27 Aprile 2026 • Corso Cyber Security

Ransomware: quando l’azienda si ferma (e qualcuno chiede un riscatto)

È lunedì mattina.

Accendi il computer, apri il gestionale… e qualcosa non va.

I file non si aprono.
Le cartelle sono vuote o hanno nomi strani.
I colleghi iniziano a scriverti: “anche a te non funziona?”

Poi compare un messaggio: “I tuoi dati sono stati criptati. Per recuperarli devi pagare.”

In quel momento l’azienda si ferma.

Niente fatture.
Niente ordini.
Niente email.

Questo è il ransomware.

E la cosa più importante da capire è questa:

  1. Il ransomware non arriva “all’improvviso”
  2. Nella maggior parte dei casi… entra da un errore umano

1. Cos’è il ransomware

Il ransomware è un tipo di attacco informatico che blocca l’accesso ai dati o ai sistemi e chiede un riscatto per ripristinarli.

Ma questa definizione, da sola, non basta a far capire il problema.

Immagina questa situazione nel mondo reale:

qualcuno entra in ufficio, chiude tutti gli armadi a chiave, prende anche le copie dei documenti e poi lascia un biglietto: “Se vuoi riavere tutto, paga.”

Non puoi lavorare.
Non puoi accedere ai tuoi dati.
Non puoi andare avanti.

2. Perché oggi è così pericoloso

Un tempo il ransomware era “semplice”: bloccava i file.

Oggi è molto più evoluto.

Gli attaccanti spesso:

  • entrano nella rete aziendale senza farsi notare
  • restano nascosti per giorni o settimane
  • copiano i dati più importanti
  • preparano l’attacco
  • poi bloccano tutto insieme

E a quel punto fanno un doppio ricatto:

  1. Paghi per riavere i file
  2. Paghi oppure i tuoi dati vengono pubblicati

Questo cambia completamente lo scenario.

Non è più solo un problema tecnico.

È un problema:

  • operativo
  • economico
  • legale
  • reputazionale

Impatto operativo

Il primo effetto di un attacco ransomware è la paralisi delle attività quotidiane. Quando i sistemi vengono bloccati o i dati resi inaccessibili, il lavoro si ferma. Non si tratta semplicemente di un computer che non funziona, ma dell’impossibilità di svolgere operazioni essenziali: accedere ai documenti, gestire ordini, consultare database, comunicare in modo efficace.

Si può immaginare il caso di un’azienda di logistica che, a seguito di un attacco, non riesce più ad accedere al proprio gestionale. Gli operatori non vedono gli ordini da evadere, il magazzino non sa cosa preparare e le spedizioni si fermano. I mezzi restano fermi non perché manchi il lavoro, ma perché manca l’accesso alle informazioni necessarie per svolgerlo. In questo scenario il danno non è tecnologico, ma operativo: l’azienda smette temporaneamente di funzionare.

Impatto economico

Il blocco operativo si traduce immediatamente in un danno economico. Quando un’azienda non riesce a lavorare, non produce valore e non genera fatturato. Allo stesso tempo, però, i costi continuano a esistere: stipendi, forniture, servizi e, spesso, anche spese straordinarie per gestire l’emergenza.

Si può considerare il caso di un’azienda manifatturiera costretta a fermare la produzione per alcuni giorni. Oltre alla perdita diretta legata alla mancata produzione, si aggiungono ritardi nelle consegne, possibili penali contrattuali e la perdita di opportunità commerciali. A questo si sommano i costi per il ripristino dei sistemi, il coinvolgimento di specialisti e, in alcuni casi, la pressione legata alla richiesta di un riscatto. Il danno complessivo, quindi, non è legato solo all’attacco in sé, ma al tempo in cui l’azienda rimane ferma.

Impatto legale

Negli scenari più recenti, il ransomware non si limita a bloccare i dati, ma spesso ne prevede anche l’esfiltrazione. Questo significa che le informazioni aziendali vengono copiate e sottratte prima ancora che i sistemi vengano resi inutilizzabili. Se tra questi dati sono presenti informazioni personali o sensibili, l’evento assume anche una rilevanza legale.

Un’azienda che subisce un attacco di questo tipo può trovarsi nella condizione di dover gestire una violazione dei dati. Questo comporta obblighi specifici, come l’analisi dell’incidente, la notifica alle autorità competenti e, in alcuni casi, la comunicazione ai soggetti coinvolti. La situazione può evolvere rapidamente da problema tecnico a questione normativa, con possibili conseguenze in termini di sanzioni o responsabilità.

Impatto reputazionale

Oltre agli aspetti operativi, economici e legali, esiste un elemento meno immediato ma altrettanto rilevante: la fiducia. Un attacco ransomware può incidere profondamente sulla percezione che clienti, partner e fornitori hanno dell’azienda.

Quando un’organizzazione non riesce a garantire continuità nei servizi o, peggio ancora, quando emergono dubbi sulla sicurezza dei dati, la fiducia viene messa in discussione. I clienti possono diventare più cauti, i partner più diffidenti, e ogni nuova relazione può richiedere più tempo per consolidarsi. Anche dopo il ripristino dei sistemi, l’evento può lasciare una traccia duratura nella reputazione aziendale.

3. Come entra davvero il ransomware

Qui c’è il punto più importante del capitolo.

Il ransomware quasi mai “sfonda” i sistemi.

Entra attraverso comportamenti normali

Caso 1 — Email e allegati

Ricevi una mail:

“Fattura urgente in allegato”

Apri il file.
Non succede nulla.

O almeno così sembra.

In realtà:

  • hai avviato un programma malevolo
  • qualcuno ha iniziato ad avere accesso

E l’attacco è partito.

Caso 2 — Password rubata

Hai usato la stessa password su più servizi.

Uno di quei servizi viene violato.

Un attaccante prova quella password sulla tua email aziendale: accesso riuscito

Da lì entra nella rete aziendale.

Caso 3 — Accesso remoto

Un sistema di accesso remoto (tipo desktop remoto) è poco protetto.

L’attaccante prova combinazioni di password.

Prima o poi trova quella giusta: entra senza forzare nulla

Concetto chiave

Il ransomware è spesso l’ultimo passo di qualcosa iniziato molto prima.

4. Cosa succede davvero durante un attacco

Una cosa importante da far capire è che il ransomware non è immediato.

Non è: clicco → tutto bloccato

È molto più subdolo.

Fase 1 — Entrata

Email, password o vulnerabilità.

Fase 2 — Esplorazione

L’attaccante guarda:

  • server
  • cartelle
  • accessi
  • backup

Fase 3 — Preparazione

  • disattiva antivirus
  • blocca backup
  • raccoglie dati

Fase 4 — Attacco

In un unico momento: tutto viene bloccato

E a quel punto l’azienda si accorge di tutto.

Ma è troppo tardi.

5. Come difendersi davvero

Qui bisogna essere pratici.

Attenzione alle email

  • non aprire allegati inattesi
  • verifica sempre il mittente

Proteggere gli accessi

  • password uniche
  • 2FA attivo

Aggiornamenti

  • sistemi aggiornati
  • vulnerabilità chiuse

Backup

  • regolari
  • separati
  • verificati

Formazione

La difesa più importante resta sempre la persona