Il tempo scorre inesorabile: i sistemi sono bloccati e le linee produttive ferme. I clienti non riescono ad accedere ai servizi, mentre altrove i cyber criminali osservano e attendono la vostra prossima mossa, consapevoli che ogni minuto di inattività accresce il loro potere negoziale.

Mentre i team di sicurezza hanno rafforzato i propri perimetri difensivi, gli hacker hanno cambiato strategia. Il Data Breach Investigations Report 2025 (DBIR) di Verizon segnala che il ransomware è presente nel 44% delle violazioni, in netto aumento rispetto al 32% registrato lo scorso anno.

Tuttavia, non è solo la frequenza degli attacchi a essere cambiata, ma la finalità stessa: oggi l’obiettivo primario non è più il furto di dati, bensì il blocco delle attività aziendali. L’interruzione dell’operatività è diventata un’arma importante nella nuova era dell’estorsione digitale.

L’interruzione operativa supera il riscatto

Nelle sale riunioni, l’espressione “non possiamo operare” fa ormai più paura di “i vostri dati sono stati crittografati”. Sebbene il furto di informazioni continui ad attirare l’attenzione dei media, il DBIR conferma ciò che molti CISO sperimentano quotidianamente: l’impatto più grave del ransomware è la paralisi dei processi.

In molti casi, il costo legato ai fermi operativi supera persino quello del riscatto richiesto. Lo dimostrano i più recenti disservizi che hanno interessato le principali piattaforme. Sono stati paralizzati interi settori, interrompendo l’erogazione di servizi essenziali. Anche i dati del comparto assicurativo confermano questa evidenza: i costi dei tempi di inattività spesso superano le stesse richieste di riscatto.

Quando si fermano le linee produttive, i sistemi di assistenza ai pazienti si bloccano o le catene di approvvigionamento si interrompono ogni secondo conta.

Questo perché può tradursi in perdita di fatturato, quote di mercato e, soprattutto, della fiducia da parte dei clienti.

Tuttavia, emerge un paradosso interessante. Nonostante l’aumento dei danni causati dai ransomware, sono sempre meno le organizzazioni intenzionate a corrispondere quanto richiesto. Il DBIR 2025 ha rilevato che il 64% delle vittime rifiuta di pagare il riscatto (rispetto al 50% del 2022) e che il pagamento mediano è sceso da 150.000 a 115.000 dollari. Una riduzione, dunque, sia nel numero di pagamenti che nell’ammontare economico versato dagli aggressori.

Azioni concrete per ridurre l’esposizione a questi rischi

Come si traduce questa tendenza? I cyber criminali non stanno arretrando, ma evolvono le loro strategie per rimanere economicamente profittevoli. Anziché affidarsi esclusivamente alla crittografia dei dati, attualmente sfruttano la paralisi operativa, dove i tempi di inattività hanno conseguenze devastanti.

Strategia che trova applicazione su larga scala: aggirando le difese tramite dispositivi periferici vulnerabili, prendendo di mira fornitori minori con accessi privilegiati e automatizzando segmenti dell’intera catena di attacco.

Il risultato? Un impatto più esteso, riscatti più contenuti per singolo bersaglio, ma un aumento complessivo delle opportunità di monetizzazione attraverso il blocco dei processi.

Considerando tale scenario, quali sono le azioni concrete che possono aiutare le organizzazioni a ridurre la loro esposizione a questi rischi?

Business Impact Assessments (BIAs)

Valutare e quantificare regolarmente l’impatto finanziario e operativo dei potenziali tempi di inattività dei sistemi critici e dei processi aziendali.

Ciò contribuirà a stabilire le priorità degli sforzi di ripristino.

Sviluppare e testare un Incident Response Plans (IRPs)

Con particolare attenzione alla continuità operativa: assicurarsi che gli IRP non si limitino al recupero dei dati, ma includano esplicitamente scenari di interruzione totale delle attività, in cui le funzioni aziendali essenziali risultano completamente non operative.

Operare con una mentalità “No Ransom”

La strategia di contrasto non dovrebbe prevedere il pagamento del riscatto come soluzione percorribile. Al contrario, è fondamentale adottare un approccio che parta dal presupposto che non si intenda cedere al ricatto.

Un approccio di questo tipo incentiva una maggiore attenzione alla formazione degli stakeholder e stimola investimenti mirati in capacità di prevenzione, resilienza e ripristino.

Terze parti e supply chain: una minaccia silenziosa, ma crescente

I risultati del DBIR 2025 mettono in luce un’altra verità allarmante: l’88% delle violazioni che hanno colpito le piccole e medie imprese ha coinvolto attacchi ransomware. Un numero che dovrebbe spingere i CISO a una riflessione profonda.

Nel panorama iperconnesso del business moderno, queste realtà sono spesso parte integrante dell’ecosistema aziendale: possono essere partner strategici, fornitori o service partner. Il nuovo vettore d’attacco non assomiglia più a un assalto diretto contro sistemi protetti.

I cyber criminali preferiscono colpire gli anelli deboli della catena: hub tecnologici o provider di servizi, dove una singola violazione può propagarsi rapidamente e avere un impatto a cascata su centinaia, se non migliaia, di organizzazioni connesse.

Gli aggressori sanno bene che la strada più semplice per penetrare nel tessuto aziendale non è sempre quella diretta: può passare, ad esempio, attraverso lo studio legale che gestisce i dati sensibili, il fornitore HVAC con accesso remoto a sistemi o ancora il partner cloud che custodisce asset digitali.

In un attacco indiretto, ogni terza parte poco protetta può trasformarsi nella porta d’ingresso verso l’intera organizzazione.

Azioni concrete per valutare continuamente le minacce

• Implementare un programma integrato di Vendor Risk Management (VRM) e di Cyber Risk Quantification (CRQ): l’analisi non dovrebbe limitarsi ai partner diretti, ma estendersi anche ai subappaltatori e alle terze parti critiche della supply chain (Nth parties).
• Integrare requisiti di sicurezza nei contratti: inserire clausole vincolanti in materia di cybersecurity in tutti gli accordi con i fornitori, imponendo l’adesione a framework specifici, la conduzione di audit periodici e l’obbligo di segnalare tempestivamente eventuali incidenti.
• Condurre valutazioni periodiche sulla sicurezza dei fornitori: superare la logica del mero questionario e procedere con valutazioni tecniche, test di penetrazione e audit di sicurezza sui soggetti terzi ad alto rischio.
• Segmentare le reti per l’accesso di esterni: limitare il perimetro di azione di eventuali attacchi isolando i canali di accesso dei partner esterni, adottando approcci Zero Trust e una segmentazione rigorosa delle infrastrutture.

Perché il ripristino rapido è fondamentale

Questi risultati richiedono un cambiamento radicale: anziché concentrare le risorse esclusivamente sul versante difensivo, le organizzazioni lungimiranti stanno puntando sulla loro capacità di rilevare, contenere e riprendersi dalle intrusioni con un impatto minimo sull’attività.

Ciò richiede una strategia multilivello che va ben oltre i tradizionali controlli di sicurezza:

• La segmentazione della rete è passata da buona pratica tecnica a requisito fondamentale per la continuità operativa, in quanto consente di limitare la propagazione di malware quando, e se, le difese perimetrali vengono violate.
  • Azione: applicare una segmentazione efficace dell’infrastruttura per mettere in sicurezza gli asset strategici e ostacolare la propagazione laterale delle minacce. È fondamentale aggiornare e verificare con regolarità le policy di segmentazione, sia per le architetture di rete che per la gestione dei dati, nei contesti cloud e on-premise.
• Il framework Zero Trust riduce il raggio d’azione delle credenziali compromesse, mentre i sistemi di backup isolati e immutabili aiutano a rendere valide le opzioni di ripristino anche dopo attacchi di crittografia sofisticati.
  • Azione: progettare e attivare copie di sicurezza air-gapped e non modificabili per dati e sistemi critici. Verificare con frequenza l’efficacia del processo di ripristino, assicurandosi della solidità dei dati e della rapidità nella risposta.
• Disporre di protocolli di risposta documentati garantisce chiarezza operativa durante una crisi, mentre le valutazioni di sicurezza proattive devono tenere conto delle vulnerabilità presenti in tutto l’ecosistema, non solo negli ambienti interni
  • Azione: sviluppare manuali dettagliati e regolarmente aggiornati di risposta agli incidenti che descrivano ruoli, responsabilità e procedure step-by-step per vari scenari di attacchi ransomware.
  • Azione: condurre regolarmente test di penetrazione e valutazioni delle vulnerabilità che vadano oltre il dominio domestico, ma includano ambienti cloud, integrazioni con terze parti e punti di accesso remoto.
• Adottare un approccio volto all’abbattimento delle barriere tra i team di sicurezza e le operazioni aziendali. Le capacità di ripristino non possono più essere di esclusiva competenza del reparto IT, ma devono essere integrate nella pianificazione della continuità operativa a tutti i livelli.
  • Azione: istituire task force interfunzionali per la risposta agli incidenti, che includano rappresentanti dei reparti IT, sicurezza, legale, comunicazioni, operazioni e top management.
  • Azione: integrare la pianificazione della risposta agli incidenti di sicurezza informatica direttamente nelle strategie più ampie di continuità operativa e ripristino di emergenza (BC/DR). Condurre esercitazioni e simulazioni congiunte.

Le organizzazioni che prosperano in un panorama di minacce in continua evoluzione non sempre si distinguono per una migliore capacità di prevenzione, ma stanno anche sviluppando sistemi e processi in grado di assorbire gli attacchi senza conseguenze catastrofiche per il business.

Con il ransomware che si trasforma da semplice fastidio tecnico a grave minaccia per il business, il parametro davvero cruciale non è più il numero di attacchi evitati, ma la rapidità con cui ci si riprende da quelli che vanno a segno.

In un mondo in cui l’interruzione operativa è diventata un’arma a tutti gli effetti, la velocità di ripristino non è solo una questione tecnica: può essere la chiave per la continuità e la sopravvivenza del business.