Sophos ha pubblicato la sesta edizione del suo report annuale State of Ransomware, la ricerca annuale che coinvolge esperti IT e di cybersicurezza di 17 Paesi per analizzare l’impatto degli attacchi ransomware sulle imprese.

L’edizione 2025 evidenzia che quasi il 50% delle aziende colpite da ransomware ha deciso di pagare un riscatto per riottenere l’accesso ai propri dati. Questo rappresenta il secondo dato più alto mai registrato dal lancio della ricerca. Tuttavia, oltre il 53% di queste aziende ha negoziato una cifra inferiore rispetto alla richiesta iniziale: nel 71% dei casi, la riduzione è stata ottenuta tramite trattative dirette o con il supporto di terze parti.

Tra il 2024 e il 2025, la somma mediana richiesta dagli attaccanti si è ridotta di circa un terzo, la mediana dei riscatti versati si è dimezzata. Questo indica un miglioramento nella capacità delle aziende di contenere i danni economici causati da attacchi ransomware.

Nonostante la riduzione generale, il valore mediano dei riscatti versati resta elevato: circa un milione di dollari. Le cifre richieste variano sensibilmente in base alle dimensioni aziendali: per le imprese con un fatturato superiore al miliardo di dollari, la richiesta mediana ha superato i 5 milioni, mentre per quelle con ricavi inferiori ai 250 milioni, si è aggirata intorno ai 350.000 dollari.

Per il terzo anno consecutivo, la principale causa tecnica degli attacchi è stata la presenza di vulnerabilità sfruttabili dai cybercriminali, mentre, nel 40% dei casi, le aziende sono state colpite dal ransomware a causa di lacune di sicurezza di cui non erano consapevoli, a conferma delle difficoltà nel monitorare e proteggere le superfici di attacco.

Il 63% delle aziende interpellate ha indicato la carenza di risorse adeguate come uno dei fattori che ha contribuito all’attacco. Nello specifico, le grandi aziende (oltre 3.000 dipendenti) hanno segnalato la mancanza di competenze come principale problema, mentre le realtà di dimensioni medio-piccole (251-500 dipendenti) hanno indicato carenze di personale e capacità operative.

Il quadro italiano

Perché le aziende italiane vengono colpite dal ransomware

In Italia, la causa tecnica più frequente degli attacchi ransomware è stata lo sfruttamento di vulnerabilità, responsabile del 35% degli incidenti. A seguire, il phishing ha rappresentato il punto di partenza nel 23% dei casi, mentre il 16% degli attacchi ha avuto origine da credenziali compromesse.

Dal punto di vista operativo, la mancanza di competenze è stata indicata dal 45% degli intervistati come il principale fattore abilitante. Il 37% ha segnalato l’esistenza di falle di sicurezza già note, mentre nel 36% dei casi l’attacco ha avuto successo sfruttando debolezze precedentemente non individuate nei sistemi di difesa.

Cosa accade ai dati

  • Nel 55% degli attacchi registrati in Italia, i dati aziendali sono stati cifrati: una percentuale superiore alla media globale (50%), ma in calo rispetto all’85% rilevato nel 2024.
  • Solo nell’11% dei casi di cifratura si è verificato anche un furto di dati, una riduzione netta rispetto al 45% dell’anno precedente.
  • Il 99% delle aziende italiane colpite da cifratura è riuscito a recuperare i propri dati, un risultato che supera la media globale.
  • Il 27% delle imprese ha scelto di pagare il riscatto per riottenere l’accesso ai dati, segnando un calo importante rispetto al 53% dell’anno passato.
  • Il 58% ha utilizzato i propri backup per il ripristino, anche questo in diminuzione rispetto al 72% registrato nel 2024.

Riscatti – Richieste e pagamenti in Italia

Nel 2025, l’importo mediano richiesto dai cybercriminali alle aziende italiane ha raggiunto i 4,12 milioni di dollari, in netto aumento rispetto ai 3,19 milioni registrati nel 2024.

Il 68% delle richieste ha superato la soglia del milione di dollari, un dato comunque in calo rispetto al 78% dell’anno precedente.

Per quanto riguarda le somme effettivamente pagate, la mediana nel 2025 si è attestata a 2,06 milioni di dollari, leggermente inferiore ai 2,20 milioni dell’anno precedente. In media, le aziende italiane hanno pagato il 97% dell’importo richiesto, a fronte di una media globale dell’85%.

Analizzando più nel dettaglio:

  • Il 62% delle aziende ha versato meno di quanto inizialmente richiesto (contro il 53% a livello globale);
  • Il 14% ha pagato l’esatto importo richiesto (media globale: 29%);
  • Il 24% ha finito per pagare più della cifra iniziale (rispetto al 18% su scala globale).

Impatto del ransomware sul business

Escludendo i riscatti versati, il costo medio sostenuto dalle aziende italiane per ripristinare le attività dopo un attacco ransomware è stato di 3,55 milioni di dollari, una riduzione significativa rispetto ai 5,38 milioni del 2024. Questa cifra include i costi per l’interruzione operativa, il lavoro del personale, le opportunità mancate, la sostituzione dei dispositivi e altri oneri legati all’infrastruttura IT.

Anche i tempi di recupero sono migliorati sensibilmente: il 46% delle imprese italiane ha ripreso pienamente le attività entro una settimana, il doppio rispetto al 23% dell’anno precedente. Solo il 26% ha impiegato da uno a sei mesi per il pieno ripristino, un dato in netto calo rispetto al 50% registrato l’anno prima.

Impatto umano del ransomware sui team IT e di cybersicurezza

Nelle aziende in cui i dati sono stati crittografati:

  • il 39% ha apportato cambiamenti al team o alla struttura organizzativa.
  • Il 36% ha rilevato un incremento dei workload su base continuativa.
  • Il 35% ha riscontrato crescente ansia o stress nel timore di attacchi futuri.
  • Il 35% ha ammesso di sentirsi in colpa per non essere stato in grado di fermato l’attacco.
  • Il 32% ha rilevato un impatto negativo sui dipendenti: assenze da parte dello staff a causa di stress o malessere psicologico.

Ulteriori dati dal report 2025

  • Sempre più aziende riescono a bloccare gli attacchi in corso: guardando ai dati globali, il 44% delle aziende è riuscito a fermare gli attacchi ransomware prima della cifratura dei dati – il dato più alto mai registrato dallo studio. Anche il numero complessivo di casi con cifratura è sceso ai minimi storici, coinvolgendo solo metà delle organizzazioni colpite.
  • Diminuisce il ricorso ai backup: solo il 54% delle aziende ha utilizzato i backup per ripristinare i dati, la percentuale più bassa da sei anni a questa parte.
  • Scendono i riscatti versati e i costi di ripristino: il costo mediano per il ripristino delle attività si è ridotto da 2,73 milioni di dollari (2024) a 1,53 milioni nel 2025. Anche le somme pagate per i riscatti sono calate drasticamente, da 2 milioni a 1 milione di dollari.
  • L’entità dei riscatti versati dipende dal settore: la pubblica amministrazione – sia locale che centrale – è risultata il settore che paga i riscatti più elevati (2,5 milioni di dollari). Al contrario, il comparto sanitario ha registrato le cifre più basse, con una media di 150.000 dollari.
  • Il ripristino viene completato sempre più in fretta: oltre il 53% delle aziende è riuscito a tornare pienamente operativa entro una settimana dall’attacco, rispetto al 35% dell’anno precedente. Solo il 18% ha impiegato più di un mese, in calo rispetto al 35% del 2024.

Modalità dell’indagine

Il report State of Ransomware 2025 si basa su un sondaggio indipendente condotto su 3.400 responsabili IT e della cybersicurezza in 17 Paesi tra Americhe, EMEA e Asia-Pacifico. Gli intervistati, provenienti da organizzazioni con 100–5.000 dipendenti e fatturati compresi tra meno di 10 milioni e oltre 5 miliardi di dollari, hanno risposto a domande relative agli attacchi subiti nei 12 mesi precedenti.

Leggi il report completo State of Ransomware

https://news.sophos.com/it-it/2025/06/25/the-state-of-ransomware-2025-2/

 

 

 

 

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: