Vai al contenuto

Ransomware: ondata di attacchi alle imprese italiane

Redazione Xion IT GroupransomwarebackupPMI

Giugno 2026 è stato un mese nero per le imprese italiane: oltre venti aziende sono state colpite da attacchi ransomware nel giro di poche settimane, in una tendenza che continua a crescere da anni. Dietro ogni nome in quegli elenchi ci sono produzioni ferme, ordini bloccati e trattative con i criminali. La lezione, però, è sempre la stessa: le aziende che ripartono in fretta non sono quelle “fortunate” — sono quelle che avevano un backup fatto bene.

Cosa succede davvero durante un attacco ransomware

Il copione è ormai standardizzato. I criminali entrano — quasi sempre tramite phishing, credenziali rubate o una vulnerabilità non aggiornata — e restano silenziosi anche per settimane, mappando la rete. Poi, spesso di notte o nel weekend, cifrano tutto: gestionali, documenti, archivi condivisi. Sullo schermo resta la richiesta di riscatto.

La parte meno nota è che oggi gli attaccanti cercano attivamente i backup prima di colpire: se le copie sono su un NAS collegato alla rete o su un disco USB attaccato al server, vengono cifrate insieme al resto. È il motivo per cui tante aziende con “il backup” si scoprono comunque in ginocchio.

A peggiorare il quadro c’è la doppia estorsione: prima di cifrare, i criminali copiano i dati e minacciano di pubblicarli. Questo trasforma l’incidente tecnico anche in una violazione di dati personali, con obblighi di notifica al Garante ai sensi del GDPR.

La regola 3-2-1: il backup che sopravvive

Lo standard di riferimento resta la regola 3-2-1:

È l’ultima voce a fare la differenza con il ransomware: una copia esterna e non raggiungibile dalla rete non può essere cifrata dagli attaccanti. Se poi il sistema conserva più versioni dei file, è possibile tornare allo stato precedente all’attacco anche se la cifratura è iniziata giorni prima di essere scoperta.

Altrettanto importante, e quasi sempre trascurato: il backup va provato. Un ripristino testato periodicamente è l’unica garanzia che, il giorno dell’emergenza, i dati ci siano davvero e i tempi di ripartenza siano noti.

Cosa significa per la tua azienda

Tre verifiche da fare questa settimana, non “prima o poi”:

E naturalmente, il backup è l’ultima linea: ridurre le probabilità di arrivarci richiede prevenzione a più livelli — aggiornamenti, filtri, firewall e monitoraggio.

Domande frequenti

Conviene pagare il riscatto?

No, ed è sconsigliato da tutte le autorità: non c’è garanzia di riavere i dati, si finanzia il crimine e ci si segnala come “pagatori” per attacchi futuri. Con un backup esterno versionato, la domanda nemmeno si pone.

Il cloud (OneDrive, Google Drive) è già un backup?

Solo in parte: la sincronizzazione replica anche i file cifrati dal ransomware, e la conservazione delle versioni è limitata. Serve un backup vero e proprio, separato, con politiche di versioni e conservazione pensate per il disastro, non per la comodità.

Ogni quanto va fatto il backup?

La domanda giusta è: quanti dati puoi permetterti di perdere? Per la maggior parte delle aziende la risposta è “al massimo un giorno”, il che significa backup automatico quotidiano — e per i dati critici anche più frequente.

Vuoi proteggere e far crescere l'IT della tua azienda?

Parliamone: un consulente Xion analizza gratuitamente la tua situazione.