{"id":52,"date":"2026-06-11T08:38:21","date_gmt":"2026-06-11T08:38:21","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/11\/ransomware-italia-clusit-2026\/"},"modified":"2026-06-11T08:38:21","modified_gmt":"2026-06-11T08:38:21","slug":"ransomware-italia-clusit-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/11\/ransomware-italia-clusit-2026\/","title":{"rendered":"Ransomware Italia: 166 Casi, +14% e 507 Attacchi [2026]"},"content":{"rendered":"\n

Il ransomware in Italia<\/strong> non rallenta. Il Rapporto Clusit 2026, pubblicato ad aprile, conta 507 incidenti gravi censiti nel Paese nel corso del 2025, con una crescita del 42% rispetto all’anno precedente. A confermare la pressione arriva la seconda edizione del Cyber Security Report di TIM e Format Research, diffusa il 9 giugno 2026, che registra 166 casi ransomware sul territorio nazionale, in aumento del 14%. L’Italia pesa ormai per il 9,6% di tutti gli attacchi informatici gravi rilevati a livello globale, una quota sproporzionata rispetto al peso economico e demografico del Paese.<\/p>\n\n\n\n

Questi numeri raccontano una trasformazione strutturale del rischio cyber italiano. Le aziende del Nord-Ovest, la pubblica amministrazione e il manifatturiero sono diventati bersagli sistematici, mentre la direttiva NIS2 entra nel vivo con sanzioni che possono arrivare a 10 milioni di euro. Questa analisi raccoglie i dati verificati delle principali fonti del 2025-2026, confronta l’Italia con il resto d’Europa e prova a leggere dove andr\u00e0 la minaccia nei prossimi diciotto mesi.<\/p>\n\n\n\n

Ransomware in Italia: i numeri del 2025 che allarmano l’Europa<\/h2>\n\n\n\n

Il 2025 si chiude come l’anno peggiore mai registrato per la sicurezza informatica italiana. Secondo il Rapporto Clusit 2026, gli incidenti gravi a livello mondiale hanno toccato quota 5.265, con un balzo del 48,7% rispetto al 2024. L’Italia, da sola, ha assorbito il 9,6% di questo totale, una concentrazione che colloca il Paese tra i pi\u00f9 bersagliati al mondo in rapporto alle dimensioni della sua economia digitale.<\/p>\n\n\n\n

La media mensile degli attacchi gravi diretti contro organizzazioni italiane \u00e8 passata da 171 nel 2021 a 439 nel 2025. In cinque anni la frequenza \u00e8 cresciuta del 256%. Non si tratta pi\u00f9 di episodi sporadici ma di un flusso continuo che colpisce ogni settimana decine di realt\u00e0 pubbliche e private. Il ransomware in Italia<\/strong> rappresenta la punta pi\u00f9 visibile e costosa di questo fenomeno, perch\u00e9 blocca la produzione, sottrae dati sensibili e impone trattative con criminali che operano spesso da Paesi fuori dalla portata della magistratura europea.<\/p>\n\n\n\n

La fotografia del primo semestre 2025 aiuta a capire la dinamica. Clusit ha censito 2.755 incidenti gravi nel mondo nei primi sei mesi dell’anno, con un incremento del 36% sul semestre precedente. La quota italiana \u00e8 salita al 10,2%, segnale che la pressione sul Paese cresce pi\u00f9 velocemente della media globale. Gli attacchi informatici contro target italiani non solo aumentano in numero assoluto, ma guadagnano peso relativo nello scenario internazionale.<\/p>\n\n\n\n

Il Rapporto Clusit 2026: 507 incidenti gravi e una crescita del 42%<\/h2>\n\n\n\n

Clusit, l’Associazione Italiana per la Sicurezza Informatica, pubblica da anni il documento di riferimento per chi vuole capire l’andamento della minaccia nel Paese. L’edizione 2026, presentata in occasione del Security Summit, fissa a 507 il numero di incidenti gravi registrati in Italia nel 2025. Il dato segna un aumento del 42% rispetto al 2024 e rappresenta il 35% di tutti gli incidenti gravi rilevati contro organizzazioni italiane nel quinquennio 2021-2025, pari a 1.432 casi complessivi.<\/p>\n\n\n\n

La crescita non \u00e8 uniforme tra i settori. Il manifatturiero, cuore dell’economia italiana, risulta tra i comparti pi\u00f9 colpiti e segna a livello globale un aumento del 79% degli attacchi. Il settore ICT cresce del 46%, quello finanziario e assicurativo del 27%, mentre i servizi professionali, scientifici e tecnici registrano un balzo del 91%. La sanit\u00e0, gi\u00e0 fragile per la diffusione di dispositivi medici connessi e cartelle cliniche elettroniche, vede gli attacchi aumentare del 19% su scala mondiale.<\/p>\n\n\n\n

Va letta con attenzione la composizione delle minacce. Nel primo semestre 2025, malware e ransomware hanno rappresentato il 20% degli incidenti italiani, in calo relativo rispetto agli anni precedenti. Questo non significa che la minaccia ransomware si stia riducendo, ma che altre tipologie, in particolare gli attacchi DDoS legati all’hacktivism, stanno crescendo ancora pi\u00f9 rapidamente, gonfiando il denominatore e diluendo in percentuale il peso del ransomware.<\/p>\n\n\n\n

Il report TIM-Format Research: 166 casi e il Nord-Ovest nel mirino<\/h2>\n\n\n\n

La seconda edizione del Cyber Security Report firmato TIM e Format Research, uscita il 9 giugno 2026, aggiunge un livello di dettaglio territoriale che il quadro Clusit lascia in secondo piano. Il report conta 166 casi ransomware in Italia nel 2025, con una crescita del 14% sull’anno precedente. A livello globale, lo stesso documento misura un aumento del 42% degli attacchi ransomware, segno che la pressione internazionale corre pi\u00f9 veloce di quella domestica ma che l’Italia resta saldamente nel mirino.<\/p>\n\n\n\n

La distribuzione geografica \u00e8 il dato pi\u00f9 rivelatore. Circa quattro incidenti su dieci si concentrano nel Nord-Ovest, l’area a maggiore densit\u00e0 industriale del Paese. La sola Lombardia assorbe oltre il 30% del totale nazionale. La geografia del ransomware ricalca la geografia della ricchezza produttiva: dove ci sono fabbriche, fornitori e propriet\u00e0 intellettuale di valore, l\u00ec si concentrano gli attacchi informatici a scopo estorsivo.<\/p>\n\n\n\n

NIS2: solo il 3,9% delle aziende la conosce davvero<\/h3>\n\n\n\n

Il report TIM-Format Research dedica una sezione alla consapevolezza della direttiva NIS2. I risultati sono preoccupanti. Interrogate spontaneamente, il 62,2% delle imprese dichiara di conoscere la normativa, ma scavando si scopre che solo il 24,5% afferma una conoscenza almeno parziale e appena il 3,9% sostiene di avere una conoscenza dettagliata degli obblighi. Il 13,3% non sa nemmeno dire con certezza se conosce o meno la direttiva. Questo divario tra percezione e competenza reale \u00e8 una delle vulnerabilit\u00e0 pi\u00f9 gravi del tessuto produttivo italiano.<\/p>\n\n\n\n

ACN: 1.253 eventi nel secondo semestre, +30% in un anno<\/h2>\n\n\n\n

L’Agenzia per la Cybersicurezza Nazionale offre la prospettiva istituzionale. Secondo i dati ACN, nel secondo semestre del 2025 sono stati contati 1.253 eventi cyber, in crescita del 30% rispetto allo stesso periodo del 2024. L’Agenzia, guidata dal prefetto Bruno Frattasi, coordina la risposta nazionale agli incidenti e gestisce il recepimento della direttiva NIS2 attraverso il decreto legislativo 138\/2024.<\/p>\n\n\n\n

Un dato controintuitivo emerge dalle rilevazioni: la tecnica “Data Encrypted for Impact”, ossia la cifratura dei dati a fini estorsivi, \u00e8 calata del 38% nel 2025. La spiegazione non \u00e8 una buona notizia. Molte gang hanno abbandonato la cifratura pura in favore della doppia o tripla estorsione, dove il furto e la minaccia di pubblicazione dei dati contano pi\u00f9 del blocco operativo. I criminali rubano le informazioni e minacciano di diffonderle, una leva che funziona anche contro le aziende che hanno backup efficienti e possono ripristinare i sistemi senza pagare.<\/p>\n\n\n\n

I dati aggregati da societ\u00e0 come Cyble e ReliaQuest indicano oltre 4.700 attacchi ransomware rivendicati nel mondo nel 2025. Il panorama si \u00e8 frammentato: alla caduta di alcuni gruppi storici \u00e8 seguita la nascita di almeno dieci nuove formazioni, segno di un ecosistema criminale resiliente che si rigenera ogni volta che le forze dell’ordine smantellano un’infrastruttura.<\/p>\n\n\n\n

I settori pi\u00f9 colpiti: pubblica amministrazione, manifatturiero e sanit\u00e0<\/h2>\n\n\n\n

La distribuzione settoriale del rischio italiano nel primo semestre 2025 mostra una netta prevalenza del comparto pubblico. Governo e difesa raccolgono il 38% degli incidenti, trasporti e logistica il 17%, manifatturiero il 13%. La pubblica amministrazione \u00e8 esposta soprattutto alle campagne di hacktivism, mentre il manifatturiero attira il cybercrime per il valore della propriet\u00e0 intellettuale e per la convergenza tra reti informatiche (IT) e reti industriali (OT), spesso meno protette.<\/p>\n\n\n\n

Settore<\/th>Quota incidenti Italia (1\u00b0 sem. 2025)<\/th>Trend globale 2025<\/th><\/tr><\/thead>
Governo e difesa<\/td>38%<\/td>In forte crescita<\/td><\/tr>
Trasporti e logistica<\/td>17%<\/td>In crescita<\/td><\/tr>
Manifatturiero<\/td>13%<\/td>+79%<\/td><\/tr>
ICT<\/td>Rilevante<\/td>+46%<\/td><\/tr>
Servizi professionali<\/td>Rilevante<\/td>+91%<\/td><\/tr>
Sanit\u00e0<\/td>Crescente<\/td>+19%<\/td><\/tr>
Finanza e assicurazioni<\/td>Crescente<\/td>+27%<\/td><\/tr><\/tbody><\/table>
Settori pi\u00f9 colpiti in Italia e relativo trend globale. Fonte: Rapporto Clusit 2026.<\/figcaption><\/figure>\n\n\n\n

La sanit\u00e0 merita un’attenzione particolare. Ospedali e aziende sanitarie locali gestiscono dati sensibilissimi e operano con margini che non tollerano interruzioni. Un attacco ransomware che blocca un pronto soccorso o un sistema di refertazione mette a rischio vite umane, e questo rende le strutture sanitarie bersagli ad alto valore di ricatto. La crescita del 19% degli attacchi al settore conferma una tendenza globale a cui l’Italia non sfugge.<\/p>\n\n\n\n

Le nuove gang ransomware del 2025<\/h2>\n\n\n\n

Il 2025 ha visto l’ingresso di almeno dieci nuove formazioni criminali nel panorama ransomware. Questa proliferazione \u00e8 la diretta conseguenza del modello Ransomware-as-a-Service, in cui sviluppatori esperti affittano il malware ad affiliati che eseguono gli attacchi in cambio di una percentuale sui riscatti. Quando un gruppo viene smantellato dalle forze dell’ordine, i suoi affiliati migrano rapidamente verso nuove insegne, ricostruendo in poche settimane la capacit\u00e0 offensiva.<\/p>\n\n\n\n

Nuova gang 2025<\/th>Caratteristica nota<\/th><\/tr><\/thead>
Devman<\/td>Nuovo operatore RaaS emerso nel 2025<\/td><\/tr>
DireWolf<\/td>Focus su doppia estorsione<\/td><\/tr>
NOVA<\/td>Affiliati provenienti da gruppi smantellati<\/td><\/tr>
Warlock<\/td>Attivo contro target enterprise<\/td><\/tr>
BEAST<\/td>Cifratura rapida multipiattaforma<\/td><\/tr>
Sinobi<\/td>Operatore emergente del 2025<\/td><\/tr>
NightSpire<\/td>Specializzato in furto dati<\/td><\/tr>
Reynolds<\/td>Nuovo brand del panorama estorsivo<\/td><\/tr><\/tbody><\/table>
Selezione delle nuove gang ransomware emerse nel 2025. Fonte: analisi su dati Cyble e ReliaQuest.<\/figcaption><\/figure>\n\n\n\n

La frammentazione complica il lavoro dei difensori. Ogni nuovo gruppo introduce varianti del malware, infrastrutture di comando e controllo differenti e modelli di negoziazione propri. Gli indicatori di compromissione che funzionavano contro una gang diventano inutili contro la successiva. Per questo le aziende italiane non possono pi\u00f9 affidarsi a difese statiche basate su firme note, ma devono adottare un approccio comportamentale che rilevi le anomalie indipendentemente dal nome dell’aggressore.<\/p>\n\n\n\n

Quanto costa un attacco: riscatti, IBM e impatto economico<\/h2>\n\n\n\n

Il costo del ransomware non si misura solo nel riscatto. Secondo il benchmark sui pagamenti relativo al secondo trimestre 2025, il pagamento medio si \u00e8 attestato a 1,13 milioni di dollari e quello mediano a 400.000 dollari, con la media in aumento del 104% rispetto al trimestre precedente. Il salto evidenzia come i criminali stiano colpendo bersagli sempre pi\u00f9 grandi e capaci di pagare cifre elevate.<\/p>\n\n\n\n

Il quadro economico complessivo arriva dal report IBM Cost of a Data Breach 2025. Il costo medio globale di una violazione \u00e8 sceso a 4,44 milioni di dollari, in calo del 9% rispetto ai 4,88 milioni del 2024. \u00c8 il primo calo in cinque anni, attribuito a tempi di identificazione e contenimento pi\u00f9 rapidi grazie all’automazione difensiva. Negli Stati Uniti, per\u00f2, il costo medio resta altissimo, a 10,22 milioni di dollari. L’Italia figura tra i Paesi in cui i costi sono diminuiti in modo significativo, anche se IBM non fornisce un dato nazionale puntuale.<\/p>\n\n\n\n

Metrica<\/th>Valore 2025<\/th>Variazione<\/th><\/tr><\/thead>
Costo medio violazione (globale)<\/td>4,44 mln $<\/td>-9% sul 2024<\/td><\/tr>
Costo medio violazione (USA)<\/td>10,22 mln $<\/td>Stabile elevato<\/td><\/tr>
Pagamento riscatto medio (Q2 2025)<\/td>1,13 mln $<\/td>+104% sul trimestre<\/td><\/tr>
Pagamento riscatto mediano (Q2 2025)<\/td>400.000 $<\/td>In crescita<\/td><\/tr>
Attacchi ransomware mondiali rivendicati<\/td>oltre 4.700<\/td>In aumento<\/td><\/tr><\/tbody><\/table>
Impatto economico di violazioni e ransomware nel 2025. Fonti: IBM Cost of a Data Breach 2025, dati Cyble\/ReliaQuest.<\/figcaption><\/figure>\n\n\n\n

Per un’azienda italiana media il conto reale somma riscatto, fermo produttivo, costi di ripristino, consulenze legali, notifiche al Garante e danno reputazionale. Anche chi non paga il riscatto sostiene spese che possono superare il milione di euro tra interruzione dell’attivit\u00e0 e bonifica dei sistemi. Il calcolo costi-benefici della prevenzione, a fronte di queste cifre, pende nettamente a favore degli investimenti in sicurezza.<\/p>\n\n\n\n

NIS2 in Italia: scadenze, sanzioni fino a 10 milioni e scarsa consapevolezza<\/h2>\n\n\n\n

La direttiva NIS2, recepita in Italia con il decreto legislativo 138\/2024, ridisegna gli obblighi di sicurezza per migliaia di organizzazioni. La normativa distingue tra soggetti essenziali e soggetti importanti, imponendo a entrambi misure di gestione del rischio, obblighi di notifica degli incidenti e responsabilit\u00e0 diretta degli organi di amministrazione. L’ACN gestisce il registro dei soggetti obbligati e vigila sull’applicazione.<\/p>\n\n\n\n

Le sanzioni sono il vero deterrente. I soggetti essenziali rischiano multe fino a 10 milioni di euro o al 2% del fatturato annuo mondiale, a seconda di quale importo sia maggiore. Per i soggetti importanti il tetto scende a 7 milioni di euro o all’1,4% del fatturato globale. A differenza del passato, la direttiva chiama in causa direttamente i vertici aziendali, che possono rispondere personalmente delle violazioni degli obblighi di sicurezza.<\/p>\n\n\n\n

Il problema, come mostra il report TIM-Format Research, \u00e8 che la consapevolezza resta bassa. Con solo il 3,9% delle imprese che dichiara una conoscenza dettagliata della normativa, esiste un divario enorme tra l’obbligo giuridico e la capacit\u00e0 reale di rispettarlo. Molte aziende scopriranno di essere soggetti obbligati solo quando riceveranno la prima richiesta dell’Agenzia o, peggio, dopo un incidente. La compliance NIS2 non \u00e8 un adempimento burocratico: \u00e8 la traduzione operativa di anni di lezioni apprese sul campo dei data breach<\/a>.<\/p>\n\n\n\n

Hacktivism e DDoS: il 54% degli attacchi italiani<\/h2>\n\n\n\n

Accanto al cybercrime estorsivo cresce una minaccia diversa per natura e movente. Nel primo semestre 2025, la matrice degli attacchi italiani si divide tra 54% hacktivism e 46% cybercrime. L’hacktivism, spesso di matrice filo-russa, punta a colpire l’immagine e l’operativit\u00e0 delle istituzioni pi\u00f9 che a estorcere denaro. La tecnica dominante \u00e8 il DDoS, impiegato nel 54% dei casi italiani, che satura i server e rende irraggiungibili siti e servizi.<\/p>\n\n\n\n

Gi\u00e0 a gennaio 2025 gruppi filo-russi avevano rivendicato attacchi contro siti governativi italiani, colpendo ministeri, servizi pubblici e piattaforme di trasporto in citt\u00e0 come Roma e Palermo. Questi attacchi raramente provocano danni permanenti, ma hanno un alto valore propagandistico e mettono sotto pressione i team di difesa, costretti a distogliere risorse dalla protezione contro minacce pi\u00f9 insidiose come il ransomware. La sovrapposizione tra hacktivism rumoroso e cybercrime silenzioso \u00e8 una delle complessit\u00e0 che rendono il 2026 particolarmente difficile da gestire.<\/p>\n\n\n\n

L’attacco alla Commissione europea e il contesto continentale<\/h2>\n\n\n\n

L’Italia non \u00e8 un’isola. Il 24 marzo 2026 la Commissione europea ha dichiarato di essere stata bersaglio di un attacco informatico che ha colpito l’infrastruttura cloud su cui gira la piattaforma web Europa. L’episodio dimostra che nemmeno le istituzioni pi\u00f9 centrali del continente sono immuni, e che la superficie di attacco si \u00e8 spostata verso i servizi cloud condivisi, dove una singola compromissione pu\u00f2 avere effetti a cascata su decine di enti.<\/p>\n\n\n\n

A gennaio 2026, secondo i tracker internazionali, l’operazione “Neusploit” ha colpito Paesi dell’Europa centrale e orientale con una catena d’infezione multi-stadio. Sul fronte industriale, il 10 febbraio 2026 la Commissione ha approvato senza condizioni l’acquisizione da 32 miliardi di dollari della societ\u00e0 di sicurezza Wiz da parte di Google, segnale del consolidamento accelerato del mercato cybersecurity. Per approfondire le minacce a livello UE \u00e8 utile leggere la nostra analisi dell’attacco Ivanti che ha colpito l’Unione europea<\/a>.<\/p>\n\n\n\n

Confronto con l’Europa: Italia al 9,6% degli attacchi globali<\/h2>\n\n\n\n

Il dato che meglio inquadra la posizione italiana \u00e8 la quota del 9,6% sugli incidenti gravi mondiali. Per un Paese che rappresenta circa il 2% della popolazione globale e una frazione analoga del PIL mondiale, assorbire quasi un decimo degli attacchi gravi \u00e8 un’anomalia. Le ragioni sono molteplici: un tessuto di piccole e medie imprese spesso poco protette, una pubblica amministrazione digitalizzata ma frammentata, e una forte esposizione alle campagne di hacktivism geopolitico.<\/p>\n\n\n\n

Indicatore<\/th>Italia 2025<\/th>Mondo 2025<\/th><\/tr><\/thead>
Incidenti gravi totali<\/td>507<\/td>5.265<\/td><\/tr>
Crescita su 2024<\/td>+42%<\/td>+48,7%<\/td><\/tr>
Quota incidenti globali<\/td>9,6%<\/td>100%<\/td><\/tr>
Media mensile attacchi (Italia)<\/td>439<\/td>n.d.<\/td><\/tr>
Crescita media mensile 2021-2025<\/td>+256%<\/td>n.d.<\/td><\/tr>
Casi ransomware (TIM-Format)<\/td>166 (+14%)<\/td>+42%<\/td><\/tr><\/tbody><\/table>
Confronto Italia-mondo sugli indicatori chiave 2025. Fonti: Rapporto Clusit 2026, Cyber Security Report TIM-Format Research 2026.<\/figcaption><\/figure>\n\n\n\n

Il confronto con altri Paesi europei mostra dinamiche simili. La Germania ha visto crescere gli attacchi nel cosiddetto spazio DACH, il Portogallo registra oltre 2.400 attacchi a settimana, e l’intera Unione europea genera pi\u00f9 attacchi cybercrime degli Stati Uniti. L’Italia si inserisce in questo quadro come uno dei bersagli pi\u00f9 esposti, ma con un ritardo strutturale negli investimenti in sicurezza che la rende pi\u00f9 vulnerabile della media continentale.<\/p>\n\n\n\n

Cosa dicono gli esperti di sicurezza informatica<\/h2>\n\n\n\n

Gabriele Faggioli, presidente di Clusit, da anni richiama l’attenzione sul carattere ormai strutturale della minaccia. “I dati confermano che non siamo davanti a un’emergenza temporanea ma a una condizione permanente”, \u00e8 la lettura che emerge dal rapporto. “Le organizzazioni italiane devono passare da un approccio reattivo a una postura di sicurezza continua, integrata nei processi di business.”<\/p>\n\n\n\n

Sofia Scozzari, tra le curatrici delle analisi sui dati del rapporto, sottolinea la velocit\u00e0 del cambiamento. “La crescita del 42% in un solo anno non ha precedenti e riflette l’industrializzazione del crimine informatico”, \u00e8 il senso del suo commento. “Gli attaccanti automatizzano, collaborano e si specializzano, mentre molte aziende restano ferme a difese pensate per uno scenario superato.”<\/p>\n\n\n\n

Sul piano istituzionale, l’ACN guidata dal prefetto Bruno Frattasi insiste sul fattore umano e organizzativo. La consapevolezza diffusa, pi\u00f9 ancora della tecnologia, \u00e8 il punto debole del sistema-Paese. Quando solo il 3,9% delle imprese conosce in dettaglio la NIS2, il problema non \u00e8 la mancanza di strumenti ma la capacit\u00e0 di usarli. Analisti indipendenti come Pierluigi Paganini aggiungono che la migrazione verso la doppia estorsione rende obsoleti i backup come unica linea di difesa: servono cifratura dei dati a riposo e segmentazione delle reti per ridurre il valore di ci\u00f2 che gli attaccanti riescono a esfiltrare.<\/p>\n\n\n\n

Previsioni 2026-2027: dove andr\u00e0 la minaccia<\/h2>\n\n\n\n

Sulla base dei dati raccolti \u00e8 possibile delineare cinque traiettorie per i prossimi diciotto mesi. Prima previsione: il numero di incidenti gravi in Italia superer\u00e0 i 600 entro fine 2026, proseguendo la traiettoria di crescita a doppia cifra osservata negli ultimi cinque anni. La media mensile, gi\u00e0 a 439 nel 2025, si avviciner\u00e0 a 500.<\/p>\n\n\n\n

Seconda previsione: la doppia e tripla estorsione diventeranno il modello dominante, mentre la cifratura pura continuer\u00e0 a calare. I criminali punteranno sempre pi\u00f9 sul furto e sulla minaccia di pubblicazione, rendendo i backup necessari ma non sufficienti. Terza previsione: l’intelligenza artificiale generativa accelerer\u00e0 sia gli attacchi, con phishing e malware pi\u00f9 sofisticati, sia le difese, con sistemi di rilevamento autonomo che riducono i tempi di contenimento come gi\u00e0 osservato nel calo dei costi IBM.<\/p>\n\n\n\n

Quarta previsione: le prime sanzioni NIS2 significative arriveranno entro il 2027, spingendo le aziende ritardatarie a investire sotto la pressione del rischio legale pi\u00f9 che di quello tecnico. Quinta previsione: il manifatturiero del Nord-Ovest rester\u00e0 il bersaglio prioritario, con la Lombardia stabilmente sopra il 30% dei casi nazionali, mentre la sanit\u00e0 emerger\u00e0 come il settore a pi\u00f9 rapida crescita di attacchi per il valore dei dati e la bassa tolleranza ai fermi operativi.<\/p>\n\n\n\n

Come proteggersi: raccomandazioni per le aziende italiane<\/h2>\n\n\n\n

La difesa contro il ransomware nel 2026 richiede un approccio a pi\u00f9 livelli. Il primo passo \u00e8 la segmentazione della rete, che impedisce a un attacco di propagarsi liberamente una volta superato il perimetro. Segue l’autenticazione a pi\u00f9 fattori su tutti gli accessi, in particolare quelli remoti e amministrativi, che restano il vettore d’ingresso pi\u00f9 sfruttato. La gestione tempestiva delle patch chiude le vulnerabilit\u00e0 note prima che vengano sfruttate, come ricordano i casi delle grandi falle del 2025-2026.<\/p>\n\n\n\n

Sul fronte dei dati, la cifratura a riposo riduce il valore di ci\u00f2 che gli attaccanti possono esfiltrare, mentre backup immutabili e testati garantiscono il ripristino senza pagare riscatti. La formazione del personale resta decisiva: la maggior parte degli attacchi inizia con un errore umano, e riconoscere un tentativo di phishing nel browser<\/a> \u00e8 una competenza che va coltivata con esercitazioni regolari. Infine, un piano di risposta agli incidenti scritto, provato e aggiornato fa la differenza tra un fermo di poche ore e una crisi di settimane.<\/p>\n\n\n\n

Guardando pi\u00f9 lontano, le aziende dovrebbero iniziare a valutare l’impatto della crittografia post-quantistica<\/a> sui propri sistemi, perch\u00e9 la transizione richieder\u00e0 anni e i dati esfiltrati oggi potrebbero essere decifrati domani. La sicurezza non \u00e8 un prodotto da acquistare una volta, ma un processo da mantenere nel tempo, integrato nella governance aziendale cos\u00ec come previsto dalla direttiva NIS2.<\/p>\n\n\n\n

Domande frequenti sul ransomware in Italia<\/h2>\n\n\n\n

Quanti attacchi ransomware ci sono stati in Italia nel 2025?<\/h3>\n\n\n\n

Secondo il Cyber Security Report TIM-Format Research del giugno 2026, in Italia si sono registrati 166 casi ransomware nel 2025, in aumento del 14% rispetto all’anno precedente. Il Rapporto Clusit 2026 conta complessivamente 507 incidenti gravi di tutte le tipologie, con una crescita del 42%.<\/p>\n\n\n\n

Quali settori sono pi\u00f9 colpiti dal ransomware in Italia?<\/h3>\n\n\n\n

I settori pi\u00f9 colpiti sono governo e difesa (38% degli incidenti nel primo semestre 2025), trasporti e logistica (17%) e manifatturiero (13%). La sanit\u00e0 \u00e8 il comparto a pi\u00f9 rapida crescita, con attacchi in aumento del 19% a livello globale.<\/p>\n\n\n\n

Quanto costa in media un attacco ransomware?<\/h3>\n\n\n\n

Nel secondo trimestre 2025 il pagamento medio di un riscatto \u00e8 stato di 1,13 milioni di dollari, con un valore mediano di 400.000 dollari. Il costo medio globale di una violazione dati, secondo IBM, \u00e8 sceso a 4,44 milioni di dollari nel 2025, primo calo in cinque anni.<\/p>\n\n\n\n

Cosa prevede la direttiva NIS2 per le aziende italiane?<\/h3>\n\n\n\n

La NIS2, recepita con il decreto legislativo 138\/2024, impone misure di gestione del rischio, obblighi di notifica degli incidenti e responsabilit\u00e0 dei vertici aziendali. Le sanzioni arrivano a 10 milioni di euro o al 2% del fatturato mondiale per i soggetti essenziali, e a 7 milioni o all’1,4% per i soggetti importanti.<\/p>\n\n\n\n

Perch\u00e9 l’Italia \u00e8 cos\u00ec colpita dagli attacchi informatici?<\/h3>\n\n\n\n

L’Italia assorbe il 9,6% degli incidenti gravi mondiali per una combinazione di fattori: un tessuto di piccole e medie imprese spesso poco protette, una pubblica amministrazione molto esposta all’hacktivism geopolitico e investimenti in sicurezza inferiori alla media europea.<\/p>\n\n\n\n

I backup bastano a difendersi dal ransomware?<\/h3>\n\n\n\n

No. Con la diffusione della doppia estorsione, i criminali rubano i dati e minacciano di pubblicarli anche se l’azienda ripristina i sistemi dai backup. Servono cifratura dei dati a riposo, segmentazione della rete e autenticazione a pi\u00f9 fattori, oltre ai backup immutabili e testati.<\/p>\n\n\n\n

Quante nuove gang ransomware sono nate nel 2025?<\/h3>\n\n\n\n

Nel 2025 sono emerse almeno dieci nuove formazioni criminali, tra cui Devman, DireWolf, NOVA, Warlock, BEAST, Sinobi, NightSpire e Reynolds. La proliferazione \u00e8 alimentata dal modello Ransomware-as-a-Service, che permette agli affiliati di migrare rapidamente verso nuove insegne.<\/p>\n\n\n\n

Related Coverage<\/h3>\n\n\n\n