesto (media globale: 29%)

24% ha pagato PIÙ di quanto inizialmente richiesto (media globale: 18%)

Impatto del ransomware sul business

Escludendo i riscatti versati, la spesa mediamente sostenuta lo scorso anno dalle aziende italiane per tornare alla normalità a seguito di un attacco ransomware è stata pari a 3,55 milioni di dollari, con una riduzione sostanziale rispetto ai 5,38 milioni dell’anno precedente. Questa voce comprende le spese dovute all’interruzione operativa, il tempo delle persone, le opportunità perse, il costo dei dispositivi, i costi di rete ecc.

Le aziende italiane si riprendono sempre più velocemente dagli attacchi ransomware: il 46% di esse ha ripristinato completamente le attività entro una settimana, il doppio rispetto al 23% dell’anno prima. Il 26% ha invece impiegato da uno a sei mesi di tempo, con una notevole flessione rispetto al 50% dell’anno precedente.

Impatto umano del ransomware sui team IT/cybersicurezza

Nelle aziende in cui i dati sono stati crittografati:

il 39% ha apportato cambiamenti al team o alla struttura organizzativa.

Il 36% ha rilevato un incremento dei workload su base continuativa.

Il 35% ha riscontrato crescente ansia o stress nel timore di attacchi futuri.

Il 35% ha ammesso di sentirsi in colpa per non essere stato in grado di fermato l’attacco.

Il 32% ha rilevato un impatto negativo sui dipendenti: assenze da parte dello staff a causa di stress o malessere psicologico.

“Per molte aziende, la probabilità di finire vittime di ransomware è solo uno degli aspetti legati al fare business nel 2025. La maggior parte di esse lo considera un problema endemico e per questo deve mettere in conto di poter essere colpite prima o poi. La buona notizia è che, dal momento che il ransomware si è normalizzato, la maggioranza delle aziende si sta attrezzando con le risorse adatte a limitare i danni. Molte hanno capito di avere bisogno di aiuto e si sono quindi affidate a servizi MDR (Managed Detection and Response). Quelle che sfortunatamente vengono colpite fanno leva sulle polizze delle cyber assicurazioni e assumono professionisti specializzati che non solo possono ridurre gli importi dei riscatti versati, ma anche velocizzare il ritorno alla normalità e persino bloccare gli attacchi in corso. Naturalmente il ransomware può essere sempre ‘curato’ mediante strategie di sicurezza proattive come l’autenticazione multifattore e l’applicazione delle patch, la presenza di solidi team specializzati in sicurezza e, soprattutto, l’attenzione a non dare agli attaccanti ciò che essi desiderano – i soldi”, ha dichiarato Chester Wisniewski, director, field CISO di Sophos.

Ulteriori dati emersi dall’edizione 2025 del report

Sempre più aziende riescono a bloccare gli attacchi in corso: guardando ai dati globali, il 44% delle aziende è riuscito a fermare gli attacchi ransomware prima che questi riuscissero a crittografare i dati, il valore più alto registrato in questi sei anni. Anche i casi di cifratura dei dati sono ai minimi da quando viene effettuato lo studio, avendo riguardato solamente la metà delle aziende colpite.

Come difendersi?

Sophos consiglia le seguenti best practice:

Intraprendere le azioni utili a eliminare le comuni cause tecniche e operative degli attacchi, come per esempio le vulnerabilità. Tool come Sophos Managed Risk possono aiutare le aziende a comprendere il proprio profilo di rischio e minimizzare l’esposizione agli attacchi.

Assicurarsi che tutti gli endpoint (server compresi) siano ben difesi mediante protezione anti-ransomware dedicata.

Disporre di un collaudato piano di risposta agli incidenti da usare in caso di necessità. Mantenere backup affidabili e verificarne regolarmente il ripristino.

Le aziende hanno bisogno di capacità di monitoraggio e rilevamento attive 24 ore su 24. Se non possiedono le risorse necessarie al proprio interno, possono rivolgersi a un provider MDR (Managed Detection and Response) di fiducia.

Modalità di svolgimento dell’indagine

I dati usati per il report State of Ransomware 2025 sono tratti da un sondaggio indipendente dai vendor che ha coinvolto 3.400 responsabili IT e della cybersicurezza a cui sono state poste domande relative alle esperienze avute nei 12 mesi precedenti. Gli intervistati si trovavano in 17 Paesi di Americhe, EMEA e Asia-Pacifico. Le organizzazioni interpellate avevano tra i 100 e i 5.000 dipendenti con un fatturato compreso tra meno di 10 milioni e oltre 5 miliardi di dollari.

[1] 254 AZIENDE ITALIANE COINVOLTE NELL’INDAGINE

Qui il link alla versione integrale di THE STATE OF RANSOMWARE 2025:

https://www.sophos.com/ransomware2025