Lunedì, ore 9.00. Il primo caffè è ancora caldo sulla tua scrivania. Accendi il computer, provi ad aprire i file del gestionale e… niente. Tutto bloccato. Sullo schermo compare una schermata nera: “I tuoi dati sono stati criptati. Per riaverli, invia 5 bitcoin all’indirizzo indicato”.
Non è una scena da film, è quello che succede ogni giorno a decine di piccole e medie imprese in tutta Europa, spesso senza fare notizia, ma con conseguenze molto concrete.

Se pensi che il ransomware sia solo un problema tecnico, sei fuori strada. È un business multimiliardario, gestito da gruppi criminali organizzati, il più delle volte meglio strutturati delle aziende che attaccano, che siano ospedali, fornitori energetici o piccole aziende di provincia.

Nessuno è troppo piccolo per finire nel mirino. Anzi: proprio le PMI, con difese più deboli, sono diventate il bersaglio perfetto e un attacco può significare settimane di inattività, perdita di dati strategici, anche danni legali se sono coinvolti dati personali dei clienti.

Cos’è un ransomware?

Il ransomware è un software malevolo che, una volta entrato in un sistema informatico, crittografa i dati aziendali rendendoli illeggibili e inutilizzabili. La richiesta di riscatto – di solito in criptovaluta – arriva ben presto con la promessa di riottenere l’accesso ai file.

Oggi si sente parlare anche di Ransomware-as-a-Service (RaaS), un modello in cui gli hacker “affittano” ransomware a gruppi meno esperti in cambio di una percentuale sui riscatti. Con costi bassi e strumenti sempre più sofisticati, attaccare è più facile che mai.

Come entra un ransomware nei sistemi?

Attraverso e-mail di phishing, allegati infetti o link camuffati. Altre volte, sfrutta falle in sistemi non aggiornati o credenziali rubate.

Il processo segue tre fasi principali:

1. Infezione: il malware entra nel sistema, di solito grazie a un errore umano (come appunto cliccare su un link sospetto).
2. Crittografia: i dati vengono bloccati e resi inaccessibili.
3. Estorsione: viene richiesto un pagamento per ottenere la chiave di sblocco.

Alcuni ransomware, inoltre, rubano i dati prima di crittografarli, minacciando la pubblicazione online se il riscatto non viene pagato. Un doppio ricatto dunque: perdita operativa e danno reputazionale.

Cosa fare prima, durante e dopo un attacco

1. Prima: prevenzione e consapevolezza

• Effettua backup regolari e salvali anche offline.
• Aggiorna costantemente software e sistemi operativi.
• Adotta un sistema di autenticazione a due fattori per gli accessi.
• Forma i dipendenti a riconoscere le minacce.

2. Durante: la fase del contenimento

• Isola subito il dispositivo o il sistema infetto.
• NON pagare il riscatto: non offre garanzie e alimenta l’economia criminale.
• Contatta un team di esperti in risposta agli incidenti.

3. Dopo: analisi e miglioramento

• Verifica se i dati sono stati esfiltrati e valuta eventuali violazioni della privacy.
• Rafforza le misure di sicurezza in base all’attacco subito.
• Notifica l’incidente alle autorità competenti, se richiesto.

Pagare non è un piano B, è un errore

Quando tutto è bloccato e ogni minuto pesa, pagare può sembrare la scorciatoia più rapida, ma spesso è solo l’inizio di nuovi guai. Pagare un riscatto non risolve, complica.

I file potrebbero non tornare mai, oppure tornare corrotti e inutilizzabili. Il malware potrebbe anche restare silente, pronto a riattivarsi.
Se paghi, inoltre, diventi un “cliente”, un bersaglio facile che ha già dimostrato di cedere. Sono molti i casi in cui chi paga viene colpito di nuovo.

Per non dimenticare il rischio legale: i fondi del riscatto potrebbero finire in circuiti collegati a gruppi terroristici o organizzazioni soggette a sanzioni internazionali. A quel punto, oltre al danno… anche la denuncia.

Dormire non è un’opzione

I criminali non dormono, ma spesso le aziende sì: sottovalutano, rimandano, tagliano sul budget per la sicurezza.

Poi arriva quel lunedì mattina in cui tutto si blocca ed è in quel momento che capisci che investire in protezione non era una spesa da evitare.