In questo inizio di 2026, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha registrato un forte aumento degli incidenti cyber, con 313 incidenti solo nel mese di marzo.
Si tratta di un dato significativo che, secondo ACN, è riconducibile principalmente all’impatto statistico dovuto alla “maggiore capacità di rilevazione e segnalazione dovuta alla NIS2, a fronte di impatti che restano complessivamente stabili”.
Quando un attacco ransomware colpisce un’impresa, quello che inizia come un evento tecnico – l’indisponibilità di un sistema informatico, un’anomalia nei processi – si trasforma rapidamente in una situazione che coinvolge delicate questioni legali, strategiche e comunicative. In poche ore, e con la pressione di un attacco in corso, le imprese si trovano a dover prendere decisioni che avranno ripercussioni significative nel breve e nel lungo periodo.
Indice degli argomenti
Gli attacchi ransomware e la NIS2 in Italia
Come noto, il ransomware è un tipo di attacco informatico che impedisce a un’impresa di accedere ai propri sistemi informatici e file finché non viene pagato un riscatto, il cosiddetto ransom.
Questa minaccia spesso viene accompagnata dalla sottrazione dei dati di modo che l’impresa si trovi di fronte a una doppia estorsione (double extortion): il blocco dei propri sistemi informatici e la perdita di confidenzialità delle informazioni.
L’impatto economico e di business degli attacchi ransomware è devastante. A livello globale, si parla di oltre un miliardo di dollari pagati in termini di riscatto, con costi medi per un’impresa colpita per centinaia di migliaia di euro.
Se l’indisponibilità di un sistema può avere un grande impatto in termini di perdita di capacità produttive – considerando i tempi di fermo, riparazioni tecniche e ripristino – la pubblicazione o vendita dei dati comporta grandi rischi sia in termini di confidenzialità delle informazioni che reputazionali.
La Direttiva (UE) 2022/2555 (NIS2) in Italia è stata recepita con il decreto legislativo 4 settembre 2024, n. 138 (Decreto NIS2), con la finalità dichiarata di migliorare il sistema economico rafforzando il livello di sicurezza contro gli attacchi informatici. Si applica alle imprese considerate “essenziali” o “importanti” secondo requisiti dimensionali e in base all’appartenenza a determinati settori di business, tra cui energia, trasporti, chimica, infrastrutture digitali. Ad oggi sono circa 20.000 le imprese considerate essenziali o importanti ai fini NIS2 in Italia.
Uno degli obblighi principali introdotti dalla NIS2 per i soggetti essenziali e importanti è la notifica all’autorità competente – il CSIRT Italia istituito presso ACN – di ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi. Tra questi incidenti rientrano solitamente gli attacchi ransomware. Obblighi che hanno chiaramente reso visibili incidenti che, in passato, sarebbero rimasti nell’ombra, celati dal timore reputazionale o dalla semplice assenza di un dovere di comunicazione.
Dall’evento tecnico alla crisi legale
Nel quadro normativo sopra descritto, le tre questioni fondamentali che ogni impresa colpita da un ransomware deve affrontare sono:
- come identificare l’attacco e se notificarlo alle autorità competenti;
- se sia possibile o opportuno negoziare con i cyber criminali; e
- come comunicare l’accaduto ai propri clienti e al pubblico.
Analizziamole.
Come identificare il ransomware e le attività di notifica
L’impresa ha evidenza di un attacco ransomware al più tardi quando un sistema smette di funzionare correttamente o presenta un’anomalia. Ancor prima delle attività di ripristino, è fondamentale isolare i sistemi colpiti e identificare correttamente il perimetro dell’attacco.
Si tratta di attività tecniche che richiedono un’alta specializzazione in quanto i cybercriminali potrebbero essere rimasti silenti per diverso tempo nell’infrastruttura aziendale prima di sferrare l’attacco, potrebbero aver compromesso diversi account utente ed essersi mossi in molteplici sistemi (lateral movements).
In questa prima fase è essenziale la cooperazione tra figure tecniche e legali, sia interne che esterne all’impresa. Le società di investigazioni forensi e gli studi legali possono supportare i dipartimenti IT e Legal interni nella ricerca di tracce e prove dell’attività dei cybercriminali, così come nella preparazione di report e analisi.
L’obiettivo di questa prima fase è quello di portare all’attenzione dei vertici dell’impresa, es., il consiglio di amministrazione, informazioni precise sull’attacco e le sue probabili conseguenze, in modo che possano essere prese tempestivamente le decisioni sulle notifiche alle autorità competenti negli stretti termini di legge (24 / 72 ore).
La negoziazione con i cyber criminali e il pagamento del riscatto
Una delle decisioni più delicate e controverse che un’impresa deve affrontare nel corso di un attacco ransomware è se negoziare con i cyber criminali e, in ultima analisi, se pagare il riscatto.
Si tratta di una decisione con implicazioni legali, etiche e strategiche che è naturale venga presa dai vertici aziendali.
In Italia non esiste una legge ad hoc che vieti il pagamento del riscatto in caso di attacco ransomware e, ad oggi, si ritiene che il pagamento non configuri di per sé un illecito penale. La tematica è tanto complessa quanto delicata e le autorità competenti – tra cui ACN e il Garante Privacy – sconsigliano di pagare i riscatti.
In determinate circostanze, tuttavia, il pagamento del riscatto può apparire come l’unica soluzione per evitare conseguenze peggiori. Si pensi ad esempio a un attacco ai sistemi di un ospedale utilizzati per le cure dei pazienti. Se da un lato esistono società specializzate nella negoziazione con i cyber criminali, dall’altro è fondamentale che ai vertici aziendali siano prospettati chiaramente i temi legali e le alternative disponibili al fine di prendere una decisione il più possibile informata.
La comunicazione ai clienti e al pubblico
La terza dimensione critica nella gestione di un attacco ransomware è la comunicazione verso l’esterno: clienti, partner commerciali, investitori e opinione pubblica.
Al di là degli obblighi normativi, tra cui ad esempio la comunicazione alle persone i cui dati personali sono stati coinvolti nell’attacco prevista dall’articolo 34 del GDPR e la comunicazione degli incidenti significativi ai destinatari dei servizi per i soggetti essenziali e importanti di cui all’articolo 25 del Decreto NIS2, la gestione della comunicazione durante un attacco ransomware è un elemento cruciale per la tutela della reputazione aziendale e per il mantenimento della fiducia dei clienti e del pubblico durante una situazione di “crisi”.
Una comunicazione efficace durante un attacco ransomware dovrebbe essere tempestiva, accurata e proporzionata. Dovrebbe informare le persone interessate di ciò che è accaduto, delle misure adottate per contenere l’incidente, dei potenziali rischi e delle azioni suggerite per proteggersi. È essenziale evitare sia l’allarmismo ingiustificato sia la minimizzazione dell’accaduto, trovando un equilibrio che preservi la reputazione dell’impresa.
Le comunicazioni ai clienti e al pubblico non devono essere sottovalutate, né per gli aspetti tecnici né per quelli legali. Anche in questo caso è possibile affiancare società specializzate nelle comunicazioni in situazioni di “crisi” alle figure tecniche e legali. È comunque sempre opportuno che l’ultima parola spetti ai vertici aziendali.
Il piano di risposta agli incidenti
L’effetto NIS2 ha reso visibile una realtà che per anni è rimasta sommersa, portando alla luce la portata effettiva delle minacce cyber che colpiscono quotidianamente le imprese italiane.
Il ransomware rimane la tipologia di attacco che più di ogni altra esemplifica la convergenza tra dimensione tecnica e dimensione legale della cybersicurezza. Un attacco ransomware trasforma in poche ore un’emergenza informatica in una crisi aziendale a tutto tondo.
Ogni impresa dovrebbe avere allora un piano di risposta agli incidenti (incident playbook), da attivare in caso di necessità: le simulazioni periodiche (tabletop exercise) sono fondamentali per non farsi trovare impreparati in caso di attacco informatico.
Se il piano può essere migliorato, è difatti molto meglio scoprirlo in un test che durante un attacco ransomware!
