La maggior parte degli articoli sul ransomware inizia così: una statistica impressionante, una breve definizione, l’elenco delle vittime più colpite e una serie di migliori pratiche che danno per scontato che tu abbia un team di sicurezza dedicato e un budget illimitato.

Questo articolo è diverso....

Pur includendo statistiche a scopo informativo, abbiamo strutturato questo articolo con consigli pratici adatti al team e alle risorse effettivamente a tua disposizione. Se gestisci l'IT per una PMI, non devi lasciarti intimidire: sai già che la minaccia è reale e in continua evoluzione.

Di seguito trovi qualche idea veloce e semplice per iniziare, prima di approfondire il quadro di riferimento completo e i diversi aspetti che il tuo team può affrontare.

Promemoria:

5 cose che puoi fare questa settimana per ridurre in modo significativo il rischio di ransomware:

• Attiva l'autenticazione a più fattori (MFA) su tutti gli account: email, VPN, app cloud, strumenti di accesso remoto
• Verifica gli accessi amministrativi e rimuovi quelli non necessari
• Verifica se puoi effettivamente ripristinare i backup (non solo se esistono)
• Applica le patch ai 10 sistemi più critici
• Organizza una simulazione di phishing con il tuo team

Il resto dell’articolo spiega il quadro di riferimento alla base di queste azioni e come svilupparle nel tempo.

Cos'è il ransomware?

La Cybersecurity and Infrastructure Security Agency (CISA) definisce il ransomware come una forma di malware progettata per crittografare i file su un dispositivo, rendendo inutilizzabili sia i file che i sistemi che li utilizzano. Gli utenti malintenzionati chiedono poi un riscatto in cambio della decrittografia.

Gli attacchi ransomware moderni raramente si limitano alla crittografia. Oggi la maggior parte dei gruppi di hacker opera secondo il modello della doppia estorsione: prima rubano i tuoi dati, poi li crittografano, minacciando di pubblicarli se non paghi. Ciò significa che anche se disponi di backup, sei comunque sotto pressione.

Il modello Ransomware-as-a-Service (RaaS) ha ulteriormente alimentato la crescita esponenziale degli attacchi. Di fatto, le organizzazioni criminali danno in franchising i loro strumenti agli affiliati, che condividono i profitti. Ciò riduce le competenze tecniche necessarie per eseguire attacchi e ne aumenta drasticamente il volume. Solo nel mese di giugno 2025, il gruppo ransomware Qilin ha effettuato 81 attacchi, con un aumento del 47,3% rispetto al periodo precedente.

Gli aggressori prendono di mira attivamente le piccole imprese proprio perché tendono ad avere meno risorse per la sicurezza, strategie di backup meno solide e una minore capacità di risposta agli incidenti rispetto alle grandi aziende.

Perché le PMI sono nel mirino

"Il 47% delle piccole imprese con un fatturato inferiore ai 10 milioni di dollari è stato colpito da ransomware nell'ultimo anno."

— Rapporto ConnectWise sullo stato della sicurezza informatica delle PMI, 2025

L’idea che gli aggressori colpiscano solo i grandi obiettivi è ormai pericolosamente superata. Le PMI vengono prese di mira perché tendono ad avere:

• Team IT più piccoli con minore capacità di monitoraggio, applicazione di patch e risposta
• Lavoratori remoti e ibridi che accedono ai sistemi da dispositivi personali e reti domestiche
• Ambienti cloud spesso configurati in modo errato e poco monitorati
• Risposta agli incidenti meno matura: gli attacchi causano più danni prima di essere contenuti

E la posta in gioco economica è aumentata in modo significativo. Il pagamento medio di un riscatto è salito del 500%, raggiungendo i 2 milioni di dollari nel 2024. La fase di ripristino dopo un attacco malware costa ormai in media 2,73 milioni di dollari, senza contare i tempi di inattività, la perdita di clienti e i danni reputazionali. (ConnectWise, 2025)

Un altro fattore sta cambiando le carte in tavola: l’IA. L’83% delle PMI dichiara che l’IA ha aumentato il livello di minaccia per la sicurezza informatica della propria organizzazione. (ConnectWise, 2025) Gli aggressori usano l’IA per generare email di phishing sempre più credibili, automatizzare il furto di credenziali e adattare i payload dei malware in tempo reale. Gli attacchi stanno accelerando a un ritmo che la maggior parte delle difese tradizionali non riesce più a seguire.

Cosa significa Zero Trust?

Zero Trust è diventato un termine di sicurezza sempre più diffuso e spesso usato in modo generico nell’ambito IT; tuttavia, il suo principio fondamentale è: non fidarti di nessuno, verifica sempre. Non fidarti di nessun utente, dispositivo o connessione a priori, nemmeno se si trovano già all’interno della tua rete.

Questa è una svolta radicale rispetto alla sicurezza informatica tradizionale, che creava un firewall intorno alla rete e dava per scontato che al suo interno tutto fosse al sicuro. Il problema di quel modello è che, una volta che un aggressore supera il firewall — grazie a un’e-mail di phishing, credenziali compromesse o strumenti remoti vulnerabili — può agire indisturbato. Zero Trust elimina ogni possibilità di accesso non autorizzato.

Il quadro di riferimento si basa su tre principi:

Verifica esplicitamente: ogni richiesta di accesso deve essere autenticata in base a chi la fa, al dispositivo utilizzato e alla posizione geografica. A prescindere dal fatto che il comportamento dell'utente sembri normale. Questa verifica deve avvenire ogni volta, non solo al momento del primo accesso.

Usa il privilegio minimo: ogni persona dovrebbe avere accesso solo a ciò che è strettamente necessario per svolgere il proprio lavoro e a nient'altro. Se un account viene compromesso, il danno rimane circoscritto all’ambiente a cui il hacker riesce ad accedere.

Presumi la violazione: questo è il cambio di mentalità più importante per le PMI. Chiediti sempre: "Cosa succede se sono già dentro?" Questo approccio consente di progettare sistemi che limitano la libertà di movimento degli aggressori e l’entità dei danni che possono causare.

Il concetto fondamentale per le PMI: Zero Trust non è un singolo livello di sicurezza. È un approccio all’intera infrastruttura che puoi applicare progressivamente a ogni livello dell’ambiente esistente.

Migliori pratiche Zero Trust per le PMI

Ecco quello che di solito nessun articolo sulla sicurezza riconosce: la maggior parte delle PMI non può implementare tutto contemporaneamente. Non disponi di un grande team di sicurezza e il tuo budget deve essere suddiviso tra diverse priorità. Ogni nuovo strumento deve essere gestito da qualcuno.

Ma non è una scusa per non fare nulla. È il motivo per cui bisogna agire in modo strategico e dare priorità a ciò che ha il maggiore impatto. Le pratiche seguenti sono ordinate per impatto: inizia dalle prime e sviluppa il resto a partire da queste basi.

Uno. Attiva l’autenticazione a più fattori (MFA) ovunque

Questa è l’azione più efficace che puoi fare oggi.

Se una credenziale viene rubata tramite phishing, l’MFA è ciò che impedisce l'accesso diretto a un malintenzionato. Attivala su email, VPN, applicazioni cloud, strumenti di desktop remoto e su qualsiasi sistema che gestisca dati sensibili.

Dai la priorità agli autenticatori basati su app (come Microsoft Authenticator o Google Authenticator) rispetto ai codici SMS, che possono essere intercettati. È un'attività che richiede mezza giornata ma che può prevenire una violazione disastrosa.

Passaggio 2. Applica il principio del privilegio minimo

Inizia con una domanda: questa persona ha davvero bisogno dei diritti di amministratore?

Per quasi tutte le PMI, la risposta nella maggioranza dei casi è no. Rivedi l’elenco degli accessi da amministratore. Rimuovi i privilegi permanenti che non sono necessari quotidianamente. Quando possibile, utilizza accessi temporanei o just in time per i permessi elevati.

Già questo limita drasticamente ciò che un malintenzionato può fare con un account compromesso. Se accedono come utenti standard, non possono installare ransomware, modificare le automazioni o spostarsi all'interno della tua rete. Contenimento fin dalla progettazione.

3 Segmenta la tua rete

Se il ransomware riesce a penetrare, la microsegmentazione ne limita la diffusione.

Pensa alla tua rete come a una nave suddivisa in compartimenti. Una breccia in una zona non deve affondare l’intera imbarcazione. Le PMI non hanno bisogno di una complessità di livello aziendale e possono iniziare dalle seguenti azioni pratiche:

• Separare le postazioni di lavoro dei dipendenti dai server
• Isolare il Wi-Fi per gli ospiti dai sistemi interni
• Assicurarsi che i sistemi POS o finanziari non possano comunicare con i dati operativi o delle risorse umane

Esempio reale: un'azienda manifatturiera con 35 dipendenti ha subito un’infezione ransomware tramite il laptop di un fornitore esterno. Grazie alla segmentazione della rete effettuata l'anno precedente, l'attacco è stato circoscritto a una sola zona. Il ripristino ha richiesto solo qualche ora. Senza segmentazione, il recupero avrebbe richiesto settimane e avrebbe probabilmente comportato costi molto più elevati rispetto all’intervento di ripristino.

4° Applica sempre le patch in modo costante

Un software non aggiornato è una porta aperta. Gli aggressori conoscono il tuo ciclo di aggiornamenti meglio di quanto pensi.

Le vulnerabilità sfruttate sono tra le principali cause delle infezioni ransomware: rappresentano il 32% degli incidenti nel settore dei servizi finanziari. (Sophos, 2025) La sfida per le PMI non è capire che le patch sono importanti. È riuscire ad applicarle con costanza su ogni sistema operativo, applicazione, firmware e servizio cloud, mentre si gestisce anche tutto il resto.

Automatizza l'applicazione delle patch ovunque i tuoi strumenti lo permettano. Per ciò che non può essere automatizzato, stabilisci una pianificazione fissa e rispettala. Gli strumenti che ti offrono visibilità in tempo reale sugli endpoint da aggiornare trasformano un'attività manuale caotica in un processo gestito.

5 Adotta la cultura del “non fidarti mai, verifica sempre”

La tecnologia da sola non basta. Il fattore umano fa la differenza.

L’FBI ha ricevuto 193.407 segnalazioni di phishing e spoofing nel 2024, con perdite superiori a 70 milioni di dollari. Considerando che l’82,6% dei tentativi di phishing viene generato dall’IA, queste email stanno diventando sempre più difficili da riconoscere anche per i professionisti.

Una formazione breve e regolare sulla sicurezza, anche solo di 15 minuti a trimestre, può avere un impatto significativo nel ridurre la probabilità di un attacco di phishing riuscito. Puoi abbinarla a simulazioni occasionali di phishing, in modo che i dipendenti sviluppino la capacità di riconoscere gli attacchi attraverso la pratica e non solo con la teoria.

Adottare la cultura Zero Trust significa far comprendere al tuo team perché esistono questi criteri, non solo che è tenuto ad applicarli.

6° Monitora in modo continuo, non aspettare la richiesta di riscatto

Gli aggressori spesso rimangono all'interno di una rete per settimane prima di attivare un ransomware. Il monitoraggio consente di individuarli prima.

Gli strumenti di analisi comportamentale possono segnalare se un account inizia a comportarsi in modo insolito: accede a file che non modifica mai, effettua l’accesso in orari anomali, tenta movimenti laterali. Quel segnale precoce è ciò che distingue un incidente circoscritto da una violazione su larga scala.

Come minimo, assicurati che la registrazione dei log sia attiva sui sistemi critici e che gli avvisi vengano revisionati regolarmente. Se il tuo team non può garantire il monitoraggio continuo, questo è uno dei motivi più validi per adottare un servizio di rilevamento e risposta gestiti.

Protezione del cloud e dell'accesso remoto: da dove iniziano la maggior parte degli attacchi.

Gli strumenti di accesso remoto e gli ambienti cloud sono diventati i principali punti di ingresso per i ransomware e meritano un'attenzione specifica nella tua strategia Zero Trust.

L’accesso remoto è un bersaglio molto ambito proprio perché gli strumenti coinvolti hanno privilegi elevati su tutti i tuoi endpoint. Gli aggressori sfruttano VPN poco sicure, esposizioni del Remote Desktop Protocol (RDP) o vulnerabilità dei software di gestione IT per ottenere l’accesso contemporaneo a più sistemi.

Applicare il modello Zero Trust all’accesso remoto significa:

• Ogni sessione remota richiede una nuova autenticazione, non solo al momento dell'accesso iniziale
• L’accesso riguarda solo sistemi specifici, non l’intera rete
• Ogni sessione è registrata e verificabile
• Le attività automatiche sensibili richiedono una firma verificata prima dell’esecuzione. Pertanto, anche se un aggressore compromette il back-end, non può attivare nuove automazioni senza le credenziali corrette.

Gli ambienti cloud presentano rischi simili. Le configurazioni errate, come bucket di archiviazione aperti, permessi eccessivi, account di servizio inutilizzati, vengono costantemente sfruttate. Applica gli stessi principi di privilegio minimo e verifica alle risorse cloud che applichi al tuo ambiente locale.

In definitiva, per quanto riguarda gli strumenti remoti: la piattaforma che utilizzi per gestire i tuoi endpoint controlla l’accesso a tutti i tuoi sistemi. Assicurati che i principi Zero Trust siano stati integrati fin dalla progettazione, e non aggiunti successivamente.

Quando la prevenzione non basta: costruire la resilienza al ransomware

Anche con solidi controlli Zero Trust, le organizzazioni resilienti prevedono la possibilità che qualcosa riesca a superarli. Ecco gli elementi fondamentali di una strategia di resilienza concreta per le PMI:

Scopri dove sei esposto

Prima di poterti difendere dalle minacce, devi avere un quadro oggettivo della tua situazione attuale. Un’analisi delle vulnerabilità individua i punti deboli nei tuoi sistemi prima che lo facciano gli aggressori. Una valutazione del rischio mappa le risorse più critiche e ti aiuta a stabilire le priorità di investimento. Non deve essere per forza un progetto enorme: molti strumenti forniscono scansioni automatizzate con risultati in ordine di priorità su cui il team può intervenire.

Esegui il backup dei tuoi dati e testa il ripristino

Sembra ovvio. Non sempre però viene fatto nel modo giusto. I backup efficaci sono:

• Automatici e frequenti: non un processo manuale eseguito solo quando ci si ricorda
• Archiviati in più posizioni, inclusa una copia offline o isolata dalla rete e non raggiungibile dal ransomware
• Testati regolarmente: devi essere certo di poter effettivamente ripristinare i dati, non solo che il backup esista

I gruppi ransomware prendono sempre più di mira i sistemi di backup proprio perché eliminare le opzioni di ripristino rende più probabile il pagamento del riscatto. Proteggi i backup con lo stesso rigore dei sistemi produttivi.

Predisponi un piano di risposta agli incidenti scritto

Quando si verifica un attacco, la confusione e i ritardi amplificano i danni. Un piano semplice e documentato — chi dichiara l’incidente, chi isola i sistemi colpiti, chi contatta le forze dell’ordine, chi si occupa delle comunicazioni — può fare la differenza tra un problema circoscritto e un evento che segna la fine dell'attività aziendale. Non ti serve un manuale di 50 pagine. Basta una guida operativa di una pagina che il team abbia effettivamente letto.

Usa la DLP per bloccare l’esfiltrazione dei dati

Poiché i ransomware moderni rubano i dati prima di crittografarli, gli strumenti di Data Loss Prevention (DLP) aggiungono un livello importante: monitorano il movimento dei dati sensibili e bloccano i tentativi di esfiltrazione non autorizzati. Questo è particolarmente importante se gestisci dati personali dei clienti, dati finanziari o sanitari, dove una violazione ha conseguenze legali.

Come costruire la tua architettura Zero Trust: un punto di partenza pratico

Zero Trust non è un progetto con un punto di arrivo. È una direzione: l’obiettivo è migliorare costantemente, non raggiungere la perfezione.

Ecco una sequenza pratica per le PMI che vogliono evolvere verso lo Zero Trust:

• Passaggio 1 → Fai l’inventario delle tue risorse, dei tuoi account e dei tuoi accessi (non puoi proteggere ciò che non vedi)
• Passaggio 2 → Attiva l’MFA su tutto
• Passaggio 3 → Verifica e limita l’accesso degli amministratori e l'accesso privilegiato
• Passaggio 4 → Segmenta la tua rete
• Passaggio 5 → Implementa l'applicazione automatica delle patch e la scansione periodica delle vulnerabilità
• Passaggio 6 → Configura il monitoraggio e gli avvisi continui
• Passaggio 7 → Testa i tuoi backup e documenta il tuo piano di risposta agli incidenti
• Passaggio 8 → Forma il tuo team e investi nella formazione continua

Le aziende che resistono agli attacchi ransomware non sono necessariamente quelle con i budget più elevati. Sono quelle che hanno fatto scelte consapevoli e coerenti per rafforzare le proprie difese e non hanno aspettato una violazione per prendere sul serio la sicurezza.

Non devi fare tutto da solo e in una volta. Ciò che conta è iniziare e che gli strumenti su cui fai affidamento per gestire il tuo ambiente integrino la sicurezza fin dalla loro progettazione, non come aggiunta successiva.

Come LogMeIn Resolve supporta la tua strategia Zero Trust

L'architettura di sicurezza Zero Trust di LogMeIn Resolve applica un protocollo rigoroso che segue il principio "non fidarti di nessuno, verifica tutti" all'interno di un software o di un ambiente IT. Va ben oltre la sicurezza informatica tradizionale, che consente l'accesso illimitato all'interno della zona di attendibilità; una volta dentro, un malintenzionato può causare gravi danni.

L'approccio di LogMeIn alla sicurezza parte dal presupposto che esistono vari punti di accesso a un software o a un'infrastruttura IT: non solo il login tradizionale dell'utente, ma anche possibili backdoor, API (Application Program Interfaces) e altro ancora. Per questo motivo, ogni accesso ai dati sensibili e tutte le operazioni correlate dovrebbero richiedere un punto di verifica supplementare.

Il risultato: ogni endpoint è protetto e richiede una nuova autenticazione prima di poter eseguire qualsiasi operazione automatizzata. Più nello specifico, il processo di sicurezza di LogMeIn Resolve funziona così:

• L’applet sui dispositivi remoti accetta solo i comandi eseguiti dagli operatori autorizzati.
• Gli operatori devono creare e usare una chiave di firma univoca per riautenticarsi prima di eseguire attività sensibili.
• Questa chiave è nota solo all'agente, non a LogMeIn, e non può essere compromessa online.
• Anche se un utente malintenzionato riuscisse a violare il back-end o a impossessarsi in modo fraudolento delle credenziali di accesso, non riuscirebbe a modificare le operazioni automatiche degli endpoint né potrebbe crearne di nuove senza la chiave di firma.
• Gli endpoint rispondono solo ai comandi firmati.

Immagina che qualcuno provi a rapinare una banca: riesce a entrare nel caveau, ma si trova di fronte a centinaia di cassette di sicurezza, ciascuna con una chiave che solo il proprietario possiede.

Scopri di più sull'approccio di LogMeIn Resolve alla sicurezza Zero Trust nella chiacchierata con il nostro responsabile capo della sicurezza informatica, Attila Torok, e il Vicepresidente della progettazione, David Bisztrai, per capire come l'applicazione di questi principi possa aiutare a difendere la tua organizzazione da ransomware, attacchi alla catena di approvvigionamento e altre vulnerabilità che colpiscono aziende di ogni dimensione.