Un giorno apri il computer e scopri che tutti i tuoi documenti sono illeggibili. Al loro posto, una schermata con un conto alla rovescia e le istruzioni per pagare in criptovaluta. Non è fantascienza: è il ransomware, una delle minacce informatiche più impattanti degli ultimi anni, capace di paralizzare ospedali, aziende manifatturiere e pubbliche amministrazioni in poche ore. Se pensi che colpisca solo i grandi, o solo chi naviga in modo incauto, stai sottovalutando un rischio che in Italia è cresciuto del 20% solo nei primi mesi del 2025.
Indice dei contenuti
Cos’è il ransomware e come entra nei sistemi
Il ransomware è una categoria di malware progettata per un obiettivo preciso: bloccare l’accesso ai dati della vittima e pretendere un riscatto in cambio della chiave di decifrazione. Il nome viene dall’inglese ransom (riscatto) combinato con software. A differenza di altri tipi di attacco informatico, il ransomware non si nasconde indefinitamente: si manifesta esplicitamente, perché il suo fine ultimo è costringere a pagare.
I vettori di infezione sono diversi, ma uno domina su tutti: il phishing. Un’email apparentemente legittima contiene un allegato malevolo o un collegamento che scarica il codice ostile sul sistema. Bastano pochi secondi di distrazione per avviare una catena di eventi quasi impossibile da fermare. Un altro vettore molto sfruttato è il protocollo RDP (Remote Desktop Protocol): quando è esposto su internet e mal configurato — come accade spesso nelle piccole aziende — rappresenta una porta d’ingresso comoda per chi sa dove guardare. Anche i software non aggiornati contribuiscono in modo determinante: ogni vulnerabilità rimasta senza patch è un’opportunità che i criminali catalogano e sfruttano sistematicamente.
Come funziona un attacco: dalla fase silenziosa all’estorsione
Un attacco ransomware moderno raramente è un’azione fulminea. Prima di cifrare qualsiasi dato, il malware trascorre un periodo di latenza all’interno del sistema, durante il quale si muove lateralmente nella rete, acquisisce privilegi più elevati e identifica i file più preziosi. Questo intervallo — i tecnici lo chiamano dwell time — può durare giorni o addirittura settimane. L’obiettivo è massimizzare il danno potenziale prima di rivelare la propria presenza.
Quando il momento è ritenuto opportuno, il codice malevolo attiva la fase di cifratura. Utilizzando algoritmi crittografici robusti come AES-256 combinato con RSA, il malware rende illeggibili tutti i file accessibili: documenti, database, immagini, archivi di posta. La chiave di decifrazione rimane nelle mani degli attaccanti. A quel punto appare la cosiddetta ransom note: una schermata con le istruzioni per il pagamento, quasi sempre in Bitcoin o Monero, valute digitali che garantiscono un elevato grado di anonimato ai criminali.
Pagare non garantisce affatto di riavere i propri dati. Non esiste alcun accordo vincolante tra vittima e criminale, e molte organizzazioni che hanno ceduto hanno ricevuto chiavi di decifrazione incomplete o del tutto inutilizzabili. Questo è uno dei motivi principali per cui le autorità di sicurezza sconsigliano sempre di assecondare le richieste di riscatto.
Il modello RaaS e la doppia estorsione: quando il ransomware diventa un’industria
Il panorama del ransomware si è trasformato profondamente negli ultimi anni. Non esiste più un singolo gruppo che sviluppa, distribuisce e riscuote: il modello prevalente è oggi quello del Ransomware-as-a-Service (RaaS). Funziona come un franchising criminale: un gruppo costruisce il codice malevolo e l’infrastruttura, poi li affitta ad altri soggetti — chiamati affiliati — che si occupano della distribuzione. I proventi vengono divisi secondo percentuali prestabilite. Questo ha abbassato drasticamente la barriera tecnica per lanciare un attacco, moltiplicando il numero di operatori attivi: nel solo 2024 sono stati contati 75 gruppi distinti che pubblicavano dati sottratti sui loro leak site pubblici.
L’altra evoluzione che ha cambiato le regole del gioco è la doppia estorsione. Prima di cifrare i file, gli attaccanti ne esfiltrano una copia. In questo modo, anche se la vittima disponesse di un backup funzionante e non pagasse il riscatto, i criminali minaccerebbero di rendere pubblici i dati sottratti. Nel secondo trimestre del 2025, il 74% degli attacchi ha incluso questa componente di furto, superando la semplice cifratura come metodo primario di estorsione. Questo schema risulta particolarmente devastante per le organizzazioni che trattano informazioni sensibili: strutture sanitarie, studi legali, enti pubblici. La pubblicazione di certi contenuti può avere conseguenze legali e reputazionali enormi, indipendentemente dal fatto che i sistemi siano stati ripristinati.
Chi colpisce e con quali conseguenze
Nessun settore è tecnicamente immune, ma alcuni sono sistematicamente più esposti. La sanità è tra i bersagli preferiti: un ospedale non può permettersi di aspettare, e questa urgenza strutturale lo rende disposto a pagare in tempi rapidi. Il manifatturiero, l’istruzione e le pubbliche amministrazioni locali sono anch’essi obiettivi frequenti, spesso per via di sistemi informatici datati e personale non formato sulla sicurezza.
I numeri rendono l’idea della portata del fenomeno. L’attacco a Change Healthcare del febbraio 2024, condotto dal gruppo ALPHV/BlackCat, ha compromesso i sistemi di UnitedHealth, coinvolto oltre 100 milioni di pazienti e costato 22 milioni di dollari di riscatto.
Pochi mesi dopo, a giugno 2024, CDK Global — infrastruttura centralizzata per il settore automotive nordamericano — è stata paralizzata dal gruppo BlackSuit: riscatto pagato di 25 milioni di dollari, danni complessivi stimati oltre i 600 milioni. In Italia, il CSIRT nazionale ha segnalato un aumento del 20% degli attacchi nei primi mesi del 2025 rispetto alla media dei sei mesi precedenti, con sanità e manifatturiero tra i settori più colpiti. Uno studio di Semperis dello stesso anno rivela che l’82% delle grandi aziende italiane con oltre 500 dipendenti ha subito almeno un attacco nell’arco dei dodici mesi precedenti.
Come difendersi dal ransomware in modo concreto
La difesa dal ransomware non si riduce all’installazione di un programma di protezione. Richiede un approccio stratificato che copra tecnologia, processi e persone.
Il punto di partenza è il backup regolare dei dati, preferibilmente seguendo la regola 3-2-1: tre copie, su due supporti diversi, di cui almeno uno conservato offline e fisicamente separato dalla rete. Un backup inaccessibile al malware è l’unica vera garanzia di ripristino senza dover trattare con i criminali.
Aggiornare costantemente software, sistemi operativi e applicazioni chiude le vulnerabilità più sfruttate. Affiancare a questo una soluzione di sicurezza endpoint capace di rilevare comportamenti anomali — non solo hash di codice malevolo già catalogato — migliora sensibilmente la capacità di intercettare un attacco nelle sue fasi iniziali. Implementare l’autenticazione a più fattori (MFA) sui servizi esposti, a partire dall’RDP, riduce drasticamente il rischio che credenziali compromesse aprano la porta all’attaccante. La segmentazione della rete, che limita la mobilità laterale di un eventuale intruso, è un’altra misura tecnica ad alto impatto pratico.
La componente umana resta però la più determinante. Formare il personale a riconoscere un’email di phishing, a non aprire allegati non attesi, a segnalare comportamenti anomali: tutto questo riduce direttamente la probabilità che il vettore di infezione più diffuso abbia successo. Le tecnologie più sofisticate non bastano se un dipendente apre il documento sbagliato.
Infine, avere un piano di risposta agli incidenti aggiornato e testato con regolarità è fondamentale. Sapere esattamente cosa fare nelle prime ore — isolare i segmenti di rete compromessi, contattare il CSIRT nazionale, attivare i processi di disaster recovery — può fare la differenza tra un incidente contenibile e una catastrofe operativa.
Conclusione
Il ransomware è una minaccia matura, redditizia per chi la pratica e in continua evoluzione. Non colpisce solo chi è negligente: colpisce organizzazioni strutturate, con risorse dedicate alla sicurezza, spesso attraverso un singolo punto debole. Comprendere come funziona, chi lo sviluppa e con quali strumenti si diffonde è il primo passo per costruire una difesa concreta. Questo articolo fa parte di una serie dedicata alle tipologie di malware, di cui il ransomware rappresenta forse la variante più impattante degli ultimi dieci anni. Hai già vissuto una situazione simile, o conosci qualcuno che ci è passato? Raccontarlo nei commenti può essere utile per chi legge.
Domande frequenti sui ransomware
Cos’è un ransomware?
Il ransomware è un tipo di malware che cifra i file del sistema colpito e chiede un riscatto, solitamente in criptovaluta, in cambio della chiave di decifrazione. A differenza di altri malware, non agisce di nascosto: si rivela esplicitamente perché il suo obiettivo è costringere la vittima a pagare. Colpisce aziende, enti pubblici e privati.
Cosa fa un ransomware al tuo sistema?
Una volta entrato nel sistema, il ransomware cifra documenti, database, archivi e file di posta rendendoli inaccessibili. Prima di agire, può restare nascosto per giorni muovendosi nella rete e acquisendo privilegi. Quando attiva la cifratura, compare la richiesta di riscatto. Senza la chiave degli attaccanti, i dati restano illeggibili.
Cosa non fare in caso di attacco ransomware?
Non pagare il riscatto: non esiste alcuna garanzia di ricevere la chiave di decifrazione funzionante. Non spegnere il sistema in modo improvviso, perché potrebbe compromettere le possibilità di analisi forense. Non tentare di rimuovere il malware senza competenze specifiche. La prima azione corretta è isolare il sistema dalla rete per bloccare la diffusione.
Come ci si protegge dal ransomware?
La difesa più solida è il backup offline con regola 3-2-1: tre copie, due supporti diversi, uno fisicamente separato dalla rete. A questo si aggiungono aggiornamenti software costanti, autenticazione a più fattori sui servizi esposti e formazione del personale sul riconoscimento del phishing. Nessuna misura singola è sufficiente: serve un approccio a strati.
