Sophos ha pubblicato l’edizione 2025 del suo annuale report State of Ransomware, un’analisi approfondita sull’impatto degli attacchi ransomware a livello globale. I dati sono stati raccolti intervistando 3.400 responsabili IT e della sicurezza informatica in 17 Paesi, tra cui l’Italia. I risultati mostrano un quadro in chiaroscuro; da un lato si registrano segnali positivi, come una crescente capacità di mitigare i danni e contenere i costi, mentre dall’altro emergono criticità strutturali, come la persistente presenza di vulnerabilità sfruttabili e una cronica carenza di risorse e competenze.

Riscatti sempre più contenuti grazie a trattative efficaci

Quasi il 50% delle aziende colpite da ransomware ha scelto di pagare il riscatto, il secondo valore più alto mai registrato in sei anni di rilevazioni. Tuttavia, più della metà dei pagamenti effettuati (53%) è stato inferiore all’importo inizialmente richiesto. In sette casi su dieci, la riduzione è stata ottenuta grazie a una negoziazione condotta direttamente dall’azienda o con l’aiuto di terze parti specializzate.

Nel confronto tra 2024 e 2025, la mediana dei riscatti versati si è inoltre dimezzata attestandosi su 1 milione di dollari, mentre la cifra inizialmente richiesta è scesa di un terzo. L’entità delle richieste varia sensibilmente in base alle dimensioni aziendali: oltre 5 milioni di dollari per le imprese con fatturato superiore al miliardo, contro meno di 350.000 per quelle con meno di 250 milioni di ricavi.

Per il terzo anno consecutivo, la principale causa tecnica degli attacchi ransomware è stata la presenza di vulnerabilità nei sistemi aziendali. Inoltre, nel 40% dei casi le aziende non erano consapevoli della falla sfruttata, un dato che riflette le difficoltà persistenti nel monitorare e proteggere le superfici di attacco.

Il 63% degli intervistati ha segnalato una carenza di risorse come fattore abilitante per l’attacco. La mancanza di competenze è risultata la principale criticità nelle aziende di grandi dimensioni (oltre 3.000 dipendenti), mentre l’insufficienza di personale colpisce soprattutto le imprese medio-piccole (251–500 dipendenti).

SOPHOS STATE OF RANSOMWARE INFOGRAFICA (3)

Focus sull’Italia: meno crittografie, meno riscatti, ma allerta sempre alta

I dati italiani offrono uno spaccato interessante. Nel nostro Paese, la causa tecnica più comune degli attacchi ransomware è lo sfruttamento di vulnerabilità (35%), seguito dal phishing (23%) e dall’uso di credenziali compromesse (16%). A livello operativo, le lacune principali riguardano la mancanza di competenze specifiche (45%) e la presenza di difese non adeguatamente configurate (37%).

Nel 2025, il 55% degli attacchi ha comportato la cifratura dei dati, in calo rispetto all’85% del 2024, mentre solo nell’11% dei casi i dati sono stati anche sottratti, un miglioramento importante rispetto al 45% dell’anno precedente. Il 99% delle aziende colpite ha comunque recuperato i dati crittografati, per lo più grazie ai backup (58%) o, in minor misura, pagando il riscatto (27%).

Le cifre relative ai riscatti in Italia restano in ogni caso elevate. La mediana delle richieste nel 2025 è stata infatti di 4,12 milioni di dollari, mentre quella dei pagamenti effettivi è stata di 2,06 milioni, in lieve calo rispetto all’anno precedente. Il 62% delle aziende italiane ha pagato meno del richiesto, il 14% lo stesso importo, e il 24% più del richiesto.

Ripristino più rapido e minori costi post-attacco

Le aziende italiane mostrano anche segni di maggiore resilienza con il 46% che è infatti riuscito a ripristinare le attività entro una settimana contro il 23% del 2024. Solo il 26% ha impiegato da uno a sei mesi (nel 2024 era il 50%). Anche le spese post-attacco sono diminuite: escluse le somme versate per i riscatti, i costi medi sostenuti per tornare alla normalità sono stati di 3,55 milioni di dollari, in netto calo rispetto ai 5,38 milioni dell’anno precedente.

SOPHOS STATE OF RANSOMWARE INFOGRAFICA (1)

Oltre ai danni economici e tecnici, secondo i dati di Sophos gli attacchi ransomware lasciano segni anche sull’organizzazione e sul personale IT:

  • Il 39% delle aziende ha modificato team o struttura interna
  • Il 36% ha registrato un aumento permanente del carico di lavoro
  • Il 35% ha segnalato ansia e stress tra i dipendenti per il timore di nuovi attacchi
  • Il 32% ha rilevato assenze o malesseri legati allo stress post-attacco

Un dato incoraggiante arriva dal fronte della prevenzione, visto che a livello globale il 44% delle aziende è riuscito a bloccare gli attacchi prima che cifrassero i dati, un record storico. Tuttavia, solo il 54% ha usato i backup per il recupero, il valore più basso registrato finora. Anche i costi di ripristino sono calati, con la mediana scesa da 2,73 milioni nel 2024 a 1,53 milioni di dollari nel 2025. L’entità dei riscatti varia per settore: le pubbliche amministrazioni sono quelle che pagano di più (2,5 milioni), mentre la sanità versa in media solo 150.000 dollari.

Strategie di difesa consigliate

Sophos consiglia infine tre best practice per difendersi dal ransomware:

  • Dotarsi di endpoint protection anti-ransomware per server e dispositivi
  • Preparare un piano collaudato di risposta agli incidenti con backup testati
  • Avere monitoraggio attivo 24/7, affidandosi a fornitori MDR (Managed Detection and Response) quando le risorse interne non bastano.

Come sottolinea Chester Wisniewski, Director e Field CISO di Sophos, il ransomware è ormai una realtà endemica con cui molte aziende sanno di dover convivere: “La buona notizia è che il settore si sta attrezzando. Tra assicurazioni cyber, servizi MDR e best practice, chi viene colpito oggi ha più strumenti per limitare i danni e recuperare più in fretta. Ma il segreto resta sempre lo stesso: non dare agli attaccanti ciò che vogliono: i soldi.”