Il ransomware nel 2025 non è più quel mostro rumoroso e prevedibile degli anni passati. Sophos, nel suo rapporto State of Ransomware 2025, ha sondato 3.400 professionisti IT e della cybersecurity in 17 paesi, consegnando una fotografia che combina numeri, psicologia e tattiche criminali in un’unica narrativa inquietante. La lettura di questo documento non è un esercizio accademico: è un’istruzione di sopravvivenza digitale per chi guida la sicurezza aziendale, il CISO, che deve navigare un mare di minacce in costante mutamento.
Gli attacchi ransomware continuano a prosperare sulle vulnerabilità già note. Il 32% dei casi deriva da falle tecniche non corrette, un promemoria per chiunque pensi che la sicurezza possa essere delegata esclusivamente agli antivirus o ai firewall. Le lacune operative, come la carenza di competenze (40,2%), le vulnerabilità sconosciute (40,1%) e la scarsità di personale (39,4%), alimentano il gioco degli attaccanti. Non è un problema solo tecnologico, ma culturale e organizzativo: investire in strumenti senza investire in persone è come costruire un castello di sabbia sul bordo di una tempesta.
Il ransomware evolve, diventando più subdolo e sofisticato. Solo il 50% degli attacchi ha portato alla cifratura dei dati, il livello più basso in sei anni. Sembra una buona notizia, fino a quando non si osserva che il 28% dei casi ha comportato furto di dati, introducendo la doppia estorsione. Bloccare l’accesso non basta più: la minaccia reputazionale e legale diventa primaria. Le aziende non subiscono solo un danno operativo, ma una potenziale pubblicità negativa globale, una lezione che molti CISO imparano troppo tardi.
Le dinamiche dei riscatti stanno cambiando. Il valore mediano richiesto è sceso del 34%, attestandosi a 1,32 milioni di dollari, e il pagamento effettivo medio è crollato a 1 milione di dollari. Una riduzione drastica, guidata da un minor numero di pagamenti multimilionari, ma non illudiamoci: il 18% delle vittime paga più di quanto richiesto inizialmente, sottolineando che trattare con i criminali è un’arte strategica più che una scienza. La negoziazione è diventata un’arma a doppio taglio: da un lato riduce i danni finanziari, dall’altro può trasformarsi in un rischio morale e reputazionale per chi guida il processo.
I costi di recupero stanno diminuendo, ma non sono trascurabili. Il costo medio per ripristinare i sistemi, senza contare il riscatto, si attesta a 1,53 milioni di dollari, in calo del 44% rispetto all’anno precedente. Più della metà delle organizzazioni (53%) riesce a recuperare entro una settimana, un miglioramento significativo rispetto al 35% del 2024. Questa statistica suggerisce un progresso concreto nella preparazione e resilienza, ma non scordiamoci che dietro ogni numero ci sono giorni di stress, turni massacranti e pressione psicologica su team già esposti a burnout tecnologico.
Gli impatti umani sono tangibili e preoccupanti. Il 41% dei team IT e cybersecurity ha riportato aumento di stress e ansia, il 34% sensi di colpa, il 31% assenze per problemi di salute mentale. In un quarto dei casi la leadership è stata sostituita dopo un incidente ransomware, un segnale chiaro che la gestione della sicurezza non è solo una questione di tecnologia ma anche di resistenza psicologica e leadership sotto pressione. Non sorprende che molti CISO stiano rivalutando le strategie HR come parte integrante della sicurezza digitale: ignorare il fattore umano è un suicidio strategico.
Per il CISO moderno, il 2025 impone un cambio di paradigma. La difesa non può limitarsi a rilevamento e mitigazione. Servono strumenti di gestione proattiva delle vulnerabilità, patch tempestive, controllo continuo del rischio tecnico. La formazione e il rafforzamento del personale diventano priorità assolute, così come l’implementazione di piani di resilienza testati e strategie di recovery rapide. La capacità di negoziare riscatti con competenza è cruciale, perché il denaro non è l’unico obiettivo degli attaccanti: la reputazione e la capacità di risposta rappresentano il vero terreno di battaglia.
Proteggere i dati sensibili è altrettanto importante quanto proteggere i sistemi. La doppia estorsione impone un approccio multilivello: monitoraggio costante, cifratura intelligente, gestione rigorosa degli accessi. La tecnologia da sola non basta; servono processi chiari, test continui e consapevolezza che ogni dato perso può diventare un’arma contro l’organizzazione stessa.
Curiosamente, mentre i ransomware diventano più sofisticati, molte organizzazioni stanno sviluppando capacità di resilienza che sembravano impossibili solo pochi anni fa. Il miglioramento dei tempi di recovery, il calo dei costi medi e l’aumento della competenza negoziale mostrano che gli investimenti mirati pagano. Ma attenzione: la pressione sui team umani rimane alta, e il rischio di turnover o burnout può vanificare anche le migliori strategie tecnologiche.
Sophos conferma che la minaccia non è in declino, ma in trasformazione. Per il CISO, la sfida è combinare leadership, gestione del rischio, competenze tecniche e cura del capitale umano in un mix che riduca al minimo impatti finanziari, operativi e reputazionali. Non esistono scorciatoie: il ransomware 2025 richiede visione strategica e capacità di anticipare mosse criminali, senza cadere nella trappola di una sicurezza esclusivamente reattiva.
Il panorama attuale segnala che la sicurezza digitale è un ecosistema complesso. La gestione del ransomware non è più una questione di tecnologia, ma di equilibrio tra persone, processi e strumenti. Le organizzazioni che ignorano questa realtà rischiano di pagare più del riscatto: reputazione, fiducia e continuità operativa diventano il vero costo di un errore strategico.
In questo contesto, il ruolo del CISO diventa centrale. Non più solo guardiano dei sistemi, ma stratega capace di leggere trend, anticipare minacce e bilanciare pressione tecnica e umana. Ignorare questo cambiamento significa delegare il rischio a chi non ha scrupoli. Il ransomware è un avversario subdolo, e nel 2025 nessuna organizzazione può permettersi di sottovalutarlo.