Aziende italiane sempre più attaccate dagli hacker. Come e cosa colpiscono e quanto chiedono di riscatto in media

Negli ultimi anni, le realtà imprenditoriali italiane hanno vissuto una crescita esponenziale degli attacchi informatici, con impatti sempre più rilevanti su settori pubblici e privati. Questo fenomeno evidenzia la vulnerabilità del tessuto produttivo nazionale di fronte all’azione di cybercriminali intenzionati a sottrarre dati sensibili, bloccare servizi o estorcere denaro tramite sofisticate tecniche digitali.

La digitalizzazione diffusa e la frammentazione del sistema economico rendono le aziende italiane bersagli ricorrenti, con il malware, il ransomware e il phishing tra i principali vettori d’attacco. Il contesto attuale vede una preoccupante espansione sia della frequenza che della gravità degli incidenti informatici, riportando il dibattito sulla priorità della sicurezza digitale quale pilastro della continuità operativa e della protezione dei dati personali e aziendali.

Il panorama delle minacce informatiche in Italia: trend, numeri e principali vettori

Il quadro delle minacce informatiche che colpiscono la Penisola è delineato da un incremento costante degli attacchi, come attestano i recenti rapporti Clusit e le analisi dei principali osservatori nazionali. Nel 2024, l’Italia ha registrato il 10% degli attacchi globali a fronte di appena l’1% del PIL mondiale, riscontrando una crescita del 15% rispetto all’anno precedente. I cyber-criminali, In media, chiedono un riscatto, una volta sottratti i dati, di circa 4 milioni di euro, per poi “accontentarsi” della metà.

Le campagne criminali si sono concentrate sia sulle grandi aziende che sulle PMI, con particolare incidenza nelle regioni settentrionali ma con una progressiva espansione verso il Centro e il Mezzogiorno. Gli attacci più diffusi con conseguenti numeri di rivendicazioni sono:

• Ransomware: rappresenta oltre l’80% degli attacchi malware e rimane il metodo principale adottato per estorsioni digitali, con richieste di riscatto spesso espresse in criptovalute.
• Phishing e social engineering: il phishing interessa il 35% degli incidenti, alimentato da campagne mirate e dall’utilizzo di tecniche avanzate di ingegneria sociale.
• DDoS (Distributed Denial of Service): azioni volte a saturare le risorse di rete hanno colpito istituzioni pubbliche e aziende strategiche, causando blocchi temporanei dei servizi.
• Sfruttamento di vulnerabilità zero-day: attacchi che sfruttano falle sconosciute o non ancora corrette, registrando un aumento del 90% nell’ultimo anno, soprattutto ai danni di infrastrutture critiche.

Tecniche di attacco più diffuse: ransomware, DDoS, phishing e supply chain

Le minacce informatiche che colpiscono le organizzazioni italiane sono frutto di uno scenario sempre più articolato. Il ransomware si diffonde tramite e-mail di phishing - rispetto a cui è interessante approfondire il rapporto tra banche e clienti vittime di phishing -, vulnerabilità nei sistemi non aggiornati e accessi privilegiati compromessi. Con la doppia estorsione, le vittime subiscono sia la cifratura dei dati sia la minaccia della pubblicazione di informazioni sensibili se il riscatto non viene saldato. Ecco allora che una sintesi delle tecniche di attacco più diffuso ci aiutano a comprendere il funzionamento di questo fenomeno:

• DDoS: gli attacchi vengono orchestrati mediante botnet che generano traffico anomalo al fine di saturare la banda, rendendo irraggiungibili siti istituzionali e privati.
• Phishing: si registra una crescita di campagne mirate a utenti aziendali e privati, spesso accompagnate da e-mail personalizzate che simulano comunicazioni ufficiali per carpire credenziali o distribuire malware.
• Attacchi alla supply chain: la compromissione dei fornitori consente ai gruppi criminali di accedere indirettamente ad ampi bacini di target, sfruttando vulnerabilità condivise e scarsa segmentazione dei sistemi.

Nel 2024, le tecniche multiple e il ricorso a exploit zero-day hanno contribuito a incidenti di portata molto ampia, soprattutto quando le PMI coinvolte dispongono di difese informatiche non adeguate.

Settori e aziende più colpiti dagli hacker nel 2024-2025

Il manufacturing, assieme a trasporti, supply chain, media e sanità, figura fra i comparti più bersagliati. Le campagne di attacco evidenziano un’accentuata esposizione delle aziende a rischio per la loro rilevanza economica e il possesso di dati sensibili. Nel 2024, il settore News & Multimedia è stato particolarmente colpito, con casi eclatanti di furto d’identità e diffusione massiva di informazioni personali. Finance e Pubblica Amministrazione hanno saputo innalzare le proprie difese, registrando impatti relativamente minori rispetto ad altri comparti. In pratica:

• Settore sanitario: aumento di attacchi supply chain (+31%) e alta incidenza di violazioni di dati clinici
• Trasporti e logistica: coinvolgimento di imprese pubbliche e private nei disservizi causati da DDoS
• Media: compromissione di milioni di dati personali

Di seguito, una panoramica sintetica dei settori nel mirino:

Casi esemplari: tipologia di aziende e impatto degli attacchi

Le casistiche recenti mettono in luce la varietà delle organizzazioni colpite: dal manifatturiero al settore sanitario, passando per la pubblica amministrazione e le realtà ICT. Le aziende Fruttagel, Somacis, Società Italiana Brevetti, ACEA Energia, e l’Ospedale Multimedica sono solo alcuni esempi di target andati a segno.

Nel manufacturing, la diffusione di dati exfiltrati raggiunge spesso centinaia di GB, evidenziando la presenza di informazioni strategiche. Nel settore pubblico, attacchi a Comuni e ASL hanno comportato interruzione di servizi alla cittadinanza, con rischi per la privacy degli utenti. Nel settore healthcare, la sottrazione di dati clinici ha comportato danni reputazionali e costi di ripristino elevati

L’impatto dei cyber attacchi va dall’interruzione dei servizi, con danni economici diretti e indiretti, alla perdita o diffusione di dati protetti, fattori che sottolineano la necessità di adottare strategie avanzate di cyber resilience.

Come vengono richiesti i riscatti: modalità, importi e meccanismi di estorsione

A seguito di un attacco ransomware, è prassi consolidata la richiesta di riscatto, spesso veicolata tramite messaggi lasciati nei sistemi compromessi o mediante comunicazioni dirette alle aziende. Gli importi variano in relazione al valore percepito dei dati e al fatturato della vittima, ma nel caso delle PMI si attestano mediamente intorno ai 50.000-100.000 euro, mentre aziende di maggiore dimensione possono ricevere richieste superiori ai 300.000 euro. Gli aspetti interessanti che sono emersi sono 4:

• I pagamenti vengono generalmente richiesti in criptovalute come Bitcoin, rendendo difficile la tracciabilità delle transazioni
• Il modello della doppia estorsione prevede la pubblicazione di parte dei dati rubati come prova dell’avvenuta violazione, spingendo le aziende al pagamento entro un tempo limite
• In casi di aste pubbliche sul darkweb, gruppi criminali propongono la "protezione" dei dati a partire da importi minimi crescenti
• Alcuni attaccanti offrono assistenza tecnica per il ripristino dei file, dimostrandosi “collaborativi” dopo il pagamento

Le metodologie di pressione psicologica, l’anonimato e le difficoltà di indagine rendono la risposta ancora più complessa, aggravata dal rischio per le aziende di non ottenere comunque la restituzione completa dei dati cifrati.

Perché l’Italia è così vulnerabile: fattori strutturali e culturali

La specifica esposizione del tessuto produttivo italiano alle minacce cyber è attribuibile a diversi fattori:

• Basso livello di investimenti in cybersecurity: l’Italia investe solo lo 0,12% del PIL, un dato nettamente inferiore a Francia, Germania e Regno Unito
• Prevalenza di PMI scarsamente digitalizzate e poco protette
• Diffusa carenza della cultura della sicurezza informatica, con sottovalutazione del rischio e della necessità di formazione continua
• Competenze specialistiche limitate, con difficoltà nel reperire esperti e tecnici qualificati
• Resistenza culturale ad investire in misure preventive e valutazione della sicurezza come pura spesa
• Carenze nella gestione delle identità digitali e dei privilegi di accesso

L’introduzione di regolamenti europei come il NIS2 e DORA e le strategie promosse dall’ACN mirano a colmare questo gap strutturale e culturale, incrementando il livello di protezione e resilienza di filiere produttive e infrastrutture critiche.

• Aprire una società senza notaio 2025. Per quali tipologie si può fare e come
• Email aziendali, regole sulla privacy e diritti dipendenti indicati da nuova legge 2025 del Garante della Privacy
• Quando è obbligatoria la mensa in azienda secondo CCNL 2025 e leggi in vigore