L’azienda di cybersecurity Crowdstrike si è occupata del grado di preparazione delle aziende in materia di ransomware e, seppure indirettamente, i risultati coincidono con quelli che Dojo ha ottenuto in materia di phishing. In entrambi i casi, le imprese pensano di essere più preparate di quanto lo sono in realtà.

Il report Crowdstrike Ransomware Survey 2025 dimostra già nella sinossi che le imprese sovrastimano le loro reali capacità: infatti, il 78% delle aziende coinvolte nel sondaggio è stata vittima di un attacco ransomware nei 12 mesi coperti dall’indagine. Tali incursioni hanno comportato danni di diversa entità e, nonostante ciò, la metà delle aziende si è dichiarata pronta ad affrontare un simile attacco. Nel comparto pubblico, le organizzazioni che si sentono ben preparate raggiungono il 60%.

I conti non tornano da subito e divergono ulteriormente se si considera che, tra le imprese colpite, solo il 22% è riuscita a riprendere l’operatività nel giro di 24 ore.

Come vedremo più avanti, le dicotomie palesate dai numeri hanno origine in una distorta comprensione dell’entità delle minacce.

Cosa dice il report Crowdstrike

Il report ha coinvolto 1.100 decision maker negli ambiti IT e cybersecurity dislocati in sette Paesi (Australia, Francia, Germania, India, Regno Unito, Singapore e Stati Uniti) rilevando che il panorama delle minacce – ransomware inclusi – è in rapida evoluzione sospinto dalle AI e coadiuvato dall’eccesso di fiducia con cui le aziende si situano in tale panorama.

Un effetto Dunning Kruger in piena regola nell’accezione secondo cui chi è poco preparato tende a sovrastimare le proprie capacità. Tutto ciò presta il fianco ai cyber criminali, sempre più abili grazie anche al supporto delle Intelligenze artificiali e, in qualche misura, persino sadici nello scagliarsi con tanta veemenza contro bersagli incapaci di reggere il peso degli attacchi.

Il sondaggio lascia trasparire altre informazioni discordanti: l’87% delle imprese ritiene che il social engineering supportato dalle AI riesce a superare le barriere tradizionali e, restando in materia di ransomware, l’83% delle aziende che ha ceduto alle richieste dei ricattatori è stato attaccato nuovamente. Il tema dei riscatti verrà approfondito più avanti perché incarna il forte disequilibrio tra chi difende e chi attacca.

Il quadro è desolante: tra imprese che ritengono di essere preparate al peggio e cyber criminali che si muovono con inquietante e libera destrezza, il panorama nel suo insieme consegna alla cronaca una sequela di episodi tale da dimostrare lo strapotere dei malintenzionati e la gracile capacità difensiva delle organizzazioni, pecore disorientate in un recinto popolato di lupi.

Non di meno, il 25% delle vittime ha subito interruzioni significative o perdite di dati e, tra queste, il 42% ha sofferto tempi di inattività che il report definisce “significativi” senza misurarli in modo più preciso. Il 22% delle imprese target è risuscito a recuperare l’operatività nel corso delle 24 ore, ovvero poco più di una su cinque.

Un segnale di speranza che però non è ancora sufficiente a colorare il quadro di tinte più tenui.

La misura della realtà

A complicare ulteriormente il contesto interviene la scarsa capacità di leggere la realtà degli alti quadri aziendali. Il 76% delle organizzazioni lamenta un divario tra i Security Operations Center (SOC)  e la dirigenza: gli addetti alla cyber security tentano di sensibilizzare i livelli decisionali ma questi non recepiscono la gravità della situazione.

Stringendo un po’ il focus risulta che il 54% dei ruoli apicali pensa che l’organizzazione per la quale lavora sia molto preparata ad affrontare i ransomware, mentre solo il 46% dei team di sicurezza è del medesimo avviso. Ci sono, in sintesi, realtà aziendali nelle quali chi non si occupa di cyber security parla per bocca di chi se ne occupa senza sapere cosa sta dicendo.

Una disparità che si misura soprattutto nel settore energetico (nel 94% dei casi) e che appare diffusa soprattutto a Singapore.

Il risultato è una carenza di investimenti mirati con ricadute negative sulle imprese che tali manager gestiscono.

Come le AI ridefiniscono le minacce

Uscendo dal dominio dei ransomware, gli apporti che le AI sono in grado di fornire alle minacce più disparate suonano come una sguaiata sirena d’allarme, infatti:

• Il 76% degli intervistati afferma che sta diventando sempre più difficile essere pienamente preparati.
• Il 45% teme di non poter rilevare e rispondere agli attacchi automatizzati dall’AI con la stessa rapidità con cui questi vengono perpetrati.
• L’82% ritiene che l’AI generativa stia rendendo le email di phishing più difficili da identificare, anche tra i dipendenti ben formati.
• L’87% si aspetta che i deepfake audio e video diventino importanti vettori di attacco nelle future campagne ransomware.

L’adozione di infrastrutture difensive potenziate dalle AI procede lentamente: l’85% dei team di sicurezza riconosce che i metodi di rilevamento tradizionali non sono più sufficienti e, nonostante ciò, solo il 53% ha implementato un rilevamento delle minacce basato sulle Intelligenze artificiali. Quest’ultima percentuale crolla a 41 punti quando si parla di aziende pubbliche.

Vettori di attacco e vulnerabilità

Il phishing è stato citato dal 45% delle vittime come il punto iniziale di compromissione più comune, nonostante il 92% delle organizzazioni creda che i propri dipendenti siano ben addestrati a riconoscere le email di phishing.

Tra i vettori più sollecitati rientrano gli exploit (40%), la compromissione della catena di approvvigionamento (35%) e le credenziali compromesse (33%).

Il ruolo imbarazzante dei backup

Il rimedio migliore contro i ransomware continua a essere il backup. Più copie dei dati, immutabili, offline e conservate in posizioni diverse costituiscono la risposta più intelligente e rapida che si possa dare alle incursioni a scopo ricattatorio.

Il grado di impreparazione di parte delle aziende coinvolte nel sondaggio sta riscrivendo anche questa realtà.

Per il 39% delle imprese vittime i backup non sono una garanzia perché, a loro dire, al momento opportuno non è stato possibile recuperare i dati in modo completo.

Appare utile ricordare a queste organizzazioni che il backup va fatto in modo protocollato e replicabile e che i test di restore vanno fatti saltuariamente in momenti non di crisi, esattamente come un tetto va riparato quando non piove.

Incolpare i backup fatti male della loro inutilità equivale incolpare un ombrello chiuso di non avere riparato contro la pioggia. Soprattutto, è uno dei tanti segnali della scarsa cyber cultura che impera tra le organizzazioni.

Pagare il riscatto non paga

Uno dei motivi per i quali pagare il riscatto non è quasi mai la soluzione giusta è raccontato nel report Crowdstrike. Infatti:

• L’83% di chi ha pagato il riscatto è stato attaccato di nuovo dallo stesso attore o da uno diverso.
• Il 93% delle vittime paganti ha scoperto che i dati sono stati esfiltrati comunque.
• Il 45% delle vittime paganti non è riuscito a recuperare tutti i dati, anche dopo aver ceduto alle richieste.

Non da ultimo, i tempi di inoperatività hanno avuto un peso finanziario medio di 1,7 milioni di dollari (1,47 milioni di euro) che, tra le aziende pubbliche, ha raggiunto i 2,5 milioni di dollari (2,17 milioni di euro). Cifre al netto dei danni reputazionali e delle sanzioni legali e regolatorie.

Conclusioni

Il problema più massiccio appare essere riconducibile allo scollamento con cui i manager aziendali apprezzano la realtà dei fatti. Per quanto gli esperti di cybersecurity lancino allarmi, chi deve stanziare budget si convince che non ce ne sia immediato bisogno, vantando un grado di preparazione e resilienza di cui le aziende che dirigono non dispongono.

Per capire come curare questo male ci siamo avvalsi della collaborazione dell’ingegner Pierluigi Paganini, Ceo Cybhorus e direttore dell’Osservatorio sulla Cybersecurity Unipegaso.

In un articolo pubblicato sul suo sito, si legge che la compagnia aerea Qantas, dopo avere subito una data breach, ha deciso di decurtare del 15% il bonus dei manager nonostante i buoni risultati d’esercizio conseguiti.

Un metodo certamente efficace anche se draconiano. Ci sono altri metodi per colmare il divario di percezione tra i ruoli apicali e i team operativi delle organizzazioni?

“Il caso Qantas – spiega Paganini – mostra una presa di responsabilità forte, quanto drastica, dell’azienda.

Ritengo tuttavia utili approcci meno punitivi per ridurre il divario di percezione tra vertici e team operativi. Tra questi metodi: includere la sicurezza tra gli obiettivi strategici e nei KPI del management, coinvolgere i dirigenti in sessioni con il CISO per comprendere il rischio cibernetico e possibili impatti sulle imprese, organizzare tabletop exercise (esercitazioni strategiche, nda) che simulano crisi reali; favorire una comunicazione bidirezionale e trasparente; promuovere la leadership ‘by example’ con dirigenti attivi nella formazione”.

Tutti tasselli utili a formare un tutto più grande che l’ingegner Paganini riassume così: “Un’azienda virtuosa che presta attenzione alla propria postura di sicurezza informatica deve allineare cultura aziendale e livello di rischio accettato. Un approccio che integra responsabilità, consapevolezza e collaborazione consente di costruire una cultura della sicurezza più matura e condivisa all’interno di una organizzazione in cui il valore della cyber resilience è percepito come un fattore strategico e non solo tecnico”.