Nel 2024 oltre il 70% degli attacchi ransomware ha colpito aziende con meno di 100 dipendenti. Non perché siano obiettivi più redditizi delle grandi corporation, ma perché sono obiettivi più facili: meno difese, meno consapevolezza, backup assenti o fatti male. Un'azienda da 10 persone con i dati bloccati non ha i mesi di liquidità necessari per aspettare una soluzione — paga, o chiude.
Questo articolo non è una lista di prodotti da comprare. È una spiegazione di come funziona il rischio e di quali sono le tre o quattro cose che, se fatte bene, eliminano il 90% del problema. Anche senza un reparto IT interno.
1. Come Funziona un Attacco Ransomware (in Modo Semplice)
Il ransomware è un software che cifra i tuoi file rendendoli illeggibili, poi chiede un riscatto in criptovaluta per la chiave di decifratura. Il punto cruciale è capire come entra.
I vettori di ingresso più comuni per le PMI italiane sono tre. Il primo è la email di phishing: un messaggio che sembra provenire da un fornitore, dalla banca, dall'Agenzia delle Entrate, con un allegato o un link che installa il malware. Il secondo è il desktop remoto (RDP) esposto su internet: moltissime PMI hanno il Remote Desktop di Windows aperto su internet per permettere lo smart working, con password deboli — è una porta spalancata. Il terzo è il software non aggiornato: vulnerabilità note nei sistemi operativi o nei software di uso comune, sfruttate automaticamente da bot che scansionano internet.
Una volta dentro, il ransomware non agisce immediatamente. Si muove lateralmente nella rete per settimane, esplora le condivisioni di file, trova i backup, li cancella o li cifra per primi — e poi attiva la cifratura di tutto il resto. Quando vedi il messaggio di riscatto, il disastro è già completo.
2. Perché il Backup Tradizionale Non Basta
La risposta che sento più spesso è: "ho i backup, sono tranquillo". Il problema è che quasi nessuno ha i backup fatti nel modo giusto per resistere a un ransomware moderno.
Il ransomware cerca e cifra attivamente le destinazioni di backup più comuni: cartelle condivise in rete, hard disk esterni sempre collegati al PC, NAS montati come unità di rete. Se il tuo backup è su un disco USB sempre collegato al server, non hai un backup — hai una seconda copia che verrà cifrata insieme all'originale.
La strategia corretta si chiama 3-2-1: tre copie dei dati, su due media diversi, con una copia offsite (fuori dall'ufficio o in cloud). E soprattutto, la copia offsite deve essere immutabile — cioè non modificabile né cancellabile dall'interno della tua rete — o tenuta offline fisicamente tra un backup e l'altro.
💡 Hai un'azienda a Firenze o nel Chianti e vuoi verificare se i tuoi backup sono davvero al sicuro? Richiedi una consulenza gratuita oppure scopri i nostri servizi di sicurezza informatica.
3. Le Quattro Misure che Fanno la Differenza
Non esiste la sicurezza assoluta, ma esiste la sicurezza sufficiente a non essere il bersaglio più facile disponibile. Ecco cosa implemento nelle PMI con cui lavoro, in ordine di impatto.
Backup immutabile offsite
La misura più importante. Un backup su cloud con retention immutabile (Backblaze B2, Wasabi, o anche semplicemente Veeam Cloud Connect) significa che anche se un attaccante cifra tutto il tuo ufficio, hai una copia intatta accessibile dall'esterno. Il ripristino richiede ore o al massimo qualche giorno, non mesi. Il costo mensile per una PMI con 1-2 TB di dati è nell'ordine di 20-50 euro al mese.
RDP chiuso o protetto da VPN
Se la tua azienda usa il desktop remoto di Windows, la prima cosa da fare è verificare se la porta 3389 è esposta su internet. Puoi farlo cercando il tuo IP pubblico su Shodan.io. Se è aperta, le opzioni sono due: chiuderla e usare una VPN per accedere da remoto (soluzione corretta), oppure almeno abilitare la Network Level Authentication e mettere una password lunga 16+ caratteri con blocco automatico dopo 5 tentativi falliti.
Aggiornamenti di sistema gestiti
Windows Update disabilitato per non disturbare il lavoro quotidiano è una delle configurazioni più pericolose che trovo nelle PMI. Gli aggiornamenti di sicurezza tappano le vulnerabilità che i ransomware sfruttano in modo automatizzato. La soluzione non è subire gli aggiornamenti nei momenti sbagliati, ma gestirli: pianificarne l'installazione fuori orario lavorativo, e usare WSUS o Intune per centralizzare il controllo se ci sono più macchine.
Segmentazione della rete
Se tutti i computer dell'ufficio sono sulla stessa rete piatta, un ransomware che entra da un PC si può muovere liberamente verso tutti gli altri e verso il server. Separare la rete in segmenti — almeno dividendo i PC degli utenti dal server e dal NAS — limita drasticamente la propagazione laterale. Non elimina il rischio, ma lo contiene: invece di perdere tutto, perdi una parte.
4. Il Fattore Umano: Phishing e Formazione
La tecnologia da sola non è sufficiente se una persona dell'ufficio apre un allegato sbagliato. La formazione del personale non è un lusso riservato alle grandi aziende: bastano due ore l'anno per insegnare ai dipendenti a riconoscere i segnali di una email sospetta.
I segnali da cercare sono sempre gli stessi: mittente con dominio leggermente diverso dall'originale ([email protected] invece di [email protected]), senso di urgenza artificiale ("il tuo account verrà sospeso entro 24 ore"), allegati .zip, .exe, o PDF che richiedono di abilitare le macro. Il metodo più efficace è fare periodicamente dei test interni simulando email di phishing — non per punire chi ci casca, ma per misurare il livello di consapevolezza reale e intervenire dove serve.
5. Cosa Fare Subito (Anche Senza Budget)
Se non puoi fare tutto, fai almeno queste cose questa settimana, a costo zero o quasi:
- Verifica che Windows Update sia attivo su tutti i PC dell'ufficio. Se era disabilitato, abilita gli aggiornamenti automatici almeno per le patch di sicurezza.
- Controlla la porta RDP su Shodan.io. Se è aperta, chiudila o cambia la password con una da almeno 16 caratteri misti.
- Disconnetti i backup dal PC dopo ogni copia. Se usi un hard disk esterno, non tenerlo sempre collegato. Collegalo, fai il backup, scollega.
- Attiva l'autenticazione a due fattori su tutti gli account cloud aziendali: Microsoft 365, Google Workspace, gestionale in cloud. L'MFA da solo blocca oltre il 99% degli accessi non autorizzati tramite credenziali rubate.
La Domanda Giusta da Farsi
Non è "posso essere colpito da un ransomware?" — la risposta è quasi certamente sì, se aspetti abbastanza. La domanda giusta è: "se domani mattina trovo tutti i miei file cifrati, sono in grado di riprendere l'attività entro 48 ore senza pagare nessuno?" Se la risposta è no, il problema è concreto e risolvibile — ma va affrontato prima, non durante l'emergenza.