2 luglio 2026 • Sicurezza informatica
Il ransomware è una delle minacce più devastanti che le organizzazioni devono affrontare oggi. Un attacco riuscito può impedirvi l’accesso ai vostri sistemi nel giro di pochi minuti, bloccare le operazioni per giorni o settimane e costringervi a scegliere tra il pagamento di un riscatto e la ricostruzione da zero. La buona notizia è che la maggior parte degli attacchi ransomware è prevenibile, non attraverso strumenti di sicurezza sofisticati, ma grazie all’applicazione coerente di misure che ogni organizzazione può mettere in atto. Questa guida spiega come prevenire il ransomware, quali sono le misure più efficaci e quale ruolo gioca il fattore umano in tutto questo.
Che cos’è il ransomware? Un breve riassunto
Il ransomware è un tipo di malware che crittografa file o sistemi e richiede un pagamento, solitamente in criptovaluta, in cambio della chiave di decrittografia. Gli attacchi ransomware moderni spesso vanno oltre: gli autori degli attacchi sottraggono i dati prima di crittografarli e minacciano di renderli pubblici se il riscatto non viene pagato, una tecnica nota come “doppia estorsione”.
Il ransomware raggiunge le organizzazioni attraverso un numero limitato di vie: e-mail di phishing che inducono un dipendente a eseguire malware, lo sfruttamento di vulnerabilità non corrette, connessioni desktop remote compromesse e software o componenti della catena di approvvigionamento infetti. Comprendere i punti di ingresso è fondamentale per la prevenzione: si può bloccare solo ciò che si sa di dover cercare.
Per una spiegazione più approfondita del funzionamento del ransomware, consulta il nostro articolo sul significato e sul funzionamento del ransomware.
Come prevenire il ransomware: l'aspetto tecnico
La prevenzione del ransomware inizia con la chiusura delle vie di accesso più comunemente utilizzate dagli aggressori. Queste misure tecniche costituiscono la base fondamentale; senza di esse, nessuna campagna di sensibilizzazione può compensare l’esposizione al rischio:
- Assicuratevi che il software e i sistemi siano sempre aggiornati. La maggior parte dei ransomware sfrutta vulnerabilità note per le quali esistono già delle patch. Un processo coerente di gestione delle patch, applicato a server, endpoint, apparecchiature di rete e applicazioni di terze parti, elimina uno dei punti di accesso più comuni.
- Abilita l'autenticazione a più fattori (MFA). Le credenziali compromesse rappresentano una delle principali vie di accesso per il ransomware, in particolare tramite desktop remoto (RDP) ed e-mail. Grazie all'autenticazione a più fattori, le sole password rubate non sono sufficienti per ottenere l'accesso.
- Limitare l'accesso remoto. Disattivare l'RDP laddove non sia necessario. Laddove sia necessario, utilizzare una VPN con autenticazione a più fattori (MFA), limitare l'accesso in base a intervalli di indirizzi IP e monitorare eventuali orari o luoghi di accesso insoliti.
- Segmentate la vostra rete. Se un ransomware dovesse riuscire a penetrare nel sistema, la segmentazione della rete ne limiterà la diffusione. I sistemi critici e i dati sensibili dovrebbero essere isolati dalle reti generali dell’ufficio.
- Conservate i backup offline o in formato immutabile. Un attacco ransomware che colpisca il vostro sistema di backup vanifica lo scopo stesso della sua esistenza. I backup devono essere archiviati offline o in formato immutabile, testati regolarmente e tenuti separati dai sistemi di produzione.
- Implementare una soluzione di rilevamento e risposta agli endpoint (EDR). I moderni strumenti EDR rilevano comportamenti tipici del ransomware, la crittografia di massa dei file e i movimenti laterali, e sono in grado di bloccare un attacco in corso prima che provochi danni irreparabili.
- Filtra gli allegati e i link delle e-mail. Poiché il phishing è il principale metodo di diffusione del ransomware, gli strumenti di sicurezza e-mail che analizzano gli allegati, bloccano i link dannosi e segnalano i mittenti sospetti riducono notevolmente la superficie di attacco.
Prevenire il ransomware nella propria organizzazione: il ruolo dell’ambiente d’ufficio
I controlli tecnici riguardano i sistemi e il software. Tuttavia, l’ambiente d’ufficio introduce ulteriori fattori di rischio che vanno oltre l’infrastruttura IT: dispositivi condivisi, accesso dei visitatori alla rete, dispositivi personali collegati alla rete Wi-Fi aziendale, chiavette USB portate dall’esterno e dipendenti sotto pressione che prendono decisioni affrettate senza fermarsi a verificare.
Prevenire il ransomware in un contesto aziendale o d'ufficio significa definire politiche chiare relative a questi fattori di rischio e assicurarsi che i dipendenti ne comprendano le ragioni:
- Separazione della rete ospiti. I visitatori e i dispositivi personali non dovrebbero mai trovarsi nello stesso segmento di rete dei sistemi e dei dati aziendali.
- Politica relativa alle chiavette USB e ai supporti rimovibili. Le chiavette USB infette continuano a rappresentare un vero e proprio vettore di diffusione del ransomware, in particolare negli ambienti produttivi e logistici. Una politica che limiti o blocchi l'uso delle chiavette USB sui dispositivi aziendali elimina questo canale di diffusione.
- Procedure di escalation chiare. I dipendenti che sospettano che ci sia qualcosa che non va – un’e-mail insolita, un pop-up inaspettato, un sistema che si comporta in modo strano – devono sapere esattamente a chi rivolgersi e che farlo è incoraggiato, non punito. Segnalare tempestivamente un problema può fermare un incidente prima che si trasformi in un attacco su larga scala.
- Verifica degli accessi dei fornitori e di terze parti. Molti attacchi ransomware avvengono tramite un fornitore o un provider di servizi gestiti che dispone di accesso privilegiato ai sistemi dell’organizzazione bersaglio. Verificate chi dispone di accesso esterno, limitatelo allo stretto necessario e richiedete ai fornitori di rispettare standard minimi di sicurezza.
Il ransomware non fa distinzioni in base alle dimensioni dell'organizzazione. Le piccole imprese e gli uffici sono spesso presi di mira proprio perché si presume che dispongano di minori misure di sicurezza, e tale supposizione è spesso corretta.
Il fattore umano: perché la formazione sulla sicurezza è fondamentale per la prevenzione del ransomware
I controlli tecnici riducono la superficie di attacco, ma non possono eliminare il rischio umano. Il phishing è il metodo principale utilizzato per diffondere il ransomware, e il phishing ha successo non perché i filtri tecnici falliscano, ma perché una persona prende una decisione in un momento di distrazione, sotto pressione o per fiducia mal riposta.
Un dipendente che apre un allegato dannoso, inserisce le proprie credenziali su una pagina di accesso contraffatta o richiama il “team di sicurezza della banca” non è stupido. Sta semplicemente facendo ciò che chiunque farebbe se dovesse agire sulla base di informazioni incomplete e sotto pressione. La questione è come insegnare alle persone a riconoscere gli schemi ricorrenti, in modo che si fermino a riflettere e verifichino la situazione prima di agire, e questo si ottiene solo con la pratica.
La formazione sulla sicurezza informatica rafforza questa pratica attraverso sessioni brevi e regolari e simulazioni realistiche di attacchi di phishing. I dipendenti che hanno visto un’e-mail di phishing convincente nel contesto di una simulazione sono meglio preparati a riconoscerne una nella vita reale. Le organizzazioni che attuano programmi di sensibilizzazione continui registrano costantemente tassi di clic sui link di phishing più bassi, il che si traduce direttamente in un minor numero di punti di ingresso per il ransomware.
La formazione sulla sensibilizzazione modifica anche il modo in cui si reagisce quando si riceve un’e-mail sospetta. I dipendenti che hanno seguito tale formazione sono più propensi a segnalarla piuttosto che a cliccarci sopra. Questo cambiamento, dal ruolo di bersaglio passivo a quello di segnalatore attivo, rappresenta una delle misure di riduzione del rischio più significative che un’organizzazione possa adottare, a un costo relativamente basso e senza la necessità di infrastrutture aggiuntive.
Lista di controllo per la prevenzione del ransomware: a che punto è la vostra organizzazione?
Utilizza questa lista di controllo per valutare il livello attuale di protezione della tua organizzazione contro un attacco ransomware:
- Tutti i sistemi operativi, le applicazioni e il firmware vengono aggiornati entro un periodo di tempo prestabilito
- La funzione MFA è abilitata per la posta elettronica, l'accesso remoto e i sistemi critici
- L'RDP è disabilitato o protetto tramite VPN con autenticazione a più fattori (MFA)
- Esistono backup offline o immutabili, che vengono testati regolarmente
- La segmentazione della rete separa i sistemi critici dalle reti generali dell'ufficio
- Su tutti gli endpoint è installato EDR o un sistema equivalente
- Il filtro delle e-mail è configurato per bloccare allegati e link dannosi
- I dipendenti partecipano regolarmente a simulazioni di phishing e a corsi di formazione sulla sicurezza informatica
- Esiste una procedura chiara per la gestione degli incidenti e la segnalazione degli stessi, nota a tutto il personale
- L'accesso di soggetti terzi e fornitori viene verificato e limitato allo stretto necessario
Se più di due o tre di questi elementi mancano o non sono chiari, la vostra organizzazione è esposta in modo significativo al rischio di un attacco ransomware, ma tali lacune possono essere colmate.
Bloccare il punto di accesso umano al ransomware
Prima che un malintenzionato lo scopra.
Richiedi una demo