1. Definizione e Qualificazione Giuridica dei Dati Sanitari

I dati relativi alla salute sono definiti dall’articolo 4, paragrafo 1, numero 15, del Regolamento (UE) 2016/679 (GDPR) come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Questa nozione ampia include non solo informazioni tradizionali come diagnosi, referti e terapie, ma anche qualsiasi dato (come un numero identificativo univoco) dal quale si possano desumere informazioni sullo stato di salute di un individuo.

Tali dati sono classificati come “categorie particolari di dati personali” ai sensi dell’articolo 9 del GDPR. Il loro trattamento è, in linea di principio, vietato, data la loro natura estremamente sensibile e i rischi significativi che un loro trattamento improprio potrebbe comportare per i diritti e le libertà fondamentali delle persone fisiche, come evidenziato dal Considerando 51 del Regolamento.

2. Quadro Normativo di Riferimento
3. Dati Sanitari: Aspetti Critici nella Protezione

La gestione dei dati sanitari è disciplinata da un complesso quadro normativo che integra fonti europee e nazionali:

1. Regolamento (UE) 2016/679 (GDPR): È la fonte normativa principale. L’articolo 9 stabilisce il divieto generale di trattamento delle categorie particolari di dati e le relative eccezioni. L’articolo 32 impone l’adozione di misure di sicurezza adeguate al rischio, mentre l’articolo 25 sancisce i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (Privacy by Design & by Default).
2. Codice in materia di protezione dei dati personali (D.Lgs. 196/2003): Come novellato dal D.Lgs. 101/2018, il Codice integra e specifica le disposizioni del GDPR nell’ordinamento italiano, con norme specifiche per il settore sanitario (es. artt. 75 e ss.).
3. Provvedimenti del Garante per la protezione dei dati personali: L’Autorità ha emanato numerosi provvedimenti e linee guida per fornire indicazioni operative agli operatori del settore. Tra questi, i “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019 e le “Prescrizioni relative al trattamento di categorie particolari di dati” del 5 giugno 2019 sono di fondamentale importanza.

3. Principi e Basi Giuridiche per il Trattamento Lecito

Il divieto di trattamento dei dati sanitari di cui all’art. 9, par. 1, del GDPR può essere superato solo in presenza di una delle condizioni di liceità elencate al paragrafo 2 dello stesso articolo. Per l’ambito sanitario, le basi giuridiche più rilevanti sono:

• Finalità di cura (Art. 9, par. 2, lett. h): Il trattamento è necessario per “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali”. Tale trattamento deve avvenire sulla base del diritto dell’Unione o degli Stati membri o di un contratto con un professionista della sanità e deve essere effettuato da o sotto la responsabilità di un professionista soggetto al segreto professionale.
• Consenso esplicito dell’interessato (Art. 9, par. 2, lett. a): Per finalità diverse dalla cura (es. utilizzo di app per il monitoraggio dello stile di vita, trattamenti per finalità commerciali o promozionali), è necessario acquisire il consenso esplicito, libero, specifico e informato dell’interessato.
• Motivi di interesse pubblico nel settore della sanità pubblica (Art. 9, par. 2, lett. i): Questa base giuridica è utilizzata, ad esempio, per il monitoraggio delle epidemie o per altre minacce sanitarie transfrontaliere, e deve essere prevista da una norma di legge.

Indipendentemente dalla base giuridica, ogni trattamento deve rispettare i principi fondamentali dell’articolo 5 del GDPR: liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

4. Misure di Sicurezza Tecniche e Organizzative

L’articolo 32 del GDPR impone al titolare e al responsabile del trattamento di mettere in atto “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”. Data l’elevata sensibilità dei dati sanitari, sono richiesti i più elevati standard di sicurezza.

5. Rischi e Responsabilità in caso di Violazione

La gestione inadeguata dei dati sanitari espone il titolare a gravi conseguenze.

• Sanzioni Amministrative: Il Garante può irrogare sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato annuo mondiale, a seconda della gravità della violazione (art. 83 GDPR).
• Diritto al Risarcimento del Danno (Art. 82 GDPR): Chiunque subisca un danno, materiale o immateriale, a causa di una violazione del GDPR ha diritto a ottenere un risarcimento. La giurisprudenza ha chiarito che:

• • La responsabilità del titolare è presunta: è suo onere dimostrare che l’evento dannoso non gli è in alcun modo imputabile.

• • Il danno non è in re ipsa (automatico): la mera violazione della norma non è sufficiente. L’interessato deve provare di aver subito un danno effettivo e il nesso causale con la violazione.

• • Anche una “perdita del controllo” sui propri dati può costituire un danno immateriale risarcibile, purché l’interessato dimostri di aver subito un pregiudizio effettivo, “per quanto minimo”.

Conclusioni

La protezione dei dati sanitari è un obbligo giuridico non derogabile e un imperativo etico. Non è sufficiente affidarsi a misure di sicurezza generiche; è necessario un approccio olistico e proattivo, basato sui principi di Privacy by Design e by Default Cit. 41. Le organizzazioni sanitarie devono integrare la protezione dei dati in ogni processo, adottando misure tecniche e organizzative rigorose, garantendo una formazione costante del personale e mantenendo un alto livello di vigilanza. Solo così è possibile tutelare la riservatezza degli individui, mantenere la loro fiducia e mitigare i severi rischi legali, finanziari e reputazionali associati a una gestione non conforme.

Lo smartphone non è più solo un telefono.
È il nostro documento digitale, la chiave di accesso a conti bancari, email, cloud, social network, strumenti di lavoro, sistemi aziendali e identità digitali.

Eppure, paradossalmente, è anche il dispositivo che proteggiamo peggio.

Nel 2026 il mobile è diventato il primo punto di accesso alla vita digitale di una persona. Ed è proprio per questo che è diventato uno degli obiettivi preferiti degli attaccanti.
Secondo i dati più recenti, i malware mobile sono aumentati del 250%, spinti dalla diffusione di app contraffatte, reti Wi-Fi non sicure e tecniche di social engineering sempre più sofisticate.

Non parliamo più di scenari “eccezionali”.
I rischi oggi sono quotidiani.

Perché lo smartphone è così esposto

A differenza dei computer aziendali, lo smartphone viene utilizzato in modo continuo, personale e informale.
Lo portiamo ovunque, lo colleghiamo a reti pubbliche, lo usiamo per lavoro e per la vita privata, spesso senza separare i contesti.

Secondo NIST, OWASP e CISA, le principali superfici di attacco mobile includono:

• App fake o compromesse, spesso indistinguibili da quelle legittime

• Wi-Fi pubblici che permettono intercettazioni e attacchi man-in-the-middle

• QR code malevoli, sempre più usati come vettori di phishing

• Permessi concessi con leggerezza, che espongono dati e funzionalità critiche

Il problema non è solo tecnico.
È comportamentale.

Le tre abitudini che fanno davvero la differenza

La sicurezza mobile non richiede soluzioni complesse, ma disciplina quotidiana.

1. Aggiornare davvero
   Non “quando avrò tempo”, non “domani”.
   Gli aggiornamenti correggono vulnerabilità già note e spesso già sfruttate dagli attaccanti.

2. Installare app solo dagli store ufficiali
   Anche quando un link sembra affidabile o arriva da una fonte conosciuta.
   Fuori dagli store, il controllo di sicurezza è minimo o inesistente.

3. Attivare l’autenticazione biometrica ovunque sia possibile
   Impronta, volto, PIN robusti: ogni livello in più riduce drasticamente il rischio di accesso non autorizzato.

Sono azioni semplici, ma spesso trascurate.
Ed è proprio su queste disattenzioni che si basano molti attacchi riusciti.

Lo smartphone è diventato il telecomando della nostra vita digitale.
Da lì passano identità, autorizzazioni, accessi e decisioni.

Trattarlo come un dispositivo “secondario” è un errore che oggi non possiamo più permetterci.
Proteggere il mobile significa proteggere l’intero ecosistema digitale personale e aziendale.

Vuoi verificare quanto sono davvero sicuri i dispositivi mobili della tua organizzazione?

Audita esegue:

• Vulnerability Assessment su dispositivi mobili

• controlli di sicurezza su account e accessi aziendali

• valutazioni della postura di sicurezza

(Fonti: NIST, OWASP MASVS, CISA Mobile Security)

Siamo oramai alle porte del 2026, utilizziamo quotidianamente strumenti digitali avanzati, intelligenza artificiale, piattaforme cloud e sistemi di sicurezza sempre più sofisticati.
Eppure continuiamo a cadere nelle truffe online.

Il punto non è che “non sappiamo usare la tecnologia”.
Il problema è l’opposto: ci fidiamo troppo.

Negli ultimi anni gli attacchi di phishing hanno fatto un salto di qualità radicale.
Non si tratta più di email scritte male o link palesemente sospetti. Oggi parliamo di messaggi costruiti con precisione, spesso generati o supportati dall’AI, personalizzati sulla base delle nostre tracce digitali: ruoli professionali, relazioni, interessi, abitudini.

Secondo ENISA, oltre l’80% degli incidenti di sicurezza ha origine da un’interazione umana: un clic, una risposta, un file aperto senza verificarne la provenienza.
CISA e Clusit confermano lo stesso scenario: la maggior parte degli attacchi riesce non perché i sistemi siano deboli, ma perché le persone vengono indotte a fidarsi nel momento sbagliato.

Questo cambia completamente il paradigma della sicurezza.
Oggi la cybersecurity non è più solo una questione di firewall, antivirus o strumenti di rilevamento avanzati.
È, prima di tutto, una questione di attenzione, consapevolezza e comportamento.

Cosa fare, ogni giorno, nella pratica

La difesa più efficace parte da abitudini semplici, ma costanti:

• Non fidarsi mai delle comunicazioni che creano urgenza o pressione emotiva

• Verificare sempre il mittente reale, non solo il nome visualizzato

• Limitare le informazioni condivise pubblicamente, soprattutto sui social professionali

• Diffidare di richieste “insolite”, anche se sembrano provenire da contatti noti

Non serve diventare paranoici. Serve diventare consapevoli.

Spesso la differenza tra un incidente e un attacco sventato non è una tecnologia in più, ma cinque secondi di attenzione prima di cliccare.

Nel 2026, la sicurezza non fallisce perché manca la tecnologia.
Fallisce quando diamo per scontato che la tecnologia ci protegga sempre, comunque, da tutto.

Il vero perimetro di sicurezza oggi passa dalle persone.

Vuoi rendere la tua azienda davvero resistente agli attacchi che colpiscono il fattore umano?

Audita supporta le organizzazioni con:

• programmi di formazione mirata

• valutazione della postura cyber

• simulazioni di phishing realistiche

per aumentare la consapevolezza e ridurre il rischio reale.

(Fonti: ENISA, CISA, Clusit)

Cosa significa “zero-day”

Un exploit zero-day si basa su una vulnerabilità (difetto, falla) in software, hardware o firmware che non è ancora conosciuta dal fornitore del sistema o non è stata patchata.

Ecco le differenze di base:

• La vulnerabilità zero-day è la falla stessa, sconosciuta o non mitigata.
• L’exploit zero-day è il codice, metodo o tecnica che sfrutta quella falla.
• Un attacco zero-day è quando quell’exploit viene realmente usato per compromettere un sistema, rubare dati, installare malware, ecc.

Il nome “zero-day” deriva proprio dal fatto che il fornitore ha “zero giorni” (ossia nessun tempo) per reagire prima che la vulnerabilità venga sfruttata.

Perché gli exploit zero-day sono particolarmente pericolosi

Ci sono diversi motivi per cui questi exploit rappresentano una delle minacce più temute:

1. Assenza di protezione preventiva
   Siccome la falla è sconosciuta o non patchata, non esistono aggiornamenti o contromisure specifiche finché non viene scoperta ufficialmente. Strumenti di difesa basati su firme (antivirus tradizionali, rilevatori statici) spesso non la intercettano.
2. Tempo della finestra di rischio
   Dopo che è emersa la vulnerabilità, c’è un periodo in cui molti sistemi restano esposti finché non viene distribuita la patch e gli utenti la installano. In questi intervalli, gli aggressori possono sfruttarla. Più veloce è il tempo di risposta, minore è il rischio.
3. Maggiore valore per gli attaccanti
   Saper sfruttare una vulnerabilità zero-day — prima che il difensore ne sia consapevole — dà un vantaggio enorme: consente infiltrazioni stealth, accessi prolungati, furti dati, spionaggio, danneggiamenti.
4. Target ampi e impatti gravi
   Gli exploit zero-day spesso colpiscono software largamente utilizzati (sistemi operativi, applicazioni comuni, componenti di rete/cloude) perché garantiscono che molte vittime possibili siano vulnerabili. Questo amplifica l’impatto: non solo l’azienda attaccata, ma clienti, partner, catena di fornitura.
5. Mercato delle vulnerabilità
   Esiste un mercato (ufficiale o meno) per la scoperta e la vendita di vulnerabilità zero-day. Alcuni ricercatori “white hat” riportano le vulnerabilità ai vendor, altri attori le vendono a criminali o governi. Questo incentiva attività clandestine e aumenta il numero di zero-day “in circolazione”.

Tendenze attuali dei zero-day nel 2025

Ecco alcune tendenze recenti che mostrano come il fenomeno stia evolvendo:

• Le aziende del settore sanitario, le infrastrutture critiche e i prodotti di networking (VPN, firewall) sono particolarmente presi di mira.
• Il tempo che intercorre tra la pubblicazione di una patch o la divulgazione di una vulnerabilità e il primo attacco che la sfrutta si è drasticamente ridotto. Alcune fonti riportano che meno di cinque giorni sono sufficienti affinché venga sviluppato un exploit dopo che la vulnerabilità è resa pubblica.
• Secondo il Rapporto Clusit 2025, lo sfruttamento di vulnerabilità, comprese quelle zero-day, ha rappresentato circa il 15% degli incidenti informatici globali nel 2024, con particolare incidenza in PA, media e infrastrutture.

Come difendersi: approcci e strategie

Pur essendo minacce difficili da prevedere, ci sono varie contromisure che le organizzazioni possono usare per ridurre il rischio:

• Vulnerability Management proattivo
  Scansioni regolari, penetration test, bug-bounty, threat intelligence per individuare vulnerabilità potenziali prima che vengano sfruttate.
• Patch Management veloce ed efficace
  Tenere aggiornati software, firmware e sistemi; avere processi chiari per il rilascio e l’applicazione delle patch non appena disponibili.
• Defese comportamentali / basate sul comportamento
  Soluzioni che rilevano comportamenti sospetti o anomalie (EPP, EDR, XDR) piuttosto che basarsi solo su firme note.
• Segmentazione della rete e principi di “least privilege”
  Limitare il più possibile i privilegi, dividere la rete in zone, ridurre l’esposizione di servizi critici a Internet.
• Monitoraggio “in the wild” e threat intelligence
  Tenere d’occhio segnali che suggeriscono che alcuni exploit siano in uso, leak di vulnerabilità, attività sospette; condividere informazioni con community o gruppi di sectoral threat intel.
• Risposta rapida agli attacchi e preparazione
  Avere un piano di incident response che consideri il possibile uso di zero-day: rilevamento rapido, isolamento, mitigazione e rollback.

Conclusione

Gli exploit zero-day sono tra le minacce più temute perché sfruttano falle impreviste, sconosciute prima che ci sia la possibilità di reagire con patch o difese specifiche. Nel 2025, con l’aumento degli attacacchi e la riduzione dei tempi in cui un exploit può essere sviluppato, il rischio è più alto che mai.

Le organizzazioni più pronte non sono quelle che sperano di non essere attaccate, ma quelle che adottano una strategia di difesa multilivello: prevenzione, rilevamento, risposta e resilienza.

Il Cybersecurity Act (Regolamento (UE) 2019/881), entrato in vigore nel giugno 2019, istituisce un quadro europeo per la certificazione della sicurezza informatica (ICT: Information and Communication Technology) di prodotti, servizi e processi. Il regolamento stabilisce ENISA come agenzia permanente dell’Unione Europea per la cybersicurezza, con compiti rafforzati.

Obiettivi principali

• Armonizzare le certificazioni di cybersecurity a livello UE, in modo che un ICT prodotto, servizio o processo certificato in uno Stato membro sia riconosciuto in tutti gli altri.
• Suddividere i livelli di garanzia in “basic”, “substantial” e “high”, a seconda dei rischi associati all’uso previsto dello strumento o servizio ICT
• Spingere verso la trasparenza, la fiducia dell’utente e la competitività sul mercato unico digitale europeo.

Schemi di certificazione rilevanti

• EUCC (European Common Criteria-based Certification), per prodotti ICT. Prevede l’adesione al Common Criteria (ISO/IEC 15408); offre livelli di garanzia substantial e high.
• Altri schemi attualmente in sviluppo mirano a coprire servizi cloud, reti 5G, autenticazione digitale, wallet digitali, ecc.

Impatti per i fornitori IT

1. Costi e risorse per la certificazione
   Per ottenere una certificazione EUCS o EUCC, è necessaria una valutazione da parte di un organismo accreditato esterno, conformità ai requisiti tecnici/documentali, test, audit, mantenimento del certificato. Questo comporta costi iniziali e operativi continui.
2. Adeguamento dei processi interni
   Servono procedure di gestione delle vulnerabilità, policy di sicurezza, test di sicurezza, rilasci controllati del software, documentazione adeguata, monitoraggio continuo.
3. Vantaggi competitivi
   Essere certificati può diventare un fattore distintivo di mercato: fiducia dei clienti, requisito da parte di partner, garanzia di qualità percepita e interoperabilità nel mercato UE.
4. Rischi per chi non si adegua
   Possibili perdite di opportunità (gare, forniture), limiti nell’accesso ai mercati esteri, rischi reputazionali, richiesta sempre più frequente da clienti di prodotti certificati.
5. Obblighi post-certificazione
   Mantenimento della conformità, gestione delle segnalazioni di vulnerabilità, aggiornamenti software, rinnovo periodico del certificato.

Best practice per i fornitori IT per prepararsi

Conclusione

Il Cybersecurity Act UE rappresenta una pietra miliare per la standardizzazione della cybersecurity in Europa. Per i fornitori IT è una sfida ma anche un’opportunità: chi riuscirà ad adeguarsi prontamente potrà diventare un partner preferenziale, abilitato per mercati trasversali, con maggiore visibilità e fiducia.

L’Italia ha recepito NIS2 con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, che è entrato in vigore il 16 ottobre 2024.

Cosa cambia con NIS2 rispetto alla versione precedente

• Maggiore ampiezza del perimetro soggettivo: più settori diventano coperti, compresi alcuni che prima non lo erano; anche le dimensioni aziendali (numero di dipendenti, fatturato) diventano criteri oggettivi per stabilire se un’organizzazione rientra.
• Obblighi più stringenti in tema di gestione del rischio, continuità operativa, segnalazione degli incidenti e sicurezza della supply chain.
• Misure organizzative e tecniche più robuste: autenticazione multifattoriale, sicurezza delle comunicazioni, cifratura, protezione delle vulnerabilità, gestione dei fornitori.
• Maggiore responsabilizzazione degli organi aziendali, non solo dei reparti IT, anche del management e degli organi di governo.
• Rafforzamento dei poteri di vigilanza delle autorità nazionali, ispezioni, audit, sanzioni più severe per le violazioni.

Obblighi principali sottoposti dalla NIS2 alle aziende soggette

Le imprese che rientrano nel perimetro di NIS2 devono adottare una serie di misure. Ecco le principali:

1. Gestione del rischio informatico: valutazioni periodiche, identificazione delle vulnerabilità, protezione della supply chain, piani di mitigazione.
2. Continuità operativa e resilienza: piani di disaster recovery, piani di continuità, gestione degli impatti derivanti da incidenti, riduzione dei tempi di interruzione.
3. Notifica degli incidenti: obbligo di segnalazione tempestiva (entro 24 ore dall’identificazione dell’incidente significativo), con report ulteriori e collaborazione con le autorità competenti.
4. Misure tecniche di sicurezza: autenticazione forte / multifattoriale, cifratura, protezione delle reti, sicurezza dei sistemi di comunicazione, gestione delle vulnerabilità note.
5. Formazione e consapevolezza: attività regolari di formazione su minacce informatiche per tutto il personale; coinvolgimento dei livelli dirigenziali.
6. Audit, verifiche e conformità: controlli interni ed esterni, ispezioni da parte dell’ACN (Agenzia per la Cybersicurezza Nazionale), documentazione, tracciabilità delle attività e delle misure adottate.
7. Protezione della supply chain: obblighi estesi ai fornitori diretti; verifica che anche i fornitori adottino misure adeguate.

Tempistiche e scadenze rilevanti

• La direttiva UE è entrata in vigore il 16 gennaio 2023.
• L’Italia ha recepito con il D.Lgs. n. 138/2024, in Gazzetta Ufficiale il 1° ottobre 2024, effettivo dal 16 ottobre 2024.
• Le aziende interessate devono già aver iniziato i processi di implementazione; alcune disposizioni richiedono adempimenti immediati, altre prevedono periodi di adattamento per misure più complesse.

Rischi per le aziende che non si adeguano

• Sanzioni amministrative: possono arrivare a cifre rilevanti, percentuali del fatturato, a seconda della gravità della violazione.
• Rischi operativi: attacchi, interruzioni del servizio, perdita di dati, danni reputazionali.
• Perdita di opportunità: impossibilità di partecipare a gare pubbliche, perdere contratti con soggetti che richiedono compliance normativa.
• Obbligo di controllo da parte dell’autorità competente: ACN in Italia, ispezioni, audit, documentazione richiesta.

Fonti

Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE.

Corte dei Conti – Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato.

Piccirilli, R. Relazione della Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato. Roma: Corte dei Conti.

Cerimoniale, D. Relazione della Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato. Roma: Corte dei Conti.

Introduzione

Il ransomware continua ad essere una delle principali minacce per aziende, organizzazioni pubbliche e persino individui. Ma nel 2025 non si tratta più soltanto di cifrare dati e chiedere un riscatto: gli attori malintenzionati hanno affinato le loro tattiche, adottando modelli di estorsione più sofisticati, multilivello e che generano pressioni non solo tecniche ma anche reputazionali, legali ed economiche.

Modelli di estorsione che stanno emergendo

Ecco i principali modelli che stanno prendendo piede nel panorama ransomware del 2025:

1. Double Extortion (“doppia estorsione”)
   Non basta più cifrare i dati: gli attaccanti prima esfiltrano (rubano) dati sensibili, poi richiedono il riscatto sia per il decrittamento sia per non pubblicare o vendere i dati rubati. Questo modello è ormai lo standard per molte gang ransomware.
2. Triple Extortion
   Un passo oltre: si aggiungono elementi come attacchi DDoS, minaccia alla reputazione tramite divulgazione pubblica, coinvolgimento di fornitori, clienti o partner dell’azienda vittima. In pratica, l’estorsione non colpisce solo la vittima diretta, ma si allarga a chi ha rapporti commerciali o di fiducia con essa.
3. Estorsione senza cifratura (pure extortion / encryption-less ransomware)
   In questo modello i criminali non cifrano i file (o non lo fanno subito) ma si concentrano al massimo sulla minaccia di rendere pubblici i dati esfiltrati se non viene pagato un riscatto. È meno “rumoroso” (dal punto di vista tecnico), ma molto efficace come leva per la pressione psicologica e reputazionale.
4. Uso dell’Intelligenza Artificiale e dei modelli LLM
   I ransomware del futuro cercano di sfruttare AI / LLM (Large Language Models) per automazione, generazione di phishing più mirato, personalizzazione dell’estorsione, evasione di rilevamento. Ad esempio, il report di Akamai evidenzia come alcuni gruppi usano GenAI per scrivere codice malware o potenziare le campagne di social engineering.
   C’è anche ricerca accademica su prototipi di ransomware orchestrati da LLM (che eseguono, ricompongono il codice in modo adaptivo) che mostrano come il “malware inteligente” sarà una sfida reale.
5. Aumento delle richieste medie di riscatto e pressione finanziaria e reputazionale
   I dati indicano che il valore medio dei riscatti è salito—non solo per cifratura, ma soprattutto nei casi dove la fuga dei dati è usata come leva. Tra le tattiche c’è anche la “minaccia di rivelare” cronologie, segreti industriali, dati clienti, oppure creare un conto alla rovescia (deadline) perché l’azienda sia sotto pressione di tempo.
6. Leak site / pubblicazione dati / vendite sul dark web
   Divulgazione parziale dei dati come prova, vendita dei dati rubati se il riscatto non viene pagato, uso pubblico dei leak per scoraggiare il rifiuto. Questo avviene sempre più frequentemente, come elemento centrale dell’estorsione.

Implicazioni per le aziende

Questi nuovi modelli di estorsione comportano rischi e sfide diverse rispetto al passato. Ecco cosa le aziende devono considerare:

• Backup non è più sufficiente da solo: anche se hai ottimi backup, il furto dei dati può comunque causare danni gravissimi, perché puoi essere esposto a pubblicazioni o vendite dei dati o a pressioni reputazionali.
• Gestione della reputazione: preparare piani di comunicazione, capire come rispondere mediaticamente, legale e regolamentare se i dati estratti diventano pubblici.
• Interventi rapidi e detections precoce: ridurre al minimo il tempo di latenza tra compromissione, identificazione e risposta. Monitorare leak site, attività sospette.
• Protezione della supply chain e dei fornitori: spesso gli attacchi partono da vulnerabilità nei fornitori o partner, che hanno accessi, credenziali privilegiate o dati sensibili condivisi.
• Policy di extorsione e decisione sul pagamento: alcune aziende stabiliscono politiche chiare su sé pagare o meno, considerando implicazioni legali, costi reputazionali, rischio ricorsivo.
• Uso delle tecnologie emergenti: AI, threat intelligence, automazione, strumenti di anonimizzazione/segmentazione, che possono aiutare a ridurre gli attacchi o mitigare gli effetti.

Come prepararsi

Ecco un approccio pratico per definire o aggiornare la tua strategia contro ransomware nel 2025:

1. Valutazione del rischio: identificare asset più critici, dati sensibili, possibili vettori di attacco (servizi esposti, vulnerabilità note, accessi RDP, credenziali condivise).
2. Aumentare la resilienza dei dati: policy 3-2-1 per backup; verificare encryptions; test di recovery; backup offsite; versioning; protezione delle copie di backup (immutabilità, air-gap).
3. Monitoraggio continuo e threat intelligence: tenere d’occhio siti di leak, gruppi ransomware attivi, indicatori di compromissione, attacchi su partner/settori simili.
4. Policy per incident response e gestione estorsioni: chi decide se pagare, come, coinvolgimento legale, comunicazione con stakeholder, pianificazione preventiva.
5. Formazione specifica per phishing & social engineering: poiché molti attacchi iniziano con phishing mirato, furto di credenziali o inganno, serve formazione che mostri scenari reali e uso di tattiche sofisticate (deepfake, AI, impersonation).
6. Segmentazione della rete e gestione accessi privilegiati: ridurre la capacità di propagazione di un attacco; limitare privilegi; uso di MFA obbligatorio; controlli sui privilegi amministrativi; rendere difficile il movimento laterale.

Conclusione

Nel 2025, il ransomware non è mai stato così dinamico: non basta proteggere i file, bisogna difendere dati, reputazione, relazioni, fiducia. I modelli di estorsione si evolvono per mettere le vittime sotto pressione non solo tecnica, ma legale, economica e sociale. Le aziende che non aggiornano le loro difese rischiano non solo danni economici, ma perdite di credibilità difficili da sanare.