‹ Tutti gli articoli
Sicurezza

Pagare il riscatto è passato di moda (gli attacchi no)

30 maggio 2026 · di Angelo Pallanca (Pan) · 2 min di lettura

C'è una buona notizia nel mondo dei ransomware, e va detta, perché è rara. Sempre meno vittime pagano. Nel 2025 ha pagato circa il 36% delle aziende colpite, in calo dal 41% dell'anno prima, e alcune stime parlano addirittura del 28%. Tradotto: la maggioranza ora dice di no.

Il motivo non è il coraggio. È la preparazione. Chi ha backup seri e chiama la polizia presto si riprende senza trattare. Nel 2025 il 53% delle organizzazioni colpite si è rimesso in piedi entro una settimana, contro il 35% dell'anno prima. La difesa più efficace contro il ricatto si è rivelata la più noiosa: una copia dei dati che funziona.

Le retate funzionano (ma non come pensi)

Anche le forze dell'ordine hanno segnato punti. Dopo l'operazione Cronos, l'FBI ha distribuito gratis oltre 7.000 chiavi di decrittazione di LockBit. Dal 2022 ha aiutato le vittime a evitare più di 800 milioni di dollari di riscatti. E nel 2026 sono caduti forum chiave dell'underground: RAMP sequestrato a gennaio, LeakBase a marzo.

Sembra una vittoria netta. Lo è solo a metà.

Le retate riducono il volume di un singolo gruppo, temporaneamente. Non riducono il volume totale degli attacchi: frammentano l'ecosistema e spingono gli affiliati a migrare verso le piattaforme sopravvissute.

Il banco di prova è una piazza, non un'azienda

Qui sta la lezione che il racconto trionfalistico salta. Il ransomware non è una banda, è un mercato. Smantellare LockBit o RansomHub non chiude il mercato, ridistribuisce i clienti. Gli affiliati, cioè i veri esecutori, traslocano. La domanda di estorsione resta, l'offerta si riorganizza.

È esattamente come la lotta alla droga di strada: arresti il capo, e la piazza non chiude, cambia gestione. Finché esiste l'incentivo economico, e il riscatto in cripto resta un incentivo enorme, il sistema si rigenera. Festeggiare ogni takedown come fine della guerra è comprensibile per un comunicato, fuorviante per chi deve difendersi.

Perché conta per te

Per chi gestisce un'organizzazione: la notizia operativa è quella noiosa, non quella eroica. I backup, testati davvero, e un piano per i primi cinque minuti valgono più di qualsiasi titolo su un boss arrestato. Pagare resta l'ultima spiaggia, sempre meno necessaria se ti sei preparato.

Per chi legge le notizie: diffida del ciclo "grande retata, minaccia sconfitta, prossima grande retata". È un teatro che si ripete. Il dato che conta non è quanti capi cadono, ma se il numero totale di attacchi scende. Per ora non scende.

La cosa più hacker che puoi fare contro il ransomware non è un firewall costoso. È un backup che hai provato a ripristinare almeno una volta. Poco glamour, lo so. Ma è la mossa che toglie ai criminali l'unica cosa che vendono davvero: la tua disperazione.