{"id":2588,"date":"2026-04-28T14:48:19","date_gmt":"2026-04-28T14:48:19","guid":{"rendered":"https:\/\/www.artemis-security.it\/?p=2588"},"modified":"2026-04-28T14:48:22","modified_gmt":"2026-04-28T14:48:22","slug":"ransomware-pmi-perche-target-attacchi","status":"publish","type":"post","link":"https:\/\/www.artemis-security.it\/en\/ransomware-pmi-perche-target-attacchi\/","title":{"rendered":"Perch\u00e9 le PMI sono il target preferito degli attacchi ransomware"},"content":{"rendered":"

Nel 2025, le PMI si confermano tra i principali bersagli del ransomware a livello globale e questa non \u00e8 una coincidenza. \u00c8 il risultato di una logica precisa che gli attaccanti applicano con metodo industriale.<\/strong><\/h4>\n\n\n\n

Questo articolo analizza i meccanismi tecnici e organizzativi che rendono le PMI italiane un target sistematico \u2014 e perch\u00e9 il problema \u00e8 strutturalmente diverso da quello che affronta una grande impresa.<\/p>\n\n\n\n

Il modello economico del ransomware moderno<\/strong><\/strong><\/strong><\/h2>\n\n\n\n

Per capire perch\u00e9 le PMI sono nel mirino, bisogna capire come funziona oggi l’ecosistema del ransomware. Non si tratta pi\u00f9 di singoli hacker<\/a>: si tratta di organizzazioni strutturate con modelli di business consolidati.<\/p>\n\n\n\n

Il modello dominante si chiama Ransomware-as-a-Service (RaaS)<\/strong>. Funziona cos\u00ec: un gruppo criminale sviluppa il malware e l’infrastruttura di comando e controllo, poi “affitta” l’accesso ad affiliati che si occupano della distribuzione. Gli affiliati trattengono una percentuale del riscatto \u2014 in genere tra il 70% e l’80% \u2014 e il gruppo sviluppatore incassa il resto.<\/p>\n\n\n\n

Questo modello ha abbassato drasticamente la barriera d’ingresso. Non servono competenze tecniche avanzate per condurre un attacco ransomware: serve solo accesso a una piattaforma RaaS e a un vettore di ingresso. Ed \u00e8 qui che entrano in gioco le PMI.<\/p>\n\n\n\n

Initial Access: come inizia davvero un attacco<\/strong><\/strong><\/strong><\/h2>\n\n\n\n

La fase di initial access<\/strong> \u2014 l’ingresso iniziale nella rete dei target \u2014 \u00e8 il collo di bottiglia di qualunque attacco. Una volta ottenuto un accesso, il resto del processo \u00e8 in gran parte automatizzabile.<\/p>\n\n\n\n

I vettori pi\u00f9 sfruttati contro le PMI, in ordine di frequenza, sono:<\/p>\n\n\n\n

    \n
  1. Phishing e spear phishing<\/a>:<\/strong> Il phishing generico (email massiva con link malevolo) \u00e8 ancora efficace, ma lo spear phishing \u00e8 pi\u00f9 pericoloso perch\u00e9 personalizzato. L’attaccante raccoglie informazioni pubbliche sull’azienda \u2014 nomi di dipendenti, fornitori, strumenti usati \u2014 e costruisce un messaggio credibile. Una finta email del commercialista, del corriere, del gestionale aziendale. Il tasso di click su questi messaggi \u00e8 significativamente pi\u00f9 alto di quanto le aziende si aspettino.<\/li>\n\n\n\n
  2. Credenziali compromesse:<\/strong> Esiste un mercato attivo di credenziali aziendali esfiltrate da breach<\/a> precedenti. Su varie piattaforme nel dark web, \u00e8 possibile acquistare accessi a VPN aziendali, portali di gestione, account Microsoft 365<\/a> o Google Workspace per cifre che partono da poche decine di dollari. Se un dipendente ha riutilizzato una password compromessa in un breach precedente, quell’accesso \u00e8 probabilmente gi\u00e0 in vendita.<\/li>\n\n\n\n
  3. Vulnerabilit\u00e0 su sistemi esposti:<\/strong> RDP (Remote Desktop Protocol<\/strong>) mal configurato, VPN con versioni firmware obsolete, applicativi web non aggiornati, sono tutti punti di ingresso noti e attivamente scansionati. Strumenti come Shodan<\/a> permettono di identificare in pochi secondi tutti i servizi esposti di un’organizzazione. Lo fanno anche gli attaccanti, prima di te.<\/li>\n\n\n\n
  4. Supply chain e terze parti:<\/strong> Un vettore spesso sottovalutato \u00e8 compromettere un fornitore o un partner per poi lateralizzare verso il target reale. Se usi software gestionale di terze parti, se condividi cartelle cloud con partner, se hai accessi remoti concessi a fornitori di assistenza IT, ciascuno di questi \u00e8 un potenziale punto di ingresso indiretto.<\/li>\n<\/ol>\n\n\n\n
    <\/div>\n\n\n\n
    \"Attacco<\/figure>\n\n\n\n
    <\/div>\n\n\n\n

    Perch\u00e9 le PMI sono strutturalmente pi\u00f9 esposte<\/strong><\/strong><\/strong><\/h2>\n\n\n\n

    La differenza tra una grande impresa e una PMI non \u00e8 solo di budget. \u00c8 di struttura difensiva.<\/p>\n\n\n\n

    Superficie di attacco non mappata<\/strong><\/h3>\n\n\n\n

    La maggior parte delle PMI non ha un inventario aggiornato dei propri asset digitali: quali sistemi sono esposti su internet, quali versioni software sono in uso, quali utenti hanno accesso a cosa. E purtroppo, non puoi difendere quello che non sai di avere.<\/p>\n\n\n\n

    Assenza di segmentazione di rete<\/strong><\/h3>\n\n\n\n

    In una rete piatta \u2014 dove tutti i dispositivi comunicano liberamente tra loro \u2014 un ransomware che entra su un endpoint ha accesso potenziale all’intera infrastruttura. E la segmentazione di rete (separare workstation, server, sistemi OT, accessi remoti) \u00e8 una misura fondamentale che pochissime PMI implementano.<\/p>\n\n\n\n

    Backup non testati o non isolati<\/strong><\/h3>\n\n\n\n

    Avere un backup non basta. Il ransomware moderno include routine specifiche per identificare ed eliminare i backup prima di cifrare i dati principali. Un backup raggiungibile dalla rete \u00e8 un backup potenzialmente compromesso. I backup, quindi, devono essere isolati (offline o air-gapped<\/em>) e testati regolarmente con ripristini reali.<\/p>\n\n\n\n

    MFA assente sui sistemi critici<\/strong><\/h3>\n\n\n\n

    L’autenticazione a pi\u00f9 fattori su VPN, email aziendale e accessi remoti \u00e8 ancora tutt’altro che universale nelle PMI italiane. Senza MFA, una credenziale compromessa \u00e8 sufficiente per ottenere un accesso diretto.<\/p>\n\n\n\n

    Tempo di rilevazione elevato<\/strong><\/h3>\n\n\n\n

    Senza strumenti di monitoraggio \u2014 SIEM, EDR, log analysis<\/em> \u2014 il tempo medio di rilevazione di una compromissione in una PMI si misura in settimane. In quel lasso di tempo, l’attaccante esplora la rete, esfiltra dati, identifica i backup e prepara il payload. E quando il ransomware viene eseguito, il danno \u00e8 gi\u00e0 fatto.<\/p>\n\n\n\n

    La tecnica della doppia estorsione<\/strong><\/strong><\/h3>\n\n\n\n

    Il ransomware moderno non cifra soltanto i dati: prima li esfiltra. Questo meccanismo \u2014 chiamato double extortion<\/strong> \u2014 cambia radicalmente la struttura del ricatto.<\/p>\n\n\n\n

    Il processo tipico:<\/p>\n\n\n\n

      \n
    1. L’attaccante ottiene l\u2019initial access<\/em><\/li>\n\n\n\n
    2. Si muove lateralmente nella rete (lateral movement<\/em>) per settimane<\/li>\n\n\n\n
    3. Identifica e copia i dati pi\u00f9 sensibili verso server esterni sotto il proprio controllo<\/li>\n\n\n\n
    4. Esegue il ransomware e cifra i sistemi<\/li>\n\n\n\n
    5. Presenta due richieste: una per la chiave di decifratura, una per non pubblicare i dati esfiltrati<\/li>\n<\/ol>\n\n\n\n

      Questo significa che anche un’azienda con backup perfettamente funzionanti si trova comunque sotto ricatto per i dati gi\u00e0 sottratti. Il problema, quindi, non \u00e8 pi\u00f9 solo il ripristino operativo \u2014 \u00e8 anche la minaccia di pubblicazione di dati di clienti, contratti, e comunicazioni interne.<\/p>\n\n\n\n

      Per una PMI, la pubblicazione di dati di clienti pu\u00f2 tradursi in sanzioni GDPR<\/a>, perdita di fiducia commerciale, e danni reputazionali difficili da quantificare.<\/p>\n\n\n\n

      <\/div>\n\n\n\n
      \"Computer<\/figure>\n\n\n\n
      <\/div>\n\n\n\n

      I gruppi ransomware pi\u00f9 attivi in Europa<\/strong><\/strong><\/strong><\/h2>\n\n\n\n

      Senza entrare in dettagli operativi, \u00e8 utile sapere che i gruppi responsabili della maggior parte degli attacchi alle PMI europee operano con infrastrutture professionali, hanno team dedicati alla negoziazione del riscatto, e pubblicano i dati delle vittime su siti dedicati (i cosiddetti leak site<\/em>) come leva di pressione.<\/p>\n\n\n\n

      Gruppi ransomware come LockBit e BlackCat\/ALPHV hanno colpito anche organizzazioni italiane, incluse aziende di dimensioni medie, come documentato da diverse analisi e casi reali<\/a>. In un contesto in cui gli attacchi sono sempre pi\u00f9 automatizzati e su larga scala, n\u00e9 la dimensione, n\u00e9 il settore, n\u00e9 la nazionalit\u00e0 rappresentano una reale protezione.<\/p>\n\n\n\n

      Indicatori di compromissione da monitorare<\/strong><\/strong><\/h2>\n\n\n\n

      Anche senza strumenti avanzati, esistono segnali che possono indicare una compromissione in corso prima che il ransomware venga eseguito:<\/p>\n\n\n\n