Nel 2026, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha registrato un aumento significativo degli incidenti cyber, con 313 segnalati nel solo mese di marzo. Secondo l'ACN, il dato cresce soprattutto grazie alla maggiore capacità di rilevare e segnalare a causa dell'entrata in regime della Direttiva NIS2.

Come si evolve un attacco ransomware

Quando un attacco ransomware colpisce un’azienda, inizia come un evento tecnico – ad esempio, un sistema IT che smette di funzionare o un’anomalia nei servizi informatici – ma si trasforma velocemente in una situazione che coinvolge anche questioni legali, strategiche e di comunicazione.

In poche ore, l’azienda si deve confrontare con decisioni complesse e ad alto impatto, che comporteranno effetti nel breve e lungo termine. Queste decisioni vanno prese sotto la pressione di un attacco in corso, mentre si gestiscono i danni tecnici e si preparano le risposte alle autorità e ai clienti.

Un ransomware è una tipologia di attacco che blocca l’accesso ai sistemi informatici e ai file di un’azienda finché non viene pagato un riscatto. Spesso si accompagna al furto dei dati, creando una doppia estorsione: l’impresa è bloccata e i dati rischiano di essere divulgati.

Impatto economico e reputazione

L’impatto economico degli attacchi ransomware è devastante. A livello globale, si stima che siano stati pagati oltre un miliardo di dollari in riscatti, con costi medi per ogni azienda colpita che toccano le centinaia di migliaia di euro.

L’indisponibilità dei sistemi informatici significa perdita di produttività, tempi per il ripristino e costi tecnici elevati. La perdita di dati, invece, comporta rischi di violazione della privacy, costi legali e danni reputazionali. Per aziende attive nel settore sanitario, energia, chimico o di servizi critici, l’impatto può essere estremamente grave.

Che cosa prevede la NIS2 in Italia

In Italia, il recepimento della Direttiva (UE) 2022/2555 (NIS2) è avvenuto attraverso il Decreto legislativo 4 settembre 2024, n. 138. L’obiettivo centrale è rafforzare la sicurezza informatica per proteggere imprese considerate "essenziali" o "importanti", in base alle dimensioni e al settore di appartenenza.

Attualmente in Italia sono circa 20.000 le imprese soggette alla NIS2.

Obblighi di notifica

Uno degli obblighi fondamentali della NIS2 è la notifica obbligatoria dell’autorità competente, il CSIRT Italia, per ogni incidente che abbia un impatto significativo sulla capacità dell’impresa di fornire i propri servizi. Gli attacchi ransomware rientrano tra queste criticità notificabili.

Le aziende devono segnalare gli incidenti entro 24 o 72 ore, a seconda della gravità e del tipo di evento. Questo obbligo rende espliciti incidenti che in passato sarebbero stati celati per motivi reputazionali o per mancanza obbligazioni legali.

Fasi d'azione post attacco

Qualsiasi impresa colpita da un cyber attacco dovrebbe affrontare alcune azioni critiche. Le prime due riguardano la risposta tecnica e le decisioni strategiche: identificare l’attacco e decidere se pagare il riscatto. La terza e cruciale è la comunicazione esterna.

Prima fase: identificazione e isolamento

Il momento in cui si percepisce un attacco ransomware è quando un sistema informatico non funziona più correttamente. A questo punto, è essenziale isolare i sistemi interessati e stabilire con chiarezza i confini dell’attacco.

Si tratta di un’attività tecnico-investigativa che richiede competenze elevate: i cybercriminali potrebbero aver operato nell’ambiente aziendale per settimane o mesi prima di sferrare l’attacco e potrebbero aver compromesso diversi account e sistemi.

Un rapido intervento, con la collaborazione di team interni ed esterni, come esperti IT, legali e professionisti forensi, permette di raccogliere le prove necessarie per effettuare analisi tecniche e legali. Questo step è necessario per fornire ai vertici dell’azienda una base decisionale affidabile.

Seconda fase: decisione sul riscatto

Una delle scelte più complesse in seguito a un attacco ransomware è decidere se negoziare e pagare il riscatto. Questa scelta coinvolge considerazioni legali, etiche e strategiche.

In Italia, non esiste una legislazione esplicita a vietare il pagamento del riscatto. Tuttavia, ACN e il Garante Privacy sconsigliano il pagamento, sottolineando i rischi di incentivare ulteriori attacchi e la potenziale legalità del pagamento.

Se, tuttavia, il pagamento del riscatto appare l'unica via percorribile per evitare conseguenze peggiori (come lo sospensione di servizi essenziali), i vertici aziendali dovranno considerare con attenzione la gestione, coinvolgendo esperti legali e tecnici.

Terza fase: comunicazione all’esterno

Un’altra dimensione cruciale è la comunicazione esterna, verso clienti, partner, investitori e il pubblico in generale.

Oltre agli obblighi di legge – come la notifica al Garante privacy nel caso di violazione dei dati sensibili o l’avviso ai destinatari del servizio, come previsto dall’Articolo 25 del Decreto NIS2 – la comunicazione esterna è anche strategica per preservare la reputazione dell’azienda.

Una comunicazione efficace deve essere tempestiva, precisa e non esagerata. Deve fornire informazioni chiare sugli eventi, sulle misure adottate, sui rischi potenziali e sulle opzioni per i danneggiati.

Per questo motivo, è consigliabile coinvolgere esperti in comunicazione aziendale in contesto di crisi per elaborare il messaggio. Tuttavia, le decisioni finali dovrei essere prese sempre dal management.

Preparazione preventiva

Gli effetti della NIS2 hanno reso visibile la dimensione reale degli attacchi informatici in Italia, una realtà che era rimasta sottovalutata in anni precedenti.

Ogni impresa dovrebbe disporre di un piano specifico per la gestione degli incidenti (incident response playbook) che possa essere attivato in tempi brevi. Le simulazioni periodiche (tabletop exercise) sono fondamentali per testare e migliorare questi piani.

Il ransomware rappresenta un caso limite che unisce aspetti tecnici, legali e reputazionali. Per ogni impresa, una gestione efficiente di questa tipologia di minacce richiede una cultura aziendale proatt