Giugno 2026 è stato un mese nero per le imprese italiane: oltre venti aziende sono state colpite da attacchi ransomware nel giro di poche settimane, in una tendenza che continua a crescere da anni. Dietro ogni nome in quegli elenchi ci sono produzioni ferme, ordini bloccati e trattative con i criminali. La lezione, però, è sempre la stessa: le aziende che ripartono in fretta non sono quelle “fortunate” — sono quelle che avevano un backup fatto bene.
Cosa succede davvero durante un attacco ransomware
Il copione è ormai standardizzato. I criminali entrano — quasi sempre tramite phishing, credenziali rubate o una vulnerabilità non aggiornata — e restano silenziosi anche per settimane, mappando la rete. Poi, spesso di notte o nel weekend, cifrano tutto: gestionali, documenti, archivi condivisi. Sullo schermo resta la richiesta di riscatto.
La parte meno nota è che oggi gli attaccanti cercano attivamente i backup prima di colpire: se le copie sono su un NAS collegato alla rete o su un disco USB attaccato al server, vengono cifrate insieme al resto. È il motivo per cui tante aziende con “il backup” si scoprono comunque in ginocchio.
A peggiorare il quadro c’è la doppia estorsione: prima di cifrare, i criminali copiano i dati e minacciano di pubblicarli. Questo trasforma l’incidente tecnico anche in una violazione di dati personali, con obblighi di notifica al Garante ai sensi del GDPR.
La regola 3-2-1: il backup che sopravvive
Lo standard di riferimento resta la regola 3-2-1:
- 3 copie dei dati (l’originale più due backup);
- su 2 supporti diversi;
- di cui 1 fuori sede, isolata dalla rete aziendale.
È l’ultima voce a fare la differenza con il ransomware: una copia esterna e non raggiungibile dalla rete non può essere cifrata dagli attaccanti. Se poi il sistema conserva più versioni dei file, è possibile tornare allo stato precedente all’attacco anche se la cifratura è iniziata giorni prima di essere scoperta.
Altrettanto importante, e quasi sempre trascurato: il backup va provato. Un ripristino testato periodicamente è l’unica garanzia che, il giorno dell’emergenza, i dati ci siano davvero e i tempi di ripartenza siano noti.
Cosa significa per la tua azienda
Tre verifiche da fare questa settimana, non “prima o poi”:
- Dov’è fisicamente il tuo backup? Se la risposta è “sul NAS in ufficio” o “su un disco attaccato al server”, sei esposto: serve una copia fuori sede e isolata. Un servizio come XRB Remote Backup copia i dati cifrati in un data-center esterno, con versioni multiple e canone fisso.
- Quando è stato l’ultimo ripristino di prova? Se non ricordi la data, il backup è una speranza, non una strategia.
- Quanto ci metteresti a ripartire? Definisci con chi gestisce la tua IT un obiettivo concreto (un giorno? poche ore?) e verifica che l’infrastruttura lo consenta. È il tipo di analisi che facciamo nei nostri contratti di assistenza.
E naturalmente, il backup è l’ultima linea: ridurre le probabilità di arrivarci richiede prevenzione a più livelli — aggiornamenti, filtri, firewall e monitoraggio.
Domande frequenti
Conviene pagare il riscatto?
No, ed è sconsigliato da tutte le autorità: non c’è garanzia di riavere i dati, si finanzia il crimine e ci si segnala come “pagatori” per attacchi futuri. Con un backup esterno versionato, la domanda nemmeno si pone.
Il cloud (OneDrive, Google Drive) è già un backup?
Solo in parte: la sincronizzazione replica anche i file cifrati dal ransomware, e la conservazione delle versioni è limitata. Serve un backup vero e proprio, separato, con politiche di versioni e conservazione pensate per il disastro, non per la comodità.
Ogni quanto va fatto il backup?
La domanda giusta è: quanti dati puoi permetterti di perdere? Per la maggior parte delle aziende la risposta è “al massimo un giorno”, il che significa backup automatico quotidiano — e per i dati critici anche più frequente.