Vai al contenuto
Home » Blog » Perché le PMI sono il target preferito degli attacchi ransomware

Perché le PMI sono il target preferito degli attacchi ransomware

Nel 2025, le PMI si confermano tra i principali bersagli del ransomware a livello globale e questa non è una coincidenza. È il risultato di una logica precisa che gli attaccanti applicano con metodo industriale.

Questo articolo analizza i meccanismi tecnici e organizzativi che rendono le PMI italiane un target sistematico — e perché il problema è strutturalmente diverso da quello che affronta una grande impresa.

Il modello economico del ransomware moderno

Per capire perché le PMI sono nel mirino, bisogna capire come funziona oggi l’ecosistema del ransomware. Non si tratta più di singoli hacker: si tratta di organizzazioni strutturate con modelli di business consolidati.

Il modello dominante si chiama Ransomware-as-a-Service (RaaS). Funziona così: un gruppo criminale sviluppa il malware e l’infrastruttura di comando e controllo, poi “affitta” l’accesso ad affiliati che si occupano della distribuzione. Gli affiliati trattengono una percentuale del riscatto — in genere tra il 70% e l’80% — e il gruppo sviluppatore incassa il resto.

Questo modello ha abbassato drasticamente la barriera d’ingresso. Non servono competenze tecniche avanzate per condurre un attacco ransomware: serve solo accesso a una piattaforma RaaS e a un vettore di ingresso. Ed è qui che entrano in gioco le PMI.

Initial Access: come inizia davvero un attacco

La fase di initial access — l’ingresso iniziale nella rete dei target — è il collo di bottiglia di qualunque attacco. Una volta ottenuto un accesso, il resto del processo è in gran parte automatizzabile.

I vettori più sfruttati contro le PMI, in ordine di frequenza, sono:

  1. Phishing e spear phishing: Il phishing generico (email massiva con link malevolo) è ancora efficace, ma lo spear phishing è più pericoloso perché personalizzato. L’attaccante raccoglie informazioni pubbliche sull’azienda — nomi di dipendenti, fornitori, strumenti usati — e costruisce un messaggio credibile. Una finta email del commercialista, del corriere, del gestionale aziendale. Il tasso di click su questi messaggi è significativamente più alto di quanto le aziende si aspettino.
  2. Credenziali compromesse: Esiste un mercato attivo di credenziali aziendali esfiltrate da breach precedenti. Su varie piattaforme nel dark web, è possibile acquistare accessi a VPN aziendali, portali di gestione, account Microsoft 365 o Google Workspace per cifre che partono da poche decine di dollari. Se un dipendente ha riutilizzato una password compromessa in un breach precedente, quell’accesso è probabilmente già in vendita.
  3. Vulnerabilità su sistemi esposti: RDP (Remote Desktop Protocol) mal configurato, VPN con versioni firmware obsolete, applicativi web non aggiornati, sono tutti punti di ingresso noti e attivamente scansionati. Strumenti come Shodan permettono di identificare in pochi secondi tutti i servizi esposti di un’organizzazione. Lo fanno anche gli attaccanti, prima di te.
  4. Supply chain e terze parti: Un vettore spesso sottovalutato è compromettere un fornitore o un partner per poi lateralizzare verso il target reale. Se usi software gestionale di terze parti, se condividi cartelle cloud con partner, se hai accessi remoti concessi a fornitori di assistenza IT, ciascuno di questi è un potenziale punto di ingresso indiretto.
Attacco phishing in azienda come vettore di ingresso per ransomware nelle PMI

Perché le PMI sono strutturalmente più esposte

La differenza tra una grande impresa e una PMI non è solo di budget. È di struttura difensiva.

Superficie di attacco non mappata

La maggior parte delle PMI non ha un inventario aggiornato dei propri asset digitali: quali sistemi sono esposti su internet, quali versioni software sono in uso, quali utenti hanno accesso a cosa. E purtroppo, non puoi difendere quello che non sai di avere.

Assenza di segmentazione di rete

In una rete piatta — dove tutti i dispositivi comunicano liberamente tra loro — un ransomware che entra su un endpoint ha accesso potenziale all’intera infrastruttura. E la segmentazione di rete (separare workstation, server, sistemi OT, accessi remoti) è una misura fondamentale che pochissime PMI implementano.

Backup non testati o non isolati

Avere un backup non basta. Il ransomware moderno include routine specifiche per identificare ed eliminare i backup prima di cifrare i dati principali. Un backup raggiungibile dalla rete è un backup potenzialmente compromesso. I backup, quindi, devono essere isolati (offline o air-gapped) e testati regolarmente con ripristini reali.

MFA assente sui sistemi critici

L’autenticazione a più fattori su VPN, email aziendale e accessi remoti è ancora tutt’altro che universale nelle PMI italiane. Senza MFA, una credenziale compromessa è sufficiente per ottenere un accesso diretto.

Tempo di rilevazione elevato

Senza strumenti di monitoraggio — SIEM, EDR, log analysis — il tempo medio di rilevazione di una compromissione in una PMI si misura in settimane. In quel lasso di tempo, l’attaccante esplora la rete, esfiltra dati, identifica i backup e prepara il payload. E quando il ransomware viene eseguito, il danno è già fatto.

La tecnica della doppia estorsione

Il ransomware moderno non cifra soltanto i dati: prima li esfiltra. Questo meccanismo — chiamato double extortion — cambia radicalmente la struttura del ricatto.

Il processo tipico:

  1. L’attaccante ottiene l’initial access
  2. Si muove lateralmente nella rete (lateral movement) per settimane
  3. Identifica e copia i dati più sensibili verso server esterni sotto il proprio controllo
  4. Esegue il ransomware e cifra i sistemi
  5. Presenta due richieste: una per la chiave di decifratura, una per non pubblicare i dati esfiltrati

Questo significa che anche un’azienda con backup perfettamente funzionanti si trova comunque sotto ricatto per i dati già sottratti. Il problema, quindi, non è più solo il ripristino operativo — è anche la minaccia di pubblicazione di dati di clienti, contratti, e comunicazioni interne.

Per una PMI, la pubblicazione di dati di clienti può tradursi in sanzioni GDPR, perdita di fiducia commerciale, e danni reputazionali difficili da quantificare.

Computer bloccato da ransomware con richiesta di riscatto e perdita di accesso ai dati aziendali

I gruppi ransomware più attivi in Europa

Senza entrare in dettagli operativi, è utile sapere che i gruppi responsabili della maggior parte degli attacchi alle PMI europee operano con infrastrutture professionali, hanno team dedicati alla negoziazione del riscatto, e pubblicano i dati delle vittime su siti dedicati (i cosiddetti leak site) come leva di pressione.

Gruppi ransomware come LockBit e BlackCat/ALPHV hanno colpito anche organizzazioni italiane, incluse aziende di dimensioni medie, come documentato da diverse analisi e casi reali. In un contesto in cui gli attacchi sono sempre più automatizzati e su larga scala, né la dimensione, né il settore, né la nazionalità rappresentano una reale protezione.

Indicatori di compromissione da monitorare

Anche senza strumenti avanzati, esistono segnali che possono indicare una compromissione in corso prima che il ransomware venga eseguito:

  • Accessi a orari insoliti (notte, weekend) da account legittimi
  • Traffico di rete anomalo verso IP esterni non riconosciuti
  • Tentativi di accesso falliti ripetuti (brute force)
  • Disabilitazione improvvisa di antivirus o strumenti di sicurezza
  • Creazione di nuovi account con privilegi elevati
  • Accessi a volumi di dati insolitamente elevati da un singolo account

Il problema è che questi segnali sono rilevabili solo se si dispone di log centralizzati e di qualcuno — o qualcosa — che li analizza. In assenza di questo, restano invisibili.

Il costo reale di un attacco ransomware per una PMI

I numeri variano, ma alcune componenti di costo sono ricorrenti e spesso sottostimate:

Blocco operativo

Ogni giorno di inattività ha un costo diretto in mancati ricavi e costi fissi. Per molte PMI, anche 3-5 giorni di blocco hanno un impatto significativo.

Ripristino dei sistemi

Reinstallazione, riconfigurazioni, recupero dati dai backup (se disponibili e funzionanti): si misura in giorni-uomo di lavoro tecnico.

Eventuale riscatto

Le richieste verso le PMI sono tendenzialmente calibrate sul fatturato stimato dell’azienda. Tuttavia, pagare non garantisce il ripristino completo né la cancellazione dei dati esfiltrati.

Notifica GDPR

In caso di data breach, l’obbligo di notifica al Garante entro 72 ore e la comunicazione agli interessati ha costi legali, amministrativi e reputazionali.

Danno reputazionale

Difficile da quantificare, ma reale: clienti che perdono fiducia, partner che rivedono le condizioni, opportunità commerciali che non si concretizzano.

Cosa fare concretamente

Non esiste una soluzione unica, ma esistono priorità chiare per una PMI che vuole ridurre il rischio in modo strutturato:

  1. Mappare la superficie di attacco — sapere cosa è esposto e in quale stato
  2. Attivare MFA su tutti gli accessi remoti e sui servizi cloud critici
  3. Segmentare la rete — almeno separare workstation da server e da sistemi critici
  4. Implementare backup isolati e testati — verificare il ripristino, non solo l’esistenza del backup
  5. Formare gli utenti — il phishing si batte prima di tutto con la consapevolezza
  6. Attivare un minimo di monitoraggio — log centralizzati, alerting su anomalie
  7. Definire un piano di risposta — sapere cosa fare nelle prime ore fa la differenza tra un incidente gestito e una crisi

Vuoi capire davvero quanto è esposta la tua azienda?

Richiedi un assessment rapido: analizziamo accessi, vulnerabilità e punti critici prima che lo faccia un attaccante.

Richiedi un assessment

Per una visione completa su come valutare il rischio cyber nella tua azienda, leggi anche:
La mia azienda è davvero interessante per un hacker?

Tag: