Molti proprietari di piccole imprese pensano ancora che gli attacchi ransomware colpiscano solo ospedali, marchi globali o infrastrutture pubbliche. In realtà, il rischio di ransomware per le piccole imprese è uno degli esempi più chiari di come gli aggressori prendano costantemente di mira organizzazioni con dati preziosi, tempo limitato e difese più deboli.

I recenti risultati del Data Breach Observatory di Proton mostrano che le PMI sono spesso vittime di violazioni. Sono inoltre rappresentate in modo sproporzionato negli incidenti più dannosi, incluse le violazioni che coinvolgono dati ad alto rischio e l’esposizione di grandi quantità di record.

Il ransomware è un problema di continuità operativa, sicurezza delle credenziali e protezione dei dati. L’indagine Cyber Security Breaches Survey del governo britannico ha rilevato che l’1% delle aziende del Regno Unito ha identificato incidenti ransomware nei 12 mesi precedenti, rispetto a meno dello 0,5% nel 2024. Su scala nazionale, ciò equivale a circa 19.000 aziende.

Nonostante l’aumento dei ransomware, il phishing è ancora il tipo più comune di cyberattacco. Gli aggressori ottengono più spesso l’accesso alle reti aziendali attraverso le persone, le credenziali e i flussi di lavoro di routine, piuttosto che attraverso cyberattacchi su larga scala. Possono essenzialmente usare un attacco di phishing per poi lanciare un attacco ransomware più grande se percepiscono un guadagno maggiore.

Per una piccola impresa, i danni da ransomware possono causare interruzioni significative alla continuità operativa. I membri del team perdono l’accesso ai file e non possono continuare il loro lavoro, le operazioni rallentano o si fermano e i clienti non ricevono servizi adeguati. Se i dati personali vengono compromessi, seguiranno obblighi di notifica. Una strategia pratica contro il ransomware per le PMI deve coprire entrambi gli aspetti di un attacco: prevenzione e recupero.

Come funziona un ransomware?

Il ransomware è un tipo di malware che ti impedisce di accedere ai dispositivi o ai dati, solitamente crittografando i file, e poi richiede un pagamento in cambio della decriptazione. In molti casi, gli aggressori ora fanno più che bloccare i file. Rubano anche i dati e minacciano di diffonderli se il riscatto non viene pagato, il che trasforma l’evento sia in una crisi di disponibilità che in una potenziale violazione dei dati.

Alle vittime viene spesso chiesto di comunicare tramite email anonime o pagine web e di pagare in criptovaluta. Per le piccole imprese, questa distinzione è importante perché la criptovaluta è anonima, decentralizzata e non regolamentata dalle istituzioni finanziarie tradizionali: è quasi impossibile rintracciare i pagamenti.

Un evento ransomware non si limita sempre alla perdita dell’accesso ai file. Può anche significare che informazioni sui clienti, dati dei dipendenti, record finanziari, contratti o credenziali di login siano già stati esfiltrati. Il ransomware può portare alla perdita del tempestivo accesso ai dati personali e, dove i backup non sono appropriati o disponibili, persino alla perdita permanente.

La catena di attacco è solitamente più ordinaria di quanto potresti aspettarti. Gli incidenti facili da ignorare che possono portare a un attacco ransomware includono:

  • L’apertura di link di phishing.
  • L’esposizione di password riutilizzate in una violazione dei dati.
  • Servizi di accesso remoto lasciati esposti.
  • Vulnerabilità note lasciate senza patch

Una volta che un aggressore ottiene l’accesso a una rete aziendale, si muove lateralmente, aumenta i privilegi, disattiva i percorsi di recupero dove possibile e distribuisce la crittografia o l’estorsione dove farà più male. Nessun singolo strumento o soluzione può prevenire gli attacchi ransomware. Al contrario, le organizzazioni devono concentrarsi sulla riduzione del numero di percorsi facili verso la propria rete.

Perché le piccole imprese sono colpite in modo sproporzionato

Le piccole imprese sono bersagli interessanti per i ransomware per un motivo semplice: conservano dati preziosi che non sono protetti come dovrebbero. Gli ultimi risultati dell’osservatorio di Proton mostrano che le PMI rappresentano il 63% delle violazioni tracciate da gennaio 2025 e più di 352 milioni di record trapelati.

Rappresentano anche il 61% delle violazioni che coinvolgono dati ad alto rischio, con le sole piccole imprese che costituiscono il 48% di quegli incidenti critici. Tra le violazioni che espongono più di 100.000 record, le PMI rappresentano il 60% e le piccole imprese il 42%.

Le piccole imprese non sono negligenti. Infatti, l’SMB Cybersecurity Report 2026 di Proton dimostra che le piccole imprese stanno cercando di migliorare la propria cybersicurezza. Il problema è che le loro difese cedono in condizioni reali. L’applicazione incoerente delle regole, l’errore umano, le abitudini di accesso condiviso e la limitata capacità di sicurezza interna sono ciò che rende le piccole imprese dei bersagli allettanti.

Nel sondaggio di Proton condotto su 3.000 leader di aziende con meno di 250 dipendenti, il 39% ha affermato che gli incidenti derivano da errori umani e il 48% ha dichiarato di non avere un gestore di password in uso.

Le aziende più grandi possono avere team di risposta dedicati, ambienti segmentati, piani di backup testati e supporto esterno per gli incidenti già pronti. Quelle più piccole hanno spesso un’unica funzione IT snella, supporto in outsourcing o nessun esperto di sicurezza dedicato. Quando l’attacco colpisce, l’azienda è costretta a prendere decisioni ad alto rischio sotto pressione operativa. Quella pressione è esattamente ciò su cui contano gli operatori di ransomware.

I punti di ingresso più comuni per i ransomware nelle PMI

Dopo aver esaminato gli studi condotti nel Regno Unito, sappiamo che il phishing rimane il principale vettore di criminalità informatica per le imprese. Ma perché? Perché il phishing è spesso il primo passo verso il furto di credenziali, la compromissione dell’account, la distribuzione di malware o l’abuso dell’accesso remoto.

Credenziali deboli o riutilizzate sono un altro grave problema. Le piccole imprese hanno spesso login condivisi, password riutilizzate su più servizi o vecchi account che rimangono attivi dopo che qualcuno cambia ruolo o se ne va. Una volta che gli aggressori ottengono un login funzionante, non hanno bisogno di hackerare gli account. Possono semplicemente accedere.

Da lì, un account amministratore mal protetto, una console cloud esposta o un punto di accesso remoto senza autenticazione a due fattori (2FA) possono diventare il ponte verso un incidente ransomware più ampio. Realisticamente, le organizzazioni devono distribuire la 2FA, l’accesso con privilegi minimi e revisioni regolari dei permessi per ridurre la facilità con cui le credenziali rubate possono essere riutilizzate e quanto lontano possa diffondersi il malware.

Il software non aggiornato è un altro punto di ingresso ricorrente. L’NCSC osserva che il ransomware viene distribuito sempre più spesso tramite servizi esposti come l’RDP o dispositivi di accesso remoto privi di patch, e raccomanda di correggere le vulnerabilità nei sistemi di accesso remoto e in quelli rivolti a internet non appena gli aggiornamenti diventano disponibili. Per le PMI, è qui che un incidente trascurato si trasforma silenziosamente in una superficie di attacco.

Come proteggersi dal ransomware: un approccio stratificato

Non esiste un singolo controllo in grado di prevenire il ransomware. L’approccio più efficace è stratificato e pratico.

Inizia con la gestione delle identità

I dati negli account dei membri del team necessitano di una protezione accurata per respingere gli attacchi ransomware. Rendi obbligatoria l’autenticazione a due fattori, ove possibile, in tutti gli account critici per l’azienda, in particolare email, strumenti di amministrazione, archiviazione cloud, piattaforme finanziarie, punti di accesso remoto e qualsiasi sistema che memorizzi dati personali dei clienti o altre informazioni di identificazione personale (PII) sensibili.

Migliora l’igiene delle password

Gli aggressori non sempre violano gli account. Spesso accedono con credenziali rubate o riutilizzate. Ogni account aziendale deve avere una password unica e robusta, e l’accesso condiviso dovrebbe essere sostituito con una condivisione delle credenziali gestita e sicura tramite un gestore di password aziendale, piuttosto che attraverso fogli di calcolo, chat o email.

Il rapporto di Proton sulle PMI evidenzia che anche le aziende che dispongono di strumenti adeguati ricadono spesso in abitudini insicure di condivisione delle password. È esattamente qui che un gestore di password aziendale sicuro come Proton Pass for Business può ridurre i rischi: aiuta i team a creare credenziali forti e uniche, a conservarle in modo sicuro e a condividere l’accedere in modo controllato e protetto.

La gestione delle patch deve essere rigorosa

Gli aggiornamenti di sicurezza per sistemi operativi, app, VPN, strumenti di accesso remoto e dispositivi perimetrali dovrebbero essere trattati come elementi essenziali per l’operatività, non come manutenzione facoltativa. Installa gli aggiornamenti di sicurezza non appena possibile e attiva gli aggiornamenti automatici dove fattibile.

Protezione web e della posta robusta

Il filtraggio della posta, i controlli sugli allegati, il blocco dei siti dannosi noti e le protezioni per la navigazione sicura riducono la probabilità che il ransomware venga consegnato in primo luogo. Poiché il phishing è così comune, questi controlli sono essenziali.

Affronta l’errore umano

Anche dopo aver implementato misure di sicurezza e una Policy sulle password, la formazione sulla consapevolezza della sicurezza è comunque necessaria. La formazione aiuta il personale a individuare email sospette e tentativi di social engineering, ma le persone commetteranno comunque errori.

Strumenti o funzionalità più forti e controlli di accesso dovrebbero presupporre che ciò accada. L’NCSC raccomanda esplicitamente la formazione sulla consapevolezza, ma la ricerca di Proton sottolinea anche che la formazione da sola non intercetta ogni svista. Un buon design della sicurezza riduce i danni quando qualcuno fa clic, rendendo meno probabile che un singolo errore diventi un incidente su vasta scala, sia attraverso la 2FA, l’accesso con privilegi minimi, protezioni email più forti, l’accesso segmentato o backup testati che supportano il recupero.

Proteggi il recupero prima di averne bisogno

I backup devono essere regolari, isolati e testati. L’ICO raccomanda l’approccio 3-2-1: tre copie, su due dispositivi diversi, con una archiviata fuori sede. L’NCSC aggiunge un importante avviso operativo: il ransomware potrebbe essersi infiltrato nel tuo ambiente prima di essere scoperto, quindi i backup dovrebbero essere scansionati prima del ripristino e i sistemi di backup stessi dovrebbero essere protetti.

Il legame con le credenziali: perché le password contano ancora nella difesa dal ransomware

È facile pensare al ransomware come a un semplice malware e dimenticare che le password giocano un ruolo fondamentale in un attacco andato a buon fine. Molti incidenti ransomware iniziano con il furto, il riutilizzo o l’abuso dei login.

Ciò potrebbe significare un membro del personale che riutilizza una password di un altro servizio, l’account di un ex collaboratore rimasto attivo, una credenziale di amministratore condivisa tra più persone o un punto di accesso remoto esposto protetto solo da una password. Ognuna di queste scorciatoie amplia la superficie di attacco.

Questo è uno dei motivi per cui una solida gestione delle credenziali deve far parte di ogni piano di recupero dal ransomware e di ogni framework di prevenzione. Password uniche per ogni servizio riducono il raggio d’azione di un login rubato. L’MFA rende quella password rubata meno utile se usata da sola, mentre l’archiviazione centralizzata delle credenziali elimina la necessità di soluzioni alternative non sicure.

Condivisione sicura significa che i dipendenti ottengono l’accedere di cui hanno bisogno attraverso metodi controllati e tracciabili anziché tramite la condivisione informale delle password. Una revisione regolare di chi ha l’accedere a cosa supporta anche il principio del privilegio minimo, che l’NCSC raccomanda per limitare i movimenti laterali e la diffusione.

Abbiamo scritto ampiamente sulle minacce ransomware che le PMI devono affrontare. Più volte notiamo la stessa cosa: gli aggressori cercano sempre più le aziende più facili da colpire, non solo quelle con i nomi più grandi.

Cosa fare se la tua piccola impresa viene colpita

1. Contieni l’incidente

Se la tua azienda viene colpita, la tua priorità assoluta è il contenimento. Disconnetti i dispositivi infetti dalla rete, disattiva gli account compromessi se riesci a identificarli, isola i percorsi di accesso remoto, conserva le prove ed evita di pulire i sistemi troppo rapidamente se potresti aver bisogno di supporto forense in seguito.

2. Segnala l’incidente

L’NCSC consiglia alle organizzazioni del Regno Unito di segnalare gli incidenti e fornisce una guida dedicata ai ransomware per la risposta e il recupero. Anche la guida di Proton alla risposta agli incidenti è un utile riferimento per strutturare il più ampio processo decisionale in materia di contenimento, indagine, comunicazione e recupero.

3. Non pagare il riscatto

L’NCSC e le forze dell’ordine del Regno Unito non incoraggiano, approvano o condonano il pagamento di riscatti. Sottolineano che non vi è alcuna garanzia di recuperare l’accesso, che i sistemi potrebbero essere ancora infetti, che finanzieresti gruppi criminali e che potresti avere maggiori probabilità di essere preso di mira nuovamente.

L’ICO è altrettanto chiara sul fatto che pagare un riscatto non riduce il rischio per le persone e non salvaguarda le informazioni. Anche se viene offerta una chiave di decriptazione, non c’è garanzia che funzioni o che i dati rubati non subiscano comunque una perdita.

4. Inizia il recupero

Il recupero dovrebbe concentrarsi su un ripristino lento e sicuro. Ciò significa ricostruire da backup puliti, convalidare che il percorso d’attacco sia stato chiuso, ruotare le credenziali colpite, riabilitare l’accesso con attenzione e documentare l’accaduto. Se i backup sono connessi a sistemi attivi o non sono stati testati, è spesso qui che le aziende scoprono un secondo guasto dopo il primo. Un buon piano di recupero dai ransomware inizia molto prima che si verifichi un incidente.

Obblighi di segnalazione nel Regno Unito: quando potrebbe essere necessario il coinvolgimento dell’ICO

Se un incidente ransomware colpisce i dati personali, potrebbe trattarsi di una violazione dei dati personali ai sensi del GDPR del Regno Unito. L’ICO spiega che la perdita di accesso ai dati personali può costituire di per sé una violazione laddove crei un rischio per gli individui, e che devi notificare l’ICO senza indebito ritardo e, ove possibile, entro 72 ore se è probabile che la violazione comporti un rischio per i diritti e le libertà delle persone. Se il rischio è elevato, anche le persone interessate potrebbero dover essere informate senza indebito ritardo.

Alcune organizzazioni presumono ancora che se ripristinano i sistemi rapidamente o se non c’è una perdita pubblica evidente, la segnalazione non sia necessaria. Questa non è un’ipotesi sicura. La guida ai ransomware dell’ICO affronta esplicitamente gli scenari di notifica delle violazioni e chiarisce che la valutazione dipende dal rischio per gli individui, non solo dal fatto che i file rubati siano già apparsi online.

Il ransomware è ora un problema per le PMI

Le piccole imprese vengono colpite da attacchi ransomware sempre più frequentemente e, quando accade, l’impatto può essere grave perché gli aggressori sfruttano le loro debolezze. Gli ultimi dati sulle violazioni di Proton lo rendono evidente: la minaccia è misurabile, in crescita e operativamente distruttiva.

La buona notizia è che le basi possono fare gran parte del lavoro pesante per qualsiasi PMI. Misure come l’uso di un gestore di password aziendale per distribuire la 2FA e creare credenziali uniche, l’applicazione di patch, il filtraggio della posta, la sensibilizzazione del personale, la revisione dei permessi, i backup testati e la pianificazione della risposta agli incidenti possono non sembrare appariscenti di per sé, ma insieme fanno una differenza significativa. Riducono le probabilità che una singola password rubata, un’email di phishing o un servizio remoto esposto si trasformino in un’interruzione a livello aziendale.