Il ransomware continua a rappresentare una delle minacce più rilevanti per il settore manifatturiero e della produzione, ma il quadro che emerge dal report Sophos State of Ransomware in Manufacturing and Production 2025 mostra un’evoluzione significativa delle dinamiche di attacco. Le aziende industriali stanno diventando più efficaci nel fermare gli attacchi prima che possano causare danni irreversibili, mentre i gruppi criminali stanno adattando le proprie strategie puntando sempre di più su furto di dati ed estorsione pura, sfruttando la forte dipendenza operativa da sistemi interconnessi e supply chain complesse.
Cifratura in calo, ma gli attaccanti cambiano strategia
Nel 2025 solo il 40% degli attacchi ransomware contro il comparto manifatturiero ha portato alla cifratura dei dati. È il valore più basso registrato negli ultimi cinque anni e rappresenta un netto miglioramento rispetto al 74% del 2024. Parallelamente, la capacità di intercettare e bloccare gli attacchi prima della cifratura è più che raddoppiata: il 50% delle aziende intervistate è riuscito a fermare i cybercriminali in tempo.
Questo progresso, tuttavia, non ha ridotto la pressione complessiva sulle organizzazioni. Le estorsioni senza cifratura sono salite al 10% dei casi, contro il 3% dell’anno precedente. In pratica, anche quando i sistemi restano operativi, il furto di dati sensibili viene utilizzato come leva per costringere le vittime a pagare, con la minaccia di pubblicazione sui siti di leak.
Il furto di dati resta un nodo critico
Il report evidenzia come il 39% degli attacchi che hanno comportato la cifratura dei dati sia stato accompagnato anche da esfiltrazione delle informazioni. Si tratta di una delle percentuali più elevate tra tutti i settori analizzati, segno che la doppia estorsione è ormai una pratica consolidata nel manifatturiero. In termini assoluti, il 15% di tutte le aziende colpite da ransomware nel settore ha subito furto di dati, anche in assenza di cifratura completa.
Questa combinazione aumenta in modo significativo il rischio reputazionale e legale, soprattutto in contesti industriali caratterizzati da proprietà intellettuale, segreti di produzione e informazioni strategiche lungo la supply chain.
Perché le aziende industriali restano esposte
Dal punto di vista delle cause, lo sfruttamento di vulnerabilità note o sconosciute rimane il principale vettore tecnico, responsabile del 32% degli incidenti, seguito da email malevole (23%) e attacchi basati su credenziali compromesse (20%). Accanto ai fattori tecnici emergono con forza le criticità organizzative.
Il 42,5% delle aziende indica la carenza di competenze come elemento determinante, mentre il 41,6% cita la presenza di lacune di sicurezza non individuate e il 41% una protezione inadeguata. In media, ogni organizzazione colpita riconosce tre fattori interni concomitanti, a conferma di come il ransomware sfrutti debolezze sistemiche più che singoli errori isolati.
Riscatti ancora diffusi, nonostante i progressi
Nonostante il miglioramento delle difese, il pagamento del riscatto resta una pratica diffusa. Il 51% delle aziende manifatturiere che hanno subito la cifratura dei dati ha versato un riscatto, con un valore mediano di 1 milione di dollari a fronte di richieste medie pari a 1,2 milioni. In media, le vittime hanno pagato l’86% dell’importo inizialmente richiesto, una percentuale in crescita rispetto all’anno precedente.
Questi numeri mostrano come, anche in presenza di backup e piani di ripristino, la pressione operativa e i tempi di fermo produttivo continuino a spingere molte realtà a negoziare con gli attaccanti.
Recovery più rapido e costi in diminuzione
Un segnale positivo arriva dai tempi e dai costi di ripristino. Il costo medio per tornare alla piena operatività, escludendo i riscatti, è sceso a 1,3 milioni di dollari, con una riduzione del 24% su base annua. Inoltre, il 58% delle aziende è riuscito a recuperare completamente entro una settimana, contro il 44% del 2024. Nel complesso, il 98% delle organizzazioni industriali colpite ha ripristinato le attività entro tre mesi.
Questi dati indicano una maggiore maturità nella gestione degli incidenti e una migliore preparazione sul fronte del disaster recovery, pur in un contesto di minacce sempre più sofisticate.
L’impatto umano degli attacchi ransomware
Il report mette in luce anche le conseguenze sugli addetti IT e cybersecurity. Il 47% delle aziende segnala un aumento significativo dello stress e dell’ansia nei team coinvolti, mentre il 44% riporta una maggiore pressione da parte del top management. In oltre un quarto dei casi si sono verificati cambiamenti nelle posizioni di leadership, a dimostrazione di come un attacco ransomware possa avere ripercussioni organizzative profonde, oltre che economiche.
Difese stratificate e preparazione continua come priorità
L’esperienza raccolta da Sophos nel settore industriale conferma che la riduzione dell’impatto del ransomware passa da un approccio strutturato e multilivello. Intervenire sulle cause primarie, rafforzare la protezione degli endpoint, testare regolarmente i piani di incident response e garantire una visibilità continua sugli ambienti IT e OT sono elementi chiave per aumentare la resilienza.
In un contesto in cui gli attaccanti dimostrano grande capacità di adattamento, la sfida per il manifatturiero non è solo tecnica, ma strategica: ridurre il tempo di reazione, limitare le superfici di attacco e contenere le conseguenze operative e finanziarie di incidenti che, anche quando non portano alla cifratura dei dati, restano altamente destabilizzanti.
Se vuoi, attendo il tuo OK prima di procedere con il workflow post-articolo (titoli SEO, permalink, meta description, riassunti e post LinkedIn).
