L’ultimo studio annuale di Sophos esplora le esperienze reali di ransomware vissute da 332 organizzazioni del settore manifatturiero e produttivo colpite nell’ultimo anno. Il report analizza come le cause e le conseguenze di questi attacchi si siano evolute nel tempo.

L’edizione di quest’anno fa, inoltre, luce su aree finora poco esplorate, incluse le dinamiche organizzative che hanno lasciato le aziende esposte e l’impatto umano che il ransomware ha sui team IT e cybersecurity del settore.

Scarica il report per approfondire tutti i risultati.

Vulnerabilità sfruttate e carenze di competenze alimentano gli incidenti ransomware

Le vulnerabilità sfruttate rappresentano la principale causa radice degli attacchi ransomware contro le organizzazioni manifatturiere e produttive, essendo responsabili del 32% degli incidenti. Le email malevole si collocano al secondo posto, con una quota in calo dal 29% del 2024 al 23% del 2025.

Molteplici fattori organizzativi contribuiscono al fatto che le aziende del settore manifatturiero e produttivo diventino vittime del ransomware. Il più comune è la mancanza di competenze (ovvero l’insufficienza di abilità o conoscenze disponibili per rilevare e fermare l’attacco in tempo), citata dal 42,5% delle vittime. Segue molto da vicino la presenza di lacune di sicurezza sconosciute (ovvero punti deboli nelle difese di cui gli intervistati non erano a conoscenza), che hanno contribuito al 41,6% degli attacchi.

Cause organizzative degli attacchi nel manifatturiero e nella produzione

La cifratura dei dati cala nettamente, ma i casi di sola estorsione aumentano

Nel settore, la cifratura dei dati è scesa al livello più basso degli ultimi cinque anni: il 40% degli attacchi ha portato alla cifratura dei dati — il terzo valore più basso registrato nell’indagine di quest’anno e quasi la metà del 74% riportato dalle aziende nel 2024. In linea con questa tendenza, la percentuale di attacchi fermati prima della cifratura ha raggiunto un massimo di cinque anni, indicando che le organizzazioni stanno rafforzando le proprie difese.

Tuttavia, gli avversari si stanno adattando: la quota di aziende colpite da attacchi di sola estorsione (ovvero casi in cui i dati non sono stati cifrati ma è stato comunque richiesto un riscatto) è salita al 10% nel 2025 rispetto al 3% del 2024 — il secondo valore più alto riportato quest’anno. È probabile che ciò sia dovuto all’elevato valore della proprietà intellettuale, alle catene di fornitura complesse e all’impatto operativo dei tempi di inattività negli ambienti industriali.

Cifratura dei dati nel settore manifatturiero e produttivo | 2021–2025

I pagamenti di riscatto persistono, mentre il ricorso ai backup resta stabile

Sebbene la quota di organizzazioni che hanno pagato un riscatto per recuperare i dati sia diminuita nell’ultimo anno, oltre la metà (51%) ha comunque pagato — un valore ancora ben sopra quelli del 2022 (33%) e del 2023 (34%). Nel frattempo, l’uso dei backup rimane stabile al 58% nel 2025, riflettendo una forte fiducia in questo metodo di recupero dati.

Recupero dei dati cifrati nel manifatturiero e nella produzione | 2021–2025

Riscatti richiesti, pagamenti e costi di recupero in calo

L’economia del ransomware in questo segmento è cambiata nel 2025: i riscatti richiesti medi sono diminuiti del 20% raggiungendo 1,2 milioni di dollari (rispetto a 1,5 milioni nel 2024) e i pagamenti sono scesi da 1,2 milioni a 1,0 milione. Il calo è stato principalmente determinato da una diminuzione delle richieste e dei pagamenti di fascia media (1–5 milioni), mentre i casi estremi (oltre 5 milioni) hanno mostrato un leggero aumento.

Allo stesso tempo, il costo medio di recupero (escludendo eventuali riscatti pagati) è diminuito di quasi un quarto (24%) nell’ultimo anno, attestandosi a 1,3 milioni di dollari, contro 1,7 milioni nel 2024 e al di sotto della media globale di 1,5 milioni del report.

Complessivamente, questi risultati indicano che il settore sta diventando più resiliente ed efficiente nella risposta agli incidenti ransomware, ma continua a registrare casi ad alto impatto che influenzano il panorama del rischio.

Il ransomware ha un impatto umano: aumenta lo stress e l’ansia nei team IT/cybersecurity

L’indagine rivela che gli incidenti ransomware hanno profonde ripercussioni sui team IT e cybersecurity del settore. Quasi la metà dei rispondenti (47%) ha riferito un aumento dell’ansia o dello stress riguardo ad attacchi futuri, sottolineando l’impatto psicologico duraturo di tali eventi.

Altre conseguenze comuni includono un cambiamento delle priorità o del focus del team (45%), una maggiore pressione da parte della leadership (44%) e un aumento costante del carico di lavoro (41%). È significativo che la quota di rispondenti che ha riportato questi effetti sia più alta rispetto alla media trasversale degli altri settori, evidenziando lo stress eccezionale cui questi team sono esposti.

Scarica il report completo per maggiori approfondimenti sugli impatti umani ed economici del ransomware nel settore retail.

Cosa sta osservando Sophos nel settore manifatturiero

Oltre ai risultati del report, negli ultimi dodici mesi Sophos X-Ops ha osservato l’attività ransomware sui leak site e ha rilevato che 99 gruppi di minaccia distinti hanno preso di mira organizzazioni manifatturiere. I gruppi più attivi, secondo le osservazioni sui leak site, sono GOLD SAHARA (Akira), GOLD FEATHER (Qilin) e GOLD ENCORE (PLAY).

In linea con le tendenze evidenziate nel report, oltre la metà degli incidenti gestiti dal servizio Sophos Emergency Incident Response ha coinvolto sia il furto sia la cifratura dei dati, confermando l’ascesa delle tattiche di doppia estorsione, in cui i dati sottratti vengono trattenuti e minacciati di pubblicazione su leak site.

Informazioni sull’indagine

Il report si basa sui risultati di un sondaggio indipendente e vendor-agnostic commissionato da Sophos e condotto su 3.400 leader IT/cybersecurity in 17 paesi del continente americano, EMEA e Asia Pacifico, di cui 332 appartenenti al settore manifatturiero e produttivo. Tutti i partecipanti rappresentano organizzazioni con tra 100 e 5.000 dipendenti. L’indagine è stata svolta dallo specialista di ricerca Vanson Bourne tra gennaio e marzo 2025, e i partecipanti hanno risposto sulla base delle esperienze vissute nell’anno precedente.