Un attacco ransomware lascia sempre una traccia: downtime, dati cifrati, clienti in attesa, ma lascia anche lezioni preziose. In questa guida trasformiamo l’esperienza di un attacco in un piano d’azione per PMI: cosa fare nelle prime 24 ore, come prevenire il prossimo incidente con backup 3-2-1 e tutte le precauzioni da adottare per lavorare in sicurezza.
Cos’è un ransomware?
Il ransomware è un software malevolo progettato per cifrare i dati e interrompere la disponibilità dei sistemi, così da estorcere un pagamento in cambio della chiave di decrittazione. Sempre più spesso, prima della cifratura, gli aggressori prelevano una copia dei dati: è la cosiddetta “doppia estorsione”, perché alla richiesta di riscatto si aggiunge la minaccia di pubblicare le informazioni sottratte.
Dal “doppio” al “triplo” ricatto
L’evoluzione recente degli attacchi aggiunge un’ulteriore leva di pressione: oltre alla cifratura e alla minaccia di pubblicazione, alcuni gruppi sferrano anche attacchi di negazione del servizio (DDoS) per amplificare il danno percepito e accelerare la decisione di pagare. Le autorità raccomandano di non pagare il riscatto: non c’è alcuna garanzia di recupero completo né di cancellazione dei dati già esfiltrati; restare focalizzati su prevenzione e ripristino è la strategia più efficace.
Cosa abbiamo imparato dai casi reali
Gli ingressi iniziali più frequenti restano le email di phishing, l’esposizione di servizi remoti come Remote Desktop Protocol (RDP) o reti private virtuali (VPN) non adeguatamente protette e gli attacchi alla catena di fornitura. Le esperienze delle piccole e medie imprese europee raccolte da ENISA confermano questa tendenza. Un’altra lezione chiave riguarda il tempo di fermo: dove mancano piani e backup testati regolarmente, il ripristino si allunga e i costi crescono. Le guide pratiche del NIST offrono architetture e procedure per tornare a uno stato “pulito” in modo ripetibile. In Italia è utile seguire gli indicatori di compromissione diffusi dal CERT-AGID, che consentono di bloccare in anticipo infrastrutture e file malevoli ricorrenti nelle campagne osservate.
Checklist nelle prime 24 ore
- Isola e contiene: scollega i sistemi compromessi, segmenta la rete e conserva le evidenze (log e campioni) per l’analisi.
- Attiva il piano di risposta: chiarisci ruoli ed escalation, coordina le comunicazioni interne ed esterne (inclusi i fornitori critici).
- Valuta i dati personali coinvolti: se c’è rischio per le persone, notifica la violazione entro 72 ore all’autorità competente (art. 33 GDPR) e, se necessario, informa gli interessati.
- Ripristina in sicurezza: usa backup offline o immutabili, verifica l’integrità, ruota credenziali e chiavi, applica aggiornamenti ai dispositivi.
- Monitora IOC: aggiorna EDR e apparati di rete per evitare reinfezioni.
Prevenzione che funziona nelle PMI
Un perno della resilienza è la strategia “3-2-1” di backup: mantenere tre copie dei dati su due supporti differenti con una copia off-site o offline; quando possibile, usare repository immutabili (WORM) e provare periodicamente il ripristino. Accanto ai backup, servono controlli tecnici minimi: MFA sugli accessi remoti e privilegiati, EDR su tutti i dispositivi, patch management regolare e hardening delle configurazioni. Infine, un playbook di risposta provato con esercitazioni “table-top” riduce errori e tempi di fermo.
Vuoi trasformare le lezioni di un attacco in un piano concreto? Scopri la nostra Consulenza Cyber Security e progetta un piano di backup e ripristino a prova di ransomware.
Obblighi e responsabilità in Italia
La direttiva NIS2 rafforza gestione del rischio e notifica degli incidenti per i soggetti “essenziali” e “importanti”; l’ACN ha pubblicato materiali e “specifiche di base” per guidare l’adozione delle misure minime e i rapporti con il CSIRT Italia. Per le violazioni di dati personali restano validi gli obblighi del GDPR (notifica entro 72 ore) e i chiarimenti del Comitato europeo.
Metriche che contano: RTO/RPO e costi di fermo
Pianificare il ripristino richiede di definire il RTO (Recovery Time Objective), cioè il tempo massimo di inattività accettabile e il RPO (Recovery Point Objective), la perdita massima di dati
accettabile. Collegare queste metriche alla progettazione dei backup e dei
processi di ripartenza aiuta a fare scelte proporzionate al rischio e al
budget.
In sintesi
Le esperienze più efficaci combinano backup robusti e verificati, controlli tecnici di base (MFA, EDR, patching e configurazioni sicure) e governance che integra aspetti tecnici e compliance (GDPR e NIS2), sostenute da procedure chiare, awareness training e responsabilità definite.
Conclusioni
Un attacco ransomware non è solo un’emergenza: è un’occasione per rivedere priorità e processi. Le PMI che investono in preparazione e conoscono i propri obblighi ripartono più in fretta, con minori impatti economici e reputazionali, diventando partner più solidi nella filiera.
Fonti
- CISA — StopRansomware Guide (agg. 2023–2025)
- NIST/NCCoE — SP 1800-11: Data Integrity – Recovering from Ransomware (09/2020)
- ENISA — Cybersecurity for SMEs (06/2021) e risorse dedicate alle PMI
- MITRE ATT&CK — T1486 – Data Encrypted for Impact (15/03/2019)
- EDPB/GDPR — Art. 33 notifica violazioni e linee guida (2023)
- ACN — Pagine NIS/NIS2 e “Specifiche di base” (08–09/2025)
- FBI IC3/CISA — Alert su Play ransomware (04/06/2025)
