Nonostante sia uno dei metodi di attacco più antichi, che quest’anno conta 36 candeline da quando ha iniziato a fare le prime vittime, il ransomware è ancora molto diffuso e fa tanta paura.
L’Italia, secondo l’ACN, Agenzia per la Cybersicurezza Nazionale, è il terzo Paese dell’Unione Europea, dopo Germania e Francia, più colpito dagli attacchi ransomware e il sesto a livello mondiale.
Le vittime predilette dei pirati sono le piccole e medie imprese, soprattutto nell’area settentrionale più produttiva del Paese e, in particolare, quelle aziende dove ancora non si è sviluppata una cultura della cybersicurezza adeguata al rischio attuale.
Una situazione talmente grave da mettere a rischio la sicurezza nazionale, come evidenziato dalla Relazione sulla politica dell’informazione per la sicurezza del 2025, visto che gli attacchi ransomware vengono sempre più utilizzati anche a fini di spionaggio e sabotaggio da parte di soggetti legati agli Stati.
Per questi motivi il panorama normativo italiano contro gli attacchi cyber si doterà probabilmente presto di un altro strumento: un nuovo disegno di legge che è stato presentato lo scorso 20 marzo alla Camera dei Deputati a firma di Matteo Mauri (Pd) e che ha l’obiettivo di rafforzare la struttura difensiva del nostro paese contro gli attacchi cibernetici e in particolare il ransomware.
Il cuore della proposta di legge, articolato in un unico articolo che delega il Governo a intervenire con decreti legislativi entro sei mesi, è rappresentata dal divieto di pagamento del riscatto e dall’obbligo di notifica al CSIRT entro 6 ore. Inoltre sono previste misure di intelligence e task force nazionale, e un fondo per le aziende colpite.
Nello specifico queste sono le nove direttrici fondamentali previste dalla norma.
- Divieto di pagamento del riscatto per i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica. Il divieto potrà essere derogato solo con un atto del Presidente del Consiglio in presenza di gravi rischi per la sicurezza nazionale.
- Obbligo di notifica al CSIRT Italia entro sei ore dalla scoperta di un attacco ransomware, con sanzioni amministrative in caso di inadempienza. Il CSIRT dovrà a sua volta informare Polizia Postale, autorità di vigilanza (DORA) e, se rilevante, anche il Ministero della Difesa.
- Qualificazione dell’attacco come minaccia alla sicurezza nazionale e possibilità per il Presidente del Consiglio di attivare misure di intelligence cibernetiche anche in assenza di crisi conclamate.
- Attività sotto copertura delle Forze dell’Ordine anche su reti informatiche all’estero per indagini su reati informatici.
- Piano d’azione nazionale dell’ACN, con misure operative e preventive a sostegno delle vittime, in particolare PMI e PA locali. Tra le azioni previste: assistenza nella gestione dell’attacco, contenimento, ripristino dei sistemi e valutazione di alternative al pagamento del riscatto.
- Istituzione di una task force nazionale anti-ransomware presso il CSIRT Italia, con funzioni di coordinamento operativo, condivisione di informazioni e supporto alle vittime.
- Incentivi economici all’ACN per l’attuazione delle misure previste.
- Creazione del “Fondo nazionale di risposta agli attacchi ransomware”, destinato a supportare i soggetti pubblici e privati nel ristoro, anche solo parziale, delle perdite economiche subite a seguito di un attacco. L’accesso al fondo sarà possibile solo per chi dimostrerà di aver notificato correttamente l’incidente e seguito le indicazioni operative dell’ACN.
Ransomware: storia e sviluppo del principe degli attacchi
Era il 1989 quando, durante una conferenza sull’Aids, un biologo di nome Joseph Popp ha distribuito un floppy disk ai presenti contenente il ransomware chiamato PC Cyborg Trojan e ribattezzato AIDS Trojan. Questo criptava i nomi dei file con un metodo di crittografia e chiedeva un riscatto di 189 dollari.
É nato così, 36 anni fa, il ransomware. Da allora si è costantemente evoluto mietendo sempre più vittime e diventando uno dei principali spauracchi del web.
Si tratta di un malware che infetta i computer e rende inaccessibili i dati con l’obiettivo di chiedere un riscatto per ripristinarli. Come del resto dice il nome stesso: “ransom” in inglese significa proprio “riscatto”.
La minaccia arriva generalmente tramite e-mail, camuffate da comunicazioni ufficiali, che spingono gli utenti, in genere dipendenti o collaboratori di un’azienda o di un’organizzazione, a scaricare allegati o cliccare su un link. Questa azione installa un software che agisce in background escludendo l’utente dall’accesso ai file sul computer preso di mira, tramite blocco crittografico.
Dal punto di vista dei criminali si tratta di un’azione relativamente facile, redditizia e quindi molto attraente.
Per le aziende invece il danno è enorme perché oltre al riscatto vero e proprio le vittime devono mettere in conto l’interruzione delle loro attività, la perdita o il danneggiamento dei dati, che spesso non vengono ripristinati nonostante il pagamento del riscatto e, infine, il danno alla reputazione.
Secondo il nuovo report Ransomfeed che offre un’analisi dettagliata dell’andamento del ransomware a livello globale, le rivendicazioni ransomware globali nel secondo quadrimestre 2024 sono state 1.747.
Di queste, 58 hanno riguardato l’Italia ed equivalgono a poco più di un attacco ransomware ogni due giorni, con un incremento quasi del 100% rispetto al secondo quadrimestre del 2022.
Il peso economico degli attacchi informatici
Il costo medio di una violazione dei dati in Italia, secondo il recente Cost of a Data Breach Report 2024 di IBM, ha raggiunto i 4,37 milioni di euro.
Il settore manifatturiero, quello sanitario e i servizi pubblici risultano tra i più colpiti. L’incremento degli attacchi ha reso ancora più evidente la fragilità delle infrastrutture digitali italiane.
Nonostante la crescita e la maggiore raffinatezza degli attacchi, ciò che emerge dai Report dei ricercatori è comunque una preoccupante insufficienza nella consapevolezza delle minacce cibernetiche, sia tra le aziende sia tra le istituzioni pubbliche.
Un gap di consapevolezza che si traduce in risposte inadeguate e ritardi nell’adozione di misure di sicurezza efficaci.
Oltre al danno anche la multa
In Italia, oltre ai danni suddetti le vittime di ransomware sono inoltre soggette a sanzioni in base a un provvedimento emanato nel 2022 dal Garante per la protezione dei dati personali. Un monito nei confronti delle organizzazioni che devono attrezzarsi meglio per la protezione dei dati e la gestione del rischio cyber.
Come difendersi
Per difendersi da questo genere di attacchi, sono senz’altro utili misure di tipo tecnico.
Tra queste, le più importanti sono le strategie di backup, una corretta gestione delle credenziali di autenticazione e l’installazione di sistemi di monitoraggio e anti-intrusione per individuare in modo rapido eventuali “contagi”.
Tuttavia, essendo il ransomware un metodo di attacco che sfrutta l’elemento umano facendo leva sulla vulnerabilità, sulla distrazione, sull’emotività e, in generale, sulla mancanza di un’adeguata postura digitale, è imprescindibile che oggi le aziende e le organizzazioni investano in percorsi formativi di eccellenza, continuamente aggiornati e che prevedano esercitazioni pratiche e training personalizzati.
L’obiettivo è quello di trasformare il “fattore umano” da anello debole della catena a primo fattore di difesa.
