Secondo il report “State of Ransomware 2025” di Sophos, quasi la metà delle imprese colpite da ransomware sceglie di versare il riscatto per riavere l’accesso ai propri dati. Si tratta del secondo valore più alto in sei anni di indagine, con una mediana dei pagamenti pari a 1 milione di dollari. L'inchiesta si basa su un sondaggio indipendente condotto su 3.400 responsabili IT e cybersecurity in 17 Paesi (Americhe, EMEA, Asia-Pacifico), in aziende da 100 a 5.000 dipendenti e fatturati compresi tra meno di 10 milioni e oltre 5 miliardi di dollari.
Il ransomware è un tipo di malware che, una volta infettato un dispositivo (computer, smartphone, ecc.), blocca l'accesso ai dati o al sistema, chiedendo un riscatto per ripristinare il normale funzionamento. In pratica, il ransomware crittografa i file o impedisce l'utilizzo del dispositivo finché non viene pagato un riscatto.
IL REPORTScendendo più nel dettaglio dell'analisi, il 53% delle aziende che ha pagato ha ottenuto uno sconto rispetto alla richiesta iniziale, grazie a trattative dirette o tramite esperti: in più del 70% dei casi la cifra finale è risultata inferiore a quella originaria. Dall’edizione 2024 a oggi, la mediana delle richieste è diminuita di un terzo e il valore dei riscatti effettivamente versati si è dimezzato, segno che le organizzazioni sono diventate più abili nel contenere i danni.
La dimensione dell’azienda ovviamente influisce sull’entità del riscatto. Per le grandi realtà (fatturato superiore a 1 miliardo di dollari) la mediana delle richieste iniziali supera i 5 milioni, mentre per le PMI con giro d’affari inferiore a 250 milioni si attesta sotto i 350.000$.
Per il terzo anno consecutivo la causa tecnica primaria degli attacchi riguarda la presenza di vulnerabilità sfruttabili dai malintenzionati, mentre nel 40% dei casi le aziende sono state colpite dal ransomware a causa di lacune di sicurezza di cui non erano consapevoli. Per il 63% delle aziende interpellate, tra i fattori che hanno permesso l'attacco c'è stata la carenza di risorse adeguate, con la mancanza di competenze a rappresentare la principale causa operativa nelle realtà da oltre 3.000 dipendenti e la mancanza di personale/capacità in quelle da 251-500 dipendenti.
Negli ultimi 12 mesi il 55% delle aziende italiane ha subito la cifratura dei dati (controtendenza rispetto all’85% del 2024), ma solo l’11% ha subito anche il furto delle informazioni, molto al di sotto del 45% registrato un anno fa. Il 99% delle aziende italiane che ha perso l’accesso ai dati è poi riuscita a recuperarli, grazie in parte ai backup (utilizzati dal 58% delle realtà colpite) e in parte al pagamento del riscatto (27% dei casi, in calo rispetto al 53% del 2024).
La mediana degli importi richiesti per i riscatti lo scorso anno in Italia è stata pari a 4,12 milioni di dollari, con un considerevole incremento rispetto ai 3,19 milioni registrati dall’indagine svolta nel 2024. Il 68% delle richieste supera il milione di dollari (era il 78% nel 2024). Per quanto riguarda le cifre effettivamente pagate in Italia lo scorso anno, la mediana si attesta a 2,06 milioni, leggermente inferiore ai 2,20 milioni di un anno fa. Le aziende italiane versano in media il 97% dell’importo richiesto, più della media globale (85%). Il 62% ottiene comunque uno sconto, mentre solo il 14% paga l’importo richiesto e il 24% finisce per pagare più del dovuto.
Esclusi i riscatti, nel 2024 le aziende italiane hanno speso in media 3,55 milioni di dollari per tornare alla normalità dopo un attacco, contro i 5,38 milioni dell’anno precedente. La rapidità di ripresa migliora: il 46% delle realtà ha riavviato completamente le attività entro una settimana (era il 23% nel 2024) e solo il 26% ha impiegato da uno a sei mesi (era il 50%).
Tra le imprese italiane che hanno subito la cifratura:
- 39% ha ridisegnato team o ruoli interni
- 36% segnala un aumento continuo dei workload
- 35% registra livelli di ansia e stress più elevati
- 35% prova senso di colpa per non aver sventato l’attacco
- 32% segnala assenze per malessere psicologico
Chester Wisniewski, director e field CISO di Sophos, sottolinea che il ransomware è ormai un rischio endemico:
Per molte aziende, la probabilità di finire vittime di ransomware è solo uno degli aspetti legati al fare business nel 2025. La maggior parte di esse lo considera un problema endemico e per questo deve mettere in conto di poter essere colpite prima o poi. La buona notizia è che, dal momento che il ransomware si è normalizzato, la maggioranza delle aziende si sta attrezzando con le risorse adatte a limitare i danni. Molte hanno capito di avere bisogno di aiuto e si sono quindi affidate a servizi MDR (Managed Detection and Response). Quelle che sfortunatamente vengono colpite fanno leva sulle polizze delle cyber assicurazioni e assumono professionisti specializzati che non solo possono ridurre gli importi dei riscatti versati, ma anche velocizzare il ritorno alla normalità e persino bloccare gli attacchi in corso. Naturalmente il ransomware può essere sempre ‘curato’ mediante strategie di sicurezza proattive come l'autenticazione multifattore e l'applicazione delle patch, la presenza di solidi team specializzati in sicurezza e, soprattutto, l'attenzione a non dare agli attaccanti ciò che essi desiderano – i soldi.
Ecco altri dati interessanti emersi, mentre al link in basso, nella fonte, trovate il report completo:
A Deepfake Nightmare: Stalker Allegedly Made Sexual AI Images of Ex-Girlfriends and Their Families