A gennaio 2026 si sono verificati 17 attacchi ransomware rivendicati contro aziende italiane. Quasi uno al giorno.
Immagina di arrivare in ufficio la mattina, accendere il computer e trovare tutti i file cifrati, le cartelle condivise inaccessibili e un messaggio sullo schermo che ti chiede di pagare decine di migliaia di euro in criptovaluta entro 72 ore. Il server non risponde. Il backup? Cifrato anche quello. Il tuo team si guarda intorno senza sapere cosa fare.
Non è uno scenario ipotetico. È quello che ci raccontano i clienti che ci chiamano dopo un attacco, con la voce di chi non ha dormito.
In questa guida non troverai solo la lista delle cose che potrebbero andarti storte. Troverai quello che puoi fare concretamente per proteggere la tua azienda, anche con un budget limitato e senza un reparto IT interno.
I numeri che nessuna PMI dovrebbe ignorare
Partiamo dai dati, perché spesso il problema non è la consapevolezza del rischio in astratto, ma la tendenza a pensare che certe cose capitino ad altri.
L’Italia nel 2026 supera la media mondiale degli attacchi informatici: 2.403 attacchi a settimana contro una media globale di 2.090. Non siamo un paese marginale dal punto di vista dei cybercriminali, siamo un bersaglio privilegiato. Delle vittime ransomware italiane, l’80% sono piccole e medie imprese. Non le grandi aziende con i team di sicurezza e i budget milionari: le PMI, quelle con 5, 10, 20 dipendenti. Quelle come la tua.onoratoinformatica+1
Il riscatto medio richiesto si aggira intorno ai 35.000 dollari. Ma il costo reale di un attacco, contando il fermo operativo, il ripristino dei sistemi, i dati persi e il danno reputazionale, supera spesso i 3,5 milioni di dollari per una PMI. Un numero che in molti casi significa la chiusura dell’attività.
Solo il 15% delle PMI italiane ha un approccio strutturato alla cybersecurity. Le altre il 85%, operano con la speranza che non tocchi a loro.
Quando condividiamo questi numeri con i nostri clienti, la risposta più comune è: “Sì, ma noi siamo piccoli, non abbiamo niente di interessante.” È esattamente quello che pensava anche chi poi ci ha chiamato dopo l’attacco.
Cos’è esattamente un ransomware (senza tecnicismi inutili)
Il ransomware è un software malevolo che si installa silenziosamente sui tuoi sistemi, cifra tutti i file a cui riesce ad accedere e poi ti chiede un riscatto per restituirti la chiave di decifrazione.
La variante moderna è ancora più insidiosa: si chiama double extortion. Prima i criminali copiano i tuoi dati, poi li cifrano. Se non paghi, minacciano di pubblicare online le informazioni riservate: dati dei clienti, contratti, documenti finanziari. Non è più solo un problema di operatività, diventa un problema legale e reputazionale.
Come entra in azienda: i tre vettori principali
Non è magia nera e non richiede attaccanti particolarmente sofisticati. In Italia, secondo i dati Sophos
- 35% dei casi: sfruttamento di vulnerabilità in software non aggiornati
- 23% dei casi: phishing via email (un dipendente clicca su un link o apre un allegato)
- 16% dei casi: credenziali compromesse, password rubate o indovinate con attacchi automatizzati
Tutti e tre sono scenari prevenibili. Non al 100%, niente lo è, ma prevenibili in misura significativa con misure concrete.
Perché la tua PMI è più a rischio di quanto pensi
Le grandi aziende sono bersagli visibili, ma sono anche più difficili da colpire: hanno team di sicurezza dedicati, sistemi di monitoraggio, procedure di risposta agli incidenti.
Le PMI hanno dati preziosi, spesso meno protezioni, e quasi mai le risorse per rispondere a un attacco in modo strutturato. Per un cybercriminale, colpire 50 PMI con un attacco semi-automatizzato è spesso più redditizio che tentare di violare una grande azienda.
Il tessuto produttivo di Torino e provincia, fatto di aziende manifatturiere, studi professionali, piccole società di servizi IT, agenzie, laboratori, è esattamente il tipo di realtà più esposta. Non perché siate bersagli speciali, ma perché siete tanti e spesso non preparati.
Le 6 misure concrete per proteggersi
Niente di utopico. Queste sono misure reali, implementabili anche da una PMI senza un IT manager interno, alcune addirittura a costo zero.
1. Backup 3-2-1: la prima vera difesa
La regola 3-2-1 è semplice: 3 copie dei dati, su 2 supporti diversi, di cui 1 offsite o su cloud.
Ma c’è un dettaglio critico che molti trascurano: il backup deve essere isolato dalla rete. Un backup collegato continuamente ai tuoi sistemi verrà cifrato insieme a tutto il resto durante un attacco. Il backup efficace contro il ransomware è quello che il ransomware non può raggiungere: un NAS con snapshot immutabili, un cloud con versioning attivo, un disco esterno scollegato dopo ogni backup.
E poi, il punto che quasi nessuno fa: testa il ripristino. Un backup non testato non è un backup, è una speranza. Fallo almeno ogni tre mesi.
2. Aggiornamenti software e firmware: la misura più sottovalutata
Il 35% degli attacchi in Italia sfrutta vulnerabilità già note e già patchate dai produttori. Significa che il criminale non ha nemmeno dovuto trovare una falla nuova: ha usato qualcosa di già documentato, pubblicamente disponibile, che semplicemente non era stato corretto sui sistemi della vittima.
La regola pratica: aggiornamenti del sistema operativo ogni settimana, firmware dei dispositivi di rete ogni trimestre, software applicativi a ogni release di sicurezza. Non è un’operazione complessa, ma va pianificata.
3. Autenticazione a due fattori su tutto
Email aziendale, VPN, accessi remoti, pannelli di controllo dei server: qualsiasi accesso che non ha l’autenticazione a due fattori attiva è un accesso che una password rubata è sufficiente a compromettere.
Gli strumenti per farlo esistono, sono gratuiti o quasi (Google Authenticator, Microsoft Authenticator), e si configurano in meno di dieci minuti. Non c’è nessuna giustificazione tecnica o economica per non averli.
4. Segmentazione della rete
Se tutti i tuoi dispositivi sono sulla stessa rete piatta, un ransomware che entra da un PC si propaga liberamente a server, NAS, stampanti, tutto. La segmentazione in VLAN separate per tipologia di dispositivo crea compartimenti stagni: se un dispositivo viene infettato, il contagio si ferma lì.
Abbiamo parlato in dettaglio di come valutare la struttura della tua rete in questo articolo: [link interno “5 segnali che la rete ha bisogno di revisione”].
5. Firewall UTM e filtraggio DNS
Il router che ti ha installato il provider non è un firewall aziendale. Un firewall UTM analizza il traffico in entrata e in uscita, blocca le comunicazioni verso i server di comando e controllo dei ransomware, filtra contenuti pericolosi prima che raggiungano i dispositivi.
Per le PMI con budget limitato, soluzioni open source come pfSense o OPNsense offrono un livello di protezione professionale senza costi di licenza. Per chi preferisce hardware dedicato, le appliance Fortinet e Sophos entry-level sono accessibili anche per realtà piccole. Il filtraggio DNS, implementabile anche con Pi-hole, blocca una parte significativa delle comunicazioni malevole a costo zero.
6. Formazione del personale: l’anello più debole
Il phishing funziona perché è progettato per ingannare persone, non sistemi. Un’email che sembra arrivare dal tuo commercialista, con un allegato che si chiama “fattura_febbraio.pdf.exe”: quanti dipendenti la aprirebbero senza pensarci?
Non serve un corso intensivo da mezza giornata. Bastano sessioni brevi e periodiche, con esempi reali e aggiornati, per alzare sensibilmente il livello di attenzione. Strumenti come GoPhish permettono anche di simulare attacchi di phishing in modo controllato, per vedere come reagisce realmente il tuo team prima che lo faccia un vero criminale.
Cosa fare SE vieni colpito: i primi 30 minuti contano tutto
Questa sezione in pochi articoli la trovate, ma è forse quella più utile in assoluto.
Se ti accorgi di un attacco in corso, la velocità di reazione nei primi trenta minuti determina la differenza tra un danno contenuto e un disastro totale.
Fai subito queste cose, in questo ordine:
- Isola i dispositivi infetti dalla rete: stacca i cavi di rete, disattiva il Wi-Fi. L’obiettivo è fermare la propagazione
- Non spegnere i server se non sei sicuro: alcune varianti di ransomware distruggono i dati allo shutdown
- Non pagare il riscatto senza aver prima valutato le opzioni di ripristino: non c’è garanzia che pagando tu riceva davvero la chiave, e molte aziende vengono colpite una seconda volta
- Chiama il tuo supporto IT immediatamente
- Denuncia alla Polizia Postale: è importante per le indagini e in alcuni casi obbligatorio
- Contatta il tuo consulente GDPR: se sono stati esfiltrati dati personali, hai l’obbligo di notificare il Garante entro 72 ore dall’incidente. Non rispettare questo termine aggiunge una sanzione amministrativa a tutto il resto
Il punto sul GDPR è quello che più spesso viene dimenticato nel panico post-attacco. Tienilo presente.
Un’opportunità concreta per le aziende torinesi
La Camera di Commercio di Torino ha attivato un bando cybersecurity PMI con 5 milioni di euro di budget destinato a finanziare progetti di protezione informatica per le imprese del territorio.
Se stai valutando di investire in sicurezza informatica per la tua azienda, potrebbe essere il momento giusto anche da un punto di vista economico. Contattaci per capire se la tua situazione rientra nei criteri di accesso al bando.
FAQ sul ransomware per le PMI
Se pago il riscatto, riavrò i miei dati?
Non necessariamente. Secondo i dati Sophos, quasi la metà delle aziende colpite da ransomware sceglie di pagare, ma una parte significativa non riceve una chiave funzionante oppure riceve dati parzialmente corrotti. Pagare finanzia inoltre i criminali e segnala che sei disposto a farlo, aumentando il rischio di attacchi futuri.
Quanto costa proteggere una PMI dal ransomware?
Dipende dall’infrastruttura esistente. Le misure di base (2FA, policy di backup, aggiornamenti pianificati, firewall open source) possono essere implementate con costi molto contenuti. Le soluzioni più strutturate (EDR, SOC, monitoraggio attivo) hanno costi maggiori ma proporzionati al rischio. Contattaci per una valutazione gratuita della tua situazione specifica.
Il mio antivirus non basta a proteggermi?
No. L’antivirus tradizionale protegge dai malware già noti, ma i ransomware moderni usano tecniche fileless e living-off-the-land che sfruttano strumenti legittimi del sistema operativo, invisibili agli antivirus classici. La protezione efficace è stratificata: backup, segmentazione, firewall, aggiornamenti e formazione insieme.
Sono obbligato a denunciare un attacco ransomware?
Se l’attacco ha comportato la violazione di dati personali (clienti, dipendenti, fornitori), hai l’obbligo di notificare il Garante della Privacy entro 72 ore ai sensi del GDPR. In alcuni settori (sanità, infrastrutture critiche) ci sono obblighi aggiuntivi. La denuncia alla Polizia Postale non è obbligatoria ma è fortemente consigliata.
Offrite un servizio di protezione ransomware per aziende a Torino?
Sì. Offriamo audit di sicurezza, implementazione di firewall e sistemi di backup anti-ransomware, segmentazione di rete e formazione del personale per PMI a Torino e provincia. Il primo sopralluogo e la valutazione iniziale sono gratuiti.
Conclusione
Il ransomware non è un problema da grandi aziende. È un problema da aziende non preparate, di qualsiasi dimensione. E in Italia, nel 2026, la probabilità che colpisca una PMI non è più una questione di “se”, ma sempre più spesso di “quando”.
La buona notizia è che proteggersi non richiede budget impossibili né un IT manager dedicato. Richiede metodo, pianificazione e qualcuno di competente con cui farlo.
Gnu-Tech offre un audit di sicurezza gratuito per aziende a Torino e provincia: analizziamo la tua infrastruttura, valutiamo i rischi concreti e ti proponiamo un piano di intervento proporzionato alla tua realtà.
Richiedi l’audit di sicurezza gratuito →
Vuoi prima capire meglio i servizi? Dai un’occhiata ai nostri servizi per aziende a Torino oppure chiamaci direttamente al 347 538 4282.