Ransomware: la guida completa per aziende

I ransomware sono oggi la principale minaccia informatica per le aziende: nel 2025 rappresentano oltre il 60% degli attacchi malware secondo il Rapporto Clusit. Un singolo attacco può bloccare la produzione, esporre dati sensibili e costare milioni di euro tra riscatto, downtime e ripristino. In questa guida completa Nexsys analizza cos'è il ransomware, come funziona, come riconoscerlo e — soprattutto — come proteggere la tua azienda con una strategia integrata di prevenzione, rilevazione e recovery.

Hai subito un attacco ransomware o vuoi prevenirlo? Nexsys gestisce piani di ransomware recovery basati su backup immutabile, disaster recovery e awareness. Scopri il servizio Ransomware Recovery

Cos'è un ransomware

Il ransomware è una famiglia di malware che cifra i file di un sistema con una chiave crittografica robusta, rendendoli inaccessibili, e richiede un riscatto (in inglese ransom) per ottenere la chiave di decifratura. Quando i file vengono cifrati, non si riescono più ad aprire in alcun modo: a video compare un messaggio di richiesta di pagamento, tipicamente in criptovalute (Bitcoin, Monero), con una scadenza temporale e la minaccia di cancellazione definitiva della chiave privata se non si paga in tempo.

A differenza degli attacchi che sfruttano vulnerabilità tecniche pure, il ransomware moderno colpisce direttamente l'infrastruttura business-critical: file server, database, backup, controller di dominio, sistemi industriali. La sua efficacia non dipende solo dalla qualità del malware, ma dalla capacità degli attaccanti di compromettere l'ambiente prima della cifratura, esfiltrando dati sensibili e disabilitando le difese.

Storia ed evoluzione del ransomware

Le origini: PC Cyborg, 1989

Il primo ransomware della storia è il "PC Cyborg", distribuito nel 1989 da Joseph Popp a un congresso sull'AIDS tramite floppy disk infetti. Il malware bloccava il computer richiedendo 189 dollari per ripristinarlo. Ebbe diffusione molto limitata: pochi possedevano un PC, internet era una rete riservata, i pagamenti internazionali erano macchinosi.

L'era moderna: dal 2013 ad oggi

Il ransomware moderno nasce con CryptoLocker (2013), creato dall'hacker russo Evgeniy Bogachev (taglia FBI di 3 milioni di dollari). Da allora la storia ha visto una rapida evoluzione di famiglie e varianti: CryptoWall, CTB-Locker, TorrentLocker, TeslaCrypt, Locky, Cerber, Petya/GoldenEye, WannaCry, NotPetya, Ryuk, Maze, REvil, Conti, LockBit, Black Basta, Akira.

WannaCry e NotPetya: il salto di scala

Nel 2017 WannaCry e NotPetya sfruttarono la vulnerabilità EternalBlue nel protocollo SMB di Windows, diffondendosi automaticamente in tutto il mondo. WannaCry colpì oltre 200.000 sistemi in 150 paesi, paralizzando ospedali, aziende e infrastrutture pubbliche. NotPetya, mascherato da ransomware ma in realtà wiper, causò danni stimati per oltre 10 miliardi di dollari, soprattutto a Maersk, Merck e FedEx.

Il modello Ransomware-as-a-Service

Il salto qualitativo recente è il RaaS (Ransomware-as-a-Service): gruppi criminali strutturati come vere aziende sviluppano la piattaforma e la affittano ad affiliati che eseguono gli attacchi, dividendo il riscatto. Questo modello ha abbassato la soglia tecnica d'ingresso, moltiplicando il numero di attori e di attacchi. Esempi noti: LockBit, Conti (poi sciolto), AlphV/BlackCat, RansomHub.

Doppia e tripla estorsione

Le campagne moderne praticano la doppia estorsione: oltre a cifrare i dati, gli attaccanti li esfiltrano e minacciano di pubblicarli se la vittima non paga. Alcuni gruppi aggiungono la tripla estorsione con DDoS contro i sistemi pubblici della vittima e contatti diretti a clienti/fornitori per aumentare la pressione.

Come funziona un attacco ransomware

Gli attaccanti ottengono l'accesso al perimetro tramite phishing, credenziali rubate, vulnerabilità esposte (VPN, RDP, web app), supply chain compromessa o broker di accesso iniziale (IAB). Per dettagli sui meccanismi di phishing più comuni, consulta la nostra guida completa al phishing.

Fase 1: accesso iniziale

Fase 2: persistenza ed escalation

Una volta dentro, gli attaccanti installano backdoor, creano account amministrativi, modificano regole di sicurezza. Spesso usano strumenti legittimi (PowerShell, PsExec, Cobalt Strike) per non essere rilevati — tecnica detta Living off the Land.

Fase 3: ricognizione e movimento laterale

Gli attaccanti mappano la rete, identificano dati di valore, sistemi critici, controller di dominio. Strumenti come BloodHound rilevano i percorsi più rapidi per compromettere account privilegiati. È in questa fase che Active Directory diventa il bersaglio principale.

Fase 4: esfiltrazione dati

Prima di cifrare, gli attaccanti copiano gigabyte di dati sensibili (contratti, mail, dati clienti, proprietà intellettuale) verso server cloud controllati da loro. Servirà come leva di estorsione. Tipicamente usano servizi cloud legittimi (MEGA, Dropbox, AWS) per non destare sospetti.

Fase 5: cifratura e richiesta di riscatto

Solo a questo punto, spesso fuori orario lavorativo o nel weekend, viene lanciata la cifratura simultanea su tutti i sistemi compromessi. Vengono cancellate le shadow copy di Windows, disabilitati gli antivirus, distrutti i backup raggiungibili. Compare la nota di riscatto con istruzioni di pagamento e link al portale negoziale del gruppo criminale.

Tipologie e famiglie di ransomware

🔐 Crypto ransomware

La forma più diffusa. Cifra file dell'utente con algoritmi simmetrici (AES-256) e protegge la chiave con crittografia asimmetrica (RSA-2048). Senza la chiave privata dell'attaccante, il ripristino è matematicamente impossibile.

🚫 Locker ransomware

Blocca l'accesso al sistema operativo invece dei singoli file. Meno diffuso oggi perché meno efficace (l'utente può riavviare in safe mode o ripristinare il sistema).

💣 Wiper mascherati da ransomware

Sembrano ransomware ma in realtà non hanno alcuna funzionalità di decifratura: il loro scopo è distruggere i dati. NotPetya è l'esempio storico. Più recentemente, attacchi geopolitici hanno utilizzato wiper contro infrastrutture critiche.

📢 Doxware e Leakware

Variante che si concentra sulla minaccia di pubblicazione dei dati esfiltrati invece (o oltre) la cifratura. Particolarmente efficace su settori regolamentati (sanità, finanza, PA) dove la pubblicazione causa sanzioni GDPR e danni reputazionali enormi.

🤝 RaaS (Ransomware-as-a-Service)

Non è una famiglia ma un modello di business: piattaforme criminali (LockBit, AlphV, RansomHub) affittano l'infrastruttura ad affiliati. Per approfondire un caso storico specifico, consulta l'articolo su come proteggere la rete dal ransomware Ryuk.

🕵️ Famiglie attualmente più attive

Il panorama cambia rapidamente per via di operazioni law enforcement che smantellano gruppi (Hive, Conti, LockBit), ma alcuni nomi ricorrenti includono BlackCat/AlphV, Akira, Play, Black Basta, Medusa, RansomHub. Alcuni gruppi storici hanno pubblicamente ceduto chiavi master (TeslaCrypt nel 2016) consentendo recupero gratuito.

Vettori di infezione più comuni

busta da lettere con amo da pesca e simbolo @ in stile cyber-crime

Email di phishing

Resta il vettore numero uno. Allegati malevoli (Office con macro, ZIP/ISO con eseguibili, PDF con link) o link che portano a siti compromessi. Una corretta strategia di awareness anti-phishing è il primo livello di difesa: il Corso Phishing Awareness di Nexsys è progettato proprio per questo.

Credenziali compromesse

Account con password deboli o riutilizzate, esposte in data breach precedenti, vendute nel dark web. Una sola credenziale valida senza MFA permette accesso a VPN aziendale, M365, RDP esposti.

icona cybersecurity con badge identificativo azzurro e lucchetto spezzato su sfondo di nodi di rete

monitor con scritta rdp e chiave d'accesso stilizzata con lucchetto aperto in gradiente verde-blu

RDP esposti

Server con porta 3389 (RDP) raggiungibile direttamente da internet senza VPN o gateway. Bersaglio preferito di attacchi brute-force e password spray. Una delle cause più frequenti di breach ransomware in Italia.

Vulnerabilità non patchate

Server Exchange, VPN aziendali (Pulse Secure, Fortinet, Citrix), web application esposte. Le campagne ransomware moderne sfruttano CVE pubblicate da giorni o settimane, contando sull'inerzia del patch management aziendale.

server con cerotto (patch) sopra un'area danneggiata e icone di avviso pericolo rosse

catena che collega fabbriche e mezzi di trasporto con uno scudo protettivo centrale e lucchetto

Supply chain

Compromissione di fornitori IT, MSP, software di terze parti. L'attacco a Kaseya (2021) ha colpito migliaia di clienti finali tramite un singolo MSP compromesso. Per approfondimenti consulta la nostra pagina sulla supply chain security.

Drive-by download e malvertising

Utenti compromessi semplicemente visitando siti web con codice exploit o pubblicità malevole. Meno frequente del phishing ma ancora attivo.

browser web con freccia di download verso il basso e icone di virus/insetti digitali

schema ad albero di una rete gerarchica con scudo centrale incrinato e segnali di intrusione

Vulnerabilità Active Directory

Una volta ottenuto un foothold, vulnerabilità come Zerologon (CVE-2020-1472), PetitPotam, NoPac, Kerberoasting permettono di compromettere completamente il dominio in pochi minuti. La gestione sicura di AD è uno dei pilastri della difesa anti-ransomware.

L'impatto su un'azienda colpita

Da un punto di vista tecnico, un attacco ransomware comporta per un'azienda due problemi principali: perdita di accesso ai dati e downtime dei servizi. Ma l'impatto reale è molto più ampio.

Costo del downtime

Costi di ripristino

Sanzioni GDPR e NIS2

Danno reputazionale

Doppia vittimizzazione

Per una PMI italiana il downtime medio è di 7-14 giorni. Per organizzazioni con linee di produzione critiche (manifattura, sanità, logistica) il costo per ora di fermo può superare le decine di migliaia di euro. Il caso dell'Università di Maastricht (267 server compromessi) è emblematico — abbiamo dedicato un articolo all'attacco ransomware all'Università di Maastricht.

Anche pagando il riscatto (cosa che non si dovrebbe mai fare), solo l'8% delle aziende recupera tutti i dati. Tipicamente il ripristino richiede settimane di lavoro di consulenti specialistici, ricostruzione di parte dell'infrastruttura, audit di sicurezza post-incidente. Il costo totale (riscatto + downtime + ripristino + consulenza legale) può facilmente raggiungere milioni di euro.

Un attacco con esfiltrazione dati attiva l'obbligo di notifica al Garante Privacy entro 72 ore (GDPR art. 33). Le sanzioni possono arrivare al 4% del fatturato annuo. La Direttiva NIS2, applicabile a soggetti essenziali e importanti, aggiunge obblighi di notifica e sanzioni dedicate.

Le campagne moderne pubblicano in real-time sui leak site dei gruppi criminali nomi delle vittime e sample di dati esfiltrati. Il danno reputazionale verso clienti, fornitori e partner è duraturo e difficile da quantificare.

Il 68% delle aziende che pagano subisce un secondo attacco entro un mese, spesso dallo stesso gruppo o da gruppi che hanno acquistato l'accesso al perimetro nei mercati criminali. Pagare non chiude il problema.

Strategie di prevenzione

La difesa contro il ransomware si articola su più livelli complementari. Nessuna singola misura è sufficiente da sola.

Patch management rigoroso

Politiche di patching strutturate, con SLA per severità (critical patchato entro 72 ore, high entro 7 giorni). Soluzioni come ManageEngine Patch Manager Plus o Microsoft Intune permettono di gestire centralmente patch di sistema operativo e applicazioni terze parti.

MFA ovunque

Multi-Factor Authentication su tutti gli accessi remoti (VPN, RDP via gateway, M365, applicazioni cloud). Privilegiare FIDO2/WebAuthn rispetto a SMS o app TOTP, vulnerabili a tecniche di MFA fatigue. Anche admin di dominio devono avere MFA — non è un'opzione.

Eliminazione RDP esposto

Mai esporre RDP direttamente a internet. Posizionare server RDP dietro un Remote Desktop Gateway con HTTPS, oppure utilizzare soluzioni Zero Trust come SASE o ZTNA per accessi pubblicati senza esposizione di porta.

Gestione privilegi (PoLP)

Principle of Least Privilege: utenti e applicazioni ricevono solo i permessi strettamente necessari. Tier model per gli amministratori (Tier 0 = AD, Tier 1 = server, Tier 2 = workstation) con account separati per ogni tier. Strumenti come ManageEngine PAM360, CyberArk o Microsoft PIM gestiscono accessi privilegiati con audit completo.

Awareness e formazione

Oltre il 90% degli attacchi inizia con un errore umano. Programmi continuativi di formazione utenti riducono drasticamente il click-rate sul phishing. Il Corso Cyber Security Awareness di Nexsys eroga formazione strutturata per team aziendali.

Hardening Active Directory

Audit regolare di gruppi privilegiati, disabilitazione di SMBv1, rimozione di account dormienti, password policy moderne (vedi linee guida NIST), monitoraggio di Kerberoasting e AS-REP Roasting. La guida ad Active Directory di Nexsys copre i pilastri di hardening AD.

Hardening Active Directory

Difese tecniche moderne

EDR/XDR di nuova generazione

Le soluzioni Endpoint Detection and Response (Microsoft Defender for Endpoint, CrowdStrike, SentinelOne) rilevano comportamenti anomali — non firme — bloccando ransomware prima che cifri i file. L'estensione XDR correla telemetria endpoint, network, email e identity per visione olistica delle minacce.

NGAV (Next-Generation Antivirus)

Le soluzioni antivirus tradizionali basate su signature non bastano più contro le varianti polimorfe del ransomware moderno. Approfondisci nel nostro articolo dedicato a perché le soluzioni NGAV sostituiscono gli antivirus.

SIEM e SOC

Microsoft Sentinel o SIEM equivalenti raccolgono log da AD, M365, EDR, firewall, web proxy. Il SOC (Security Operations Center, interno o gestito) analizza in 24/7 le anomalie e risponde rapidamente. Un attacco rilevato in fase di ricognizione costa molto meno di uno rilevato dopo la cifratura.

DNS Security

Filtro DNS che blocca risoluzione di domini malevoli noti, comando&controllo dei ransomware, siti di esfiltrazione. Layer di difesa molto efficace ed economico.

Email security avanzata

Microsoft Defender for Office 365, Mimecast o Proofpoint con sandboxing degli allegati, rewriting dei link (Safe Links), Anti-Phishing intelligente. Punto critico: i filtri vanno tuned periodicamente perché gli attaccanti adattano le tecniche.

Controllo applicazioni e LAPS

Whitelisting applicativo (AppLocker, Windows Defender Application Control) che impedisce l'esecuzione di binari non firmati. Microsoft LAPS (Local Administrator Password Solution) gestisce automaticamente password degli account amministrativi locali, eliminando il riuso che rende facili gli attacchi pass-the-hash.

Difese contro Active Directory attacks

Patch tempestiva di vulnerabilità AD (Zerologon, NoPac, Kerberos), attivazione di Microsoft LAPS, configurazione di Protected Users group per account sensibili, audit Sysmon con EDR forwarding.

Strategia di backup anti-ransomware

Un backup affidabile è l'ultima linea di difesa e — paradossalmente — quella che gli attaccanti cercano di neutralizzare per primi.

La regola 3-2-1-1-0

Evoluzione moderna della classica 3-2-1:

3 copie dei dati
2 supporti diversi
1 copia offsite
1 copia immutabile/air-gapped
0 errori al test di restore

Immutabilità dei backup

I backup devono essere immutabili: una volta scritti non possono essere modificati o cancellati, nemmeno da un amministratore con credenziali compromesse. Tecnologie WORM (Write Once Read Many), object lock S3, snapshot storage immutabili.

Air-gap e isolamento

Backup completamente isolati dalla rete di produzione. Possibilità di air-gap fisico (tape) o logico (cloud con credenziali separate). Druva è una piattaforma SaaS cloud-native che fornisce backup immutabile e air-gapped con ripristino curated (solo versione integra dei dati senza il malware).

Test di restore periodici

Backup che non sono mai stati testati per il restore non sono backup, sono solo file su un disco. Test mensili di restore parziale, test trimestrali di disaster recovery completo. Misurare RTO (Recovery Time Objective) e RPO (Recovery Point Objective) reali, non quelli sperati.

Backup cloud per Microsoft 365

Microsoft applica retention nativa ma non fornisce backup tradizionali. Per recovery oltre 30 giorni, ripristino granulare, retention multi-anno e compliance, è necessario un servizio backup terzo. Per approfondimenti vedi il nostro articolo su perché è fondamentale fare backup di Office 365.

Recovery di file singoli con tool gratuiti

Per alcune famiglie storiche di ransomware esistono decryptor gratuiti rilasciati da ricercatori di sicurezza o law enforcement. Per dettagli sui tool disponibili consulta la nostra guida su come recuperare gratuitamente file cifrati da ransomware.

Cosa fare se si subisce un attacco ransomware

I primi 60 minuti dopo aver scoperto un attacco sono critici. Le azioni — e i non-azioni — di questa fase determinano l'entità del danno finale.

1. Non improvvisare interventi tecnici

2. Isolare i sistemi compromessi

3. Attivare il piano di incident response

4. Notificare le autorità

5. Preservare le evidenze

6. Identificare la famiglia di ransomware

7. Non pagare (se possibile)

8. Avviare il recovery strutturato

Prima regola: non fare ulteriori modifiche al sistema senza un piano. Spegnere i server senza criterio può cancellare evidenze forensi. Riavviare può attivare componenti del ransomware ancora dormienti.

Disconnettere i sistemi compromessi dalla rete (cavo di rete, Wi-Fi, VPN) per fermare la propagazione laterale. Mantenerli accesi per preservare evidenze in RAM utili all'analisi forense.

Se hai un Incident Response Plan, attivalo. Se non ce l'hai, contatta immediatamente specialisti di incident response. Il tempo risparmiato in questa fase non vale il rischio di errori irreparabili.

Garante Privacy entro 72 ore (GDPR), Polizia Postale per la denuncia, eventualmente CERT-AgID. Per soggetti NIS2, obblighi di notifica specifici verso ACN (Agenzia per la Cybersicurezza Nazionale).

Snapshot di memoria, log di sistema, log di rete, copia dei file cifrati e della nota di riscatto. Servono per analisi forense, eventuale denuncia e — in alcuni casi — per identificare la famiglia di ransomware e cercare decryptor disponibili.

Servizi come ID Ransomware permettono di identificare la famiglia analizzando un file cifrato o la nota di riscatto. Per alcune famiglie esistono decryptor pubblici gratuiti.

Pagare il riscatto finanzia ulteriori attacchi, non garantisce il ripristino dei dati e aumenta la probabilità di doppia vittimizzazione. Prima di considerare il pagamento, valutare con professionisti tutte le alternative tecniche e legali.

Ricostruzione progressiva da backup integri, su infrastruttura ripulita o nuova. Mai ripristinare su sistemi che non sono stati completamente bonificati o ricostruiti — il rischio di reinfezione è altissimo.

L'approccio Nexsys alla difesa anti-ransomware

Nexsys affronta il ransomware con un approccio integrato a 5 pilastri:

1. Assessment

Audit dello stato attuale: maturità della security, vulnerabilità esposte, qualità dei backup, capacità di detection, livello di awareness utenti. Output: gap analysis con priorità di intervento.

2. Hardening

Implementazione delle difese tecniche: EDR/XDR, MFA, segmentazione, hardening AD, eliminazione RDP esposti, patching disciplinato, DNS security, email security avanzata.

3. Backup e recovery

Implementazione di backup immutabili (Druva, Veeam), test periodici di restore, definizione di RTO/RPO target, costruzione di runbook di incident response.

4. Awareness

Formazione strutturata di utenti e team IT tramite il Corso Phishing Awareness, il Corso Cyber Security Awareness e simulazioni periodiche.

5. Monitoraggio continuo

SOC gestito o supporto al SOC interno, monitoraggio 24/7 di anomalie, threat intelligence, aggiornamento continuo delle policy in base all'evoluzione del threat landscape.

Ransomware recovery: ripristinare senza pagare

L'attività di ransomware recovery è una componente fondamentale di un solido piano di disaster recovery. Si concentra sulla capacità dell'organizzazione di ripristinare rapidamente dati e sistemi senza cedere al riscatto.

Componenti chiave del recovery

Backup immutabili: garanzia di disponibilità di dati integri
Ambienti isolati per il restore: ricostruzione su infrastruttura nuova, mai sull'ambiente compromesso
Forensic analysis preliminare: identificare punto d'ingresso e persistenze prima del restore
Bonifica progressiva: identità, AD, server core, server applicativi, endpoint, in quest'ordine
Validazione integrità: scan dei dati ripristinati prima della rimessa in produzione

RTO e RPO realistici

Avere backup non basta: serve poterli recuperare in tempi compatibili con la continuità di business. Per organizzazioni medie il target è tipicamente RTO 24-48h e RPO 4-12h. Per sistemi business-critical RTO 2-4h e RPO 15-30 minuti, ottenibili con replica continua e disaster recovery sites attivi.

Soluzioni Druva

Nexsys propone Druva come piattaforma cloud-native per ransomware recovery. Druva conserva backup in modo immutabile, archiviazione air-gapped in cloud, rilevamento anomalie tramite AI e ripristino curated della versione integra (senza il malware).

Scopri il servizio

Domande frequenti sul ransomware

Pagare il riscatto è una buona idea?

No. Pagare finanzia ulteriori attacchi, non garantisce il recupero dei dati (solo l'8% delle aziende che paga recupera tutto), aumenta del 68% la probabilità di subire un secondo attacco entro un mese e in alcuni paesi può comportare implicazioni legali se il gruppo criminale è in liste sanzioni. La strategia corretta è prevenire e avere backup affidabili, non finanziare i criminali.

Quanto costa in media un attacco ransomware a una PMI italiana?

Variabile, ma le stime medie sono tra 100.000 e 1.000.000 di euro per una PMI italiana, considerando downtime, ripristino, consulenze legali, eventuali sanzioni GDPR, danno reputazionale e perdita di clienti. Per realtà più grandi i costi raggiungono facilmente i milioni di euro. Il riscatto è solo una piccola parte del costo totale.

L'antivirus tradizionale protegge dai ransomware moderni?

Solo parzialmente. Gli antivirus signature-based bloccano famiglie note ma falliscono contro varianti polimorfe e attacchi fileless. Le soluzioni NGAV (Next-Generation Antivirus) ed EDR/XDR moderne rilevano comportamenti anomali e sono molto più efficaci contro il ransomware contemporaneo.

Quanto tempo passa tra l'infezione iniziale e la cifratura?

Tipicamente da 24 ore a diverse settimane. Gli attaccanti moderni passano molto tempo in fase di ricognizione, movimento laterale ed esfiltrazione dati prima della cifratura. Questo dwell time è anche la finestra in cui un buon SOC può rilevare e bloccare l'attacco prima del danno irreparabile.

I backup salvati su NAS aziendale sono sufficienti?

No. I NAS condivisi in rete sono il primo bersaglio dei ransomware moderni: vengono mappati durante la ricognizione e cifrati per primi. Servono backup immutabili o air-gapped, ideali in cloud con credenziali separate. La regola 3-2-1-1-0 è il minimo richiesto.

Le piccole aziende sono davvero un bersaglio?

Sì, anzi sempre più. Il modello RaaS ha ridotto la barriera tecnica e i gruppi criminali colpiscono sempre più PMI italiane perché meno protette delle grandi aziende e con riscatti più "accessibili" (50-200k euro tipici). Nessuna azienda è troppo piccola per essere bersaglio.

Esistono decryptor gratuiti per ransomware?

Sì, per alcune famiglie storiche o smantellate (TeslaCrypt, Shade, alcuni ceppi GandCrab e LockBit). Servizi come No More Ransom Project (no-more-ransom.org) e ID Ransomware aiutano a identificare la famiglia e indirizzano ai decryptor disponibili. Per le famiglie attive moderne, raramente esistono decryptor.

Microsoft 365 protegge dai ransomware?

Microsoft 365 ha protezioni native (Defender for Office 365, retention policy) ma non è infallibile. OneDrive è particolarmente esposto perché progettato per condivisione e sincronizzazione, quindi può propagare ransomware tra dispositivi. Serve sempre un backup terzo per Microsoft 365.

Come si segnala un attacco ransomware in Italia?

Polizia Postale (denuncia formale), Garante Privacy entro 72 ore se ci sono dati personali coinvolti (GDPR art. 33), CERT-AgID per la condivisione di indicatori di compromissione. Per soggetti NIS2, notifica ad ACN (Agenzia per la Cybersicurezza Nazionale) con tempistiche specifiche.

Articoli e risorse correlate

Preferisci compilare il modulo? Scrivi i tuoi dati qui sotto

Il servizio telefonico è attivo dal lunedì al venerdì dalle 8:00 alle 18:00 al numero 0452456669. Puoi anche compilare il modulo sottostante: