Nel 2025 il panorama del ransomware presenta un apparente miglioramento nei dati sui pagamenti, che può trarre in inganno. In realtà, la diminuzione delle somme pagate non corrisponde a una diminuzione del rischio, ma riflette un cambiamento nel modo in cui i gruppi ransomware esercitano pressione e monetizzano gli attacchi. Meno riscatti versati non significa meno attacchi, e soprattutto non significa un pericolo minore per organizzazioni e infrastrutture. Al contrario, stiamo assistendo ad una fase di transizione del modello ransomware, in cui le dinamiche tradizionali della cifratura e del riscatto lasciano spazio a forme più opache, selettive e complesse di estorsione digitale. Dopo anni di crescita costante, i dati mostrano un rallentamento in alcune metriche visibili, mentre altre rimangono stabili o si spostano in zone meno osservabili. Le nuove normative e l’azione delle forze dell’ordine stanno erodendo la redditività del modello classico, ma allo stesso tempo spingono le gang a cambiare pelle. Il ransomware non sta scomparendo, sta mutando. È questa trasformazione, più che il mero calo dei numeri, a rappresentare la vera sfida per il futuro.
Una lettura dei dati di Check Point
Il rapporto “The State of Ransomware – Q2 2025” pubblicato da Check Point Research (https://research.checkpoint.com/2025/the-state-of-ransomware-q2-2025/) indica una riduzione del 6% nel numero di vittime pubblicate sui siti di data leak rispetto alla media dell’anno precedente e un tasso di pagamento che si attesta intorno al 25%. A prima vista, questi dati suggeriscono una contrazione del fenomeno. Tuttavia, una lettura più attenta è necessaria. È fondamentale chiarire che i dati basati sui DLS (Data Leak Site) non rappresentano il totale degli attacchi ransomware, ma solo quelli che le gang decidono di rendere pubblici per aumentare la pressione sulle vittime. Una parte significativa di attacchi rimane invisibile a queste statistiche perché gestita in modo silenzioso, risolta senza pubblicazione o ancora in fase di negoziazione privata. Questo significa che la riduzione dei dati censiti non equivale automaticamente a un calo strutturale del problema, ma può indicare un cambiamento nelle modalità operative e comunicative dei gruppi criminali. In questo senso, i dati di Check Point non rappresentano una sconfitta del ransomware ma piuttosto sono l’indicatore di una sua evoluzione. I gruppi più colpiti dalle operazioni di polizia internazionali e dal crollo della fiducia nel modello di pagamento stanno lasciando spazio a strutture più agili, meno visibili e più orientate al furto selettivo dei dati e alla pressione reputazionale. La minaccia non si sta riducendo, si sta solo ristrutturando.
Il divieto britannico ai pagamenti del settore pubblico
Nel luglio 2025 il governo del Regno Unito ha annunciato un piano per vietare agli enti pubblici e alle infrastrutture critiche di pagare riscatti a gruppi di cyber criminali (https://www.reuters.com/world/uk/uk-plans-ban-public-sector-bodies-paying-ransom-cyber-criminals-2025-07-22/ ).
La misura, presentata come un passo decisivo verso la riduzione del rischio sistemico, stabilisce che nessun organismo governativo potrà trasferire denaro agli attaccanti nemmeno in caso di compromissione di servizi essenziali. Per tutte le organizzazioni non coperte dal divieto è previsto invece l’obbligo di notificare l’intenzione di pagamento al governo, al fine di ottenere indicazioni e supporto. Il Ministero degli Interni britannico ha spiegato che la decisione nasce dall’esigenza di rompere il modello economico della criminalità informatica, impedendo ai gruppi di reinvestire i proventi in nuove infrastrutture di attacco. Il divieto è accompagnato anche da fondi destinati a migliorare la resilienza delle istituzioni pubbliche.
L’iniziativa italiana e la dimensione regolatoria nazionale
In Italia si è aperto un dibattito legislativo che segue la stessa direzione. Il Disegno di legge illustrato in primavera (ma non ancora approvato) prevede il divieto per gli enti pubblici e per le aziende strategiche incluse nel perimetro nazionale di cyber sicurezza di pagare riscatti in caso di attacco ransomware (https://helpransomware.com/italy-bans-ransomware-payments/ ). Solo in situazioni eccezionali che mettono a rischio la sicurezza nazionale, il Primo Ministro potrebbe autorizzare eccezioni, insieme all'impiego di strumenti di intelligence.
La proposta introduce inoltre l’obbligo di segnalazione immediata all’Agenzia per la Cybersicurezza Nazionale entro sei ore dall’individuazione dell’attacco e una definizione più severa delle responsabilità di eventuali intermediari o negoziatori. L’obiettivo è rendere il pagamento un’opzione giuridicamente e moralmente impraticabile, incentivando al contempo la prevenzione e la collaborazione con le autorità.
Il modello australiano di trasparenza obbligatoria
A differenza dell’approccio basato sul divieto, l’Australia ha scelto la via della trasparenza (https://therecord.media/australia-ransomware-victims-must-report-payments ).
Il governo di Canberra ha introdotto infatti una norma che obbliga le organizzazioni colpite a segnalare all’Australian Signals Directorate (ASD) qualsiasi pagamento effettuato a seguito di un attacco ransomware. L’obbligo riguarda le aziende con un fatturato superiore a tre milioni di dollari australiani e i soggetti classificati come infrastrutture critiche. La comunicazione deve avvenire entro 72 ore dal pagamento. Secondo il governo australiano, meno di un quinto delle vittime comunicava in precedenza l’incidente alle autorità, rendendo impossibile una valutazione precisa del fenomeno. Il nuovo regime invece mira a fornire una visibilità completa del flusso economico legato ai riscatti e a potenziare la capacità investigativa. L’Australia è così il primo paese a imporre una rendicontazione obbligatoria dei pagamenti, un passo che potrebbe fungere da modello per altre giurisdizioni interessate a contrastare la dimensione finanziaria del cyber crime.
I tre approcci a confronto
Regno Unito, Italia e Australia stanno affrontando lo stesso problema, il flusso di denaro verso le gang ransomware e la scarsa visibilità degli incidenti, con approcci differenti ma complementari. Il Regno Unito punta su un divieto di pagamento per gli enti del settore pubblico, accompagnato da un meccanismo di notifica dell’intenzione di pagare, utile a intercettare e scoraggiare le transazioni prima che avvengano. L’Italia lavora invece su un impianto più esteso, che prevede il divieto per la Pubblica Amministrazione e per i soggetti critici, unito all’obbligo di notifica all’ACN entro sei ore dall’evento. L’Australia, infine, non vieta in modo diretto il pagamento, ma impone la trasparenza, rendendo obbligatoria la comunicazione delle somme versate all’ASD.
Tre strade diverse verso un obiettivo comune: ridurre l’incentivo economico del ransomware e aumentare il livello di tracciabilità e consapevolezza degli attacchi. È probabile che, nei prossimi anni, questo modello ibrido di divieti e obblighi di reporting venga adottato, in forme diverse, anche da altre giurisdizioni.
Le cause del declino dei pagamenti
Il calo osservato da Check Point si spiegherebbe attraverso un insieme di fattori convergenti. Le operazioni delle forze dell’ordine hanno colpito non solo le infrastrutture dei gruppi ransomware ma anche i canali di pagamento e riciclaggio, rendendo più difficile monetizzare le estorsioni. Le organizzazioni colpite, consapevoli che il pagamento non garantisce la restituzione dei dati, scelgono sempre più spesso di affidarsi ai servizi di backup e ripristino. Inoltre, la crescente attenzione dei media e delle autorità ha trasformato il pagamento in un gesto ad alto rischio reputazionale. Inoltre sempre più polizze cyber limitano o escludono la copertura del riscatto, indirizzando le risorse verso misure di prevenzione e risposta. Tutti questi fattori insieme hanno aumentato la marginalità del ransomware e ne hanno indebolito la sostenibilità come modello criminale. Tuttavia è bene precisare che il calo dei pagamenti non significa che i tentativi di estorsione siano diminuiti in modo proporzionale: spesso gli attaccanti alzano le richieste o diventano più aggressivi sulla pressione mediatica.
Impatti sugli attori e sull’ecosistema
Per gli attaccanti, la diminuzione dei pagamenti e la maggiore esposizione legale rappresentano un deterrente concreto. Molti gruppi hanno cessato le attività o hanno abbandonato i siti data leak, mentre altri si stanno orientando verso modelli meno visibili basati sul furto selettivo dei dati e sull’estorsione mirata. Questo passaggio verso tattiche più silenziose indica che la minaccia non sta scomparendo, ma si sta evolvendo in direzione di una maggiore sofisticazione. Per le vittime, il mutato contesto normativo ridisegna le strategie di risposta. Il pagamento non è più una scorciatoia praticabile, e la gestione dell’incidente deve basarsi su capacità interne di resilienza. Le imprese sono chiamate a investire in sistemi di rilevamento, piani di continuità operativa e comunicazione trasparente con le autorità (https://f3rm1.cloud/articoli/l---importanza-di-avere-un-piano-di-comunicazione-in-caso-di-incidente). Per le pubbliche amministrazioni, le nuove regole rappresentano una sfida organizzativa ma anche un’opportunità per migliorare la governance della sicurezza informatica.
A questo quadro si aggiunge il rischio legato alla supply chain, dove fornitori meno maturi dal punto di vista della sicurezza diventano vettori privilegiati di compromissione per organizzazioni altrimenti ben protette. Ancora più critica è l’esposizione degli ambienti OT e ICS nelle infrastrutture essenziali, in cui un attacco ransomware non si limita alla perdita o all’esfiltrazione di dati, ma può tradursi in interruzioni fisiche di servizi, danni a impianti e impatti diretti sulla sicurezza delle persone.
La prospettiva italiana e il ruolo delle PMI
Nel contesto italiano, il dibattito sul divieto di pagamento del riscatto si intreccia con una realtà economica fortemente caratterizzata dalla presenza delle piccole e medie imprese, spesso più esposte e meno strutturate dal punto di vista della cybersecurity. Le PMI, infatti, si trovano a fronteggiare una duplice criticità. Da un lato, la difficoltà oggettiva di sostenere i costi necessari per costruire una reale resilienza digitale, tra investimenti in tecnologie di protezione, personale specializzato e consulenze esterne. Dall’altro, il rischio concreto di rimanere schiacciate tra un divieto normativo di pagare il riscatto e un livello di preparazione ancora insufficiente ad affrontare un incidente ransomware senza conseguenze potenzialmente fatali per il business. In questo scenario, il passaggio da un approccio reattivo, basato sull’idea “se capita, paghiamo e ripartiamo”, a uno realmente proattivo, fondato su prevenzione, backup e pianificazione della risposta agli incidenti, non è più una scelta strategica facoltativa, ma una vera e propria condizione di sopravvivenza aziendale.
Rischi residui e prospettive future
Nonostante il calo dei pagamenti, la minaccia ransomware non può essere considerata superata. Le organizzazioni criminali possiedono competenze tecniche avanzate e la capacità di adattarsi rapidamente. È possibile che la riduzione dei riscatti tradizionali spinga verso nuove forme di ricatto basate sull’intelligenza artificiale, sulla manipolazione dei dati o sugli attacchi alle supply chain. Pertanto la cooperazione internazionale e la condivisione tempestiva delle informazioni restano gli strumenti più efficaci per prevenire la diffusione delle nuove varianti.
Difendersi nel nuovo scenario
Nel passaggio verso un modello ransomware più evoluto e adattivo, la difesa non può più basarsi su singoli strumenti, ma deve assumere una dimensione sistemica e continuativa. Il primo elemento resta la capacità di prevenire e rilevare precocemente compromissioni, attraverso soluzioni EDR/XDR, monitoraggio dei log e analisi comportamentale, affiancate da una strategia di backup offline e immutabile in grado di garantire un reale ripristino in caso di incidente. A questa base si aggiunge oggi un requisito imprescindibile: l’adozione di una MFA robusta, in particolare per gli accessi remoti, le VPN e gli account privilegiati, che rappresentano ancora uno dei principali punti d’ingresso per le operazioni ransomware. Cruciale è anche la maturità del processo di patch management e di gestione delle vulnerabilità, che deve includere sistemi di scansione regolare, valutazione del rischio, definizione delle priorità e rispetto di SLA di remediation, soprattutto per le esposizioni critiche e sfruttate attivamente dai criminali. Infine, la componente organizzativa e umana rimane determinante: l’esecuzione periodica di tabletop exercise e simulazioni di incidente consente di testare i processi decisionali, ridurre i tempi di risposta e preparare il management ad affrontare uno scenario di crisi reale, trasformando un attacco ransomware da evento paralizzante a situazione gestibile.