Dalla duplicazione dei pagamenti ai ricatti con denunce alle autorità, lo studio 2025 di Semperis e Censuswide fotografa un fenomeno sempre più violento e mirato. In Italia, l’82% delle grandi aziende ha subito almeno un attacco nell’ultimo anno.
Il ransomware non accenna a diminuire. Al contrario, si fa più persistente, più ricattatorio, più aggressivo. Lo conferma il nuovo “2025 Ransomware Risk Report” di Semperis, azienda leader nella sicurezza delle identità digitali, realizzato in collaborazione con Censuswide su un campione di 1.500 organizzazioni in tutto il mondo. I risultati delineano uno scenario preoccupante: 78% delle aziende intervistate ha subito almeno un attacco ransomware negli ultimi 12 mesi, e tra queste, oltre il 70% è stata colpita più di una volta.
Ransomware come piaga globale: la pressione sale su tutti i fronti
Il dato più allarmante non è solo nella frequenza degli attacchi, ma nella loro brutalità crescente. Il 40% delle aziende vittime ha ricevuto minacce fisiche ai propri dirigenti. Negli Stati Uniti questa forma di intimidazione è stata registrata nel 46% dei casi, in Germania nel 44%, mentre in Italia il dato – pur più contenuto – resta significativo: 27%.
Accanto alla violenza fisica, si affaccia una nuova forma di ricatto: la minaccia di denunciare l’azienda alle autorità regolatorie. Il 47% delle aziende colpite ha subito pressioni in questo senso. A Singapore la percentuale raggiunge un picco del 66%, mentre in Italia il fenomeno coinvolge ancora una volta il 27% delle realtà attaccate.
Pagare non basta: attacchi ripetuti, dati pubblicati, chiavi corrotte
Nonostante un calo rispetto al 2024, il numero di aziende che scelgono di pagare rimane elevato: il 69% a livello globale ha versato almeno un riscatto. In Italia la percentuale è del 41%, ma è l’incidenza dei pagamenti multipli a colpire: l’8% delle aziende italiane ha pagato più di una volta, mentre negli Stati Uniti il dato sale al 47% e a Singapore al 50%.
E i pagamenti, spesso, non portano a nulla. Quasi il 20% delle vittime ha ricevuto chiavi di decrittazione difettose o ha visto i propri dati pubblicati nonostante la cifra versata. Un’ulteriore conferma della scarsa affidabilità delle “promesse” degli attori criminali.
L’identità digitale come punto d’ingresso: il caso italiano
In Italia, lo studio rivela che il principale vettore di attacco (56%) è l’infrastruttura di identità digitale, come Active Directory o Entra ID. Per il 12% delle organizzazioni manca ancora un piano di disaster recovery mirato al ripristino dell’identità, mentre l’8% non ha backup. Il tempo medio di ripristino dopo un attacco con esito dannoso va da un giorno a meno di una settimana, ma le ferite più profonde restano: perdita di dati e danno reputazionale, entrambi indicati dal 45% delle aziende italiane.
Anche i costi sono ingenti: il 50% delle aziende che ha pagato un riscatto ha speso tra i 500 e i 750 mila dollari.
Cresce la pressione normativa e geopolitica
Guardando al futuro, le principali preoccupazioni per la resilienza operativa sono legate alle minacce informatiche (45%), all’adeguamento alle direttive di cybersecurity (35%) e ai limiti di budget (31%). Sul fronte prettamente tecnico, le minacce maggiori riguardano l’aumento della sofisticazione degli attacchi (42%), le instabilità geopolitiche (30%) e le vulnerabilità legacy (20%).
Una guerra continua: servono esercitazioni e partner più sicuri
Secondo Mickey Bresman, CEO di Semperis, pagare il riscatto non è una soluzione, ma un acconto sul prossimo attacco. L’unico modo per interrompere la spirale è investire nella resilienza informatica: “Ogni dollaro dato ai gruppi ransomware alimenta la loro economia criminale. Dobbiamo rendere concreta l’opzione di non pagare”.
Nel concreto, Semperis raccomanda tre linee d’azione prioritarie:
- Rafforzare la sicurezza lungo tutta la filiera, inclusi partner e fornitori.
- Prepararsi a tecniche di attacco sempre più raffinate.
- Eseguire regolarmente tabletop exercises, simulazioni per allenare la risposta alle emergenze.
Un messaggio condiviso anche da Jen Easterly, ex direttrice della CISA americana: “Possiamo immaginare un mondo in cui il ransomware sia un’anomalia, come lo è oggi una collisione aerea. Dobbiamo rendere rara la vulnerabilità, non la resilienza”.
Conclusioni: resilienza come unica via
I numeri del rapporto 2025 confermano che il ransomware è un problema sistemico, non episodico. Colpisce trasversalmente i settori economici, sfrutta debolezze ben note (identità, patching, backup) e si rafforza con ogni pagamento. In un panorama in cui anche la minaccia fisica diventa parte della strategia estorsiva, l’unica risposta efficace è una cyber hygiene continua e verificabile, centrata sull’identità digitale, sulle simulazioni realistiche e su un approccio integrato alla sicurezza.
