Le minacce informatiche più comuni per le PMI italiane

Per molte PMI italiane la cybersecurity è diventata parte della continuità operativa: strumenti digitali, siti web, servizi cloud e lavoro da remoto sono ormai indispensabili e quindi attraggono tentativi di compromissione. In questo contesto, gli incidenti più frequenti non richiedono tecniche “da film”: spesso bastano una e-mail credibile, una password riutilizzata o un servizio pubblicato su Internet con configurazioni deboli.

Scenario attuale della cybersecurity

La digitalizzazione aumenta la superficie d’attacco e rende gli incidenti più “trasversali”: gli stessi canali (posta, applicazioni web, accesso remoto e credenziali) colpiscono organizzazioni grandi e piccole. Un fattore chiave è la monetizzazione tramite estorsione digitale: la logica “blocca e chiedi pagamento” scala bene a prescindere dalla dimensione dell’azienda, contribuendo alla convergenza del rischio tra PMI e imprese strutturate.

Secondo ENISA, le tecniche di social engineering e il phishing restano tra i principali punti di ingresso osservati, mentre lo sfruttamento di vulnerabilità e la distribuzione di codice malevolo continuano a essere determinanti nell’evoluzione di un incidente verso un’intrusione. Nelle intrusioni analizzate a livello europeo, una parte consistente degli esiti riguarda violazioni di dati e, lato “famiglie di malware”, ransomware e strumenti di furto informazioni sono fortemente rappresentati.

Perché le PMI sono target

Le PMI sono appetibili perché il cybercrime è, nella maggior parte dei casi, un’attività economica: l’obiettivo tipico è massimizzare il ritorno con il minimo sforzo, attraverso blocco operativo, furto dati, frodi sui pagamenti o rivendita di accessi. Nel DBIR 2025 di Verizon, la maggioranza delle violazioni che colpiscono le piccole organizzazioni risulta attribuibile ad attori esterni e con motivazioni finanziarie prevalenti.

C’è poi l’effetto filiera. Le PMI dipendono spesso da fornitori IT, assistenza, gestionali e servizi cloud; inoltre scambiano fatture, ordini e documenti con clienti e partner. Il rischio aumenta quando un incidente coinvolge terze parti: nello stesso DBIR lo spazio delle violazioni con coinvolgimento di terzi cresce sensibilmente in un anno. Anche il quadro europeo include esplicitamente i rischi supply chain come categoria rilevante, segnalando l’interesse degli attaccanti verso “percorsi indiretti”.

Minacce principali

Le minacce che seguono non sono le uniche, ma sono tra le più ricorrenti nelle PMI e, soprattutto, tra le più gestibili con misure pragmatiche.

Phishing (e varianti: smishing, vishing, QR phishing)
Il phishing funziona perché mette pressione (urgenza, autorità, timore di blocchi) e colpisce il “punto di decisione” della persona: cliccare un link, aprire un allegato, inserire credenziali. Oggi non si parla solo di e-mail: crescono canali come SMS e telefonate e si vedono campagne che usano QR code in documenti e allegati per portare l’utente su pagine di login false. Inoltre, piattaforme “phishing-as-a-service” facilitano la clonazione di pagine e l’impersonificazione di brand e servizi, aumentando credibilità e scala delle trappole.

In Italia il volume di segnalazioni è un indicatore utile per comprendere la pervasività del fenomeno. Il Rapporto Clusit 2025 riporta che Polizia Postale ha ricevuto circa 24.000 segnalazioni di phishing nel 2024, pari a una quota rilevante delle segnalazioni complessive tramite il portale istituzionale.

Ransomware
Il ransomware oggi è spesso “doppia estorsione”: cifratura più sottrazione di dati, con pressione a pagare per ripristinare l’operatività e per evitare divulgazioni o vendita delle informazioni. Nelle analisi sulle violazioni, questo tipo di attacco risulta molto presente: nel DBIR 2025 il ransomware è indicato come componente in una quota rilevante di breach, con un impatto particolarmente pronunciato sulle piccole organizzazioni. Il fatto che molte intrusioni si traducano poi in data breach “messi in vendita” rende l’estorsione ancora più efficace come modello economico.

Gli ingressi tipici sono tre, spesso combinati: vulnerabilità non corrette (soprattutto su apparati esposti come VPN e dispositivi di frontiera), credenziali compromesse e phishing che porta all’installazione di malware. Anche quando la cifratura viene evitata, l’intrusione può lasciare danni: accessi persistenti, dati copiati e tempi di ripristino che si misurano in giorni.

Credenziali compromesse
Password rubate o riutilizzate sono una scorciatoia: nel DBIR 2025 l’abuso di credenziali appare tra i vettori più comuni di accesso iniziale. Il problema è amplificato da famiglie di malware orientate al furto, come gli infostealer, e da campagne che puntano a sottrarre non solo password ma anche elementi utili a mantenere una sessione di accesso.

Qui la difesa più “economica” è alzare la barriera sugli account critici: autenticazione a più fattori, password uniche (meglio con password manager) e separazione degli account amministrativi da quelli operativi. La ricerca citata da Microsoft indica che l’MFA può bloccare oltre il 99,2% degli attacchi di compromissione account. Anche le linee guida per PMI raccomandano esplicitamente MFA e password manager come misure base per mettere in sicurezza l’accesso ai sistemi.

Accessi remoti non sicuri
Il lavoro da remoto è normale, ma diventa rischioso quando l’accesso remoto è progettato per comodità: servizi di desktop remoto esposti su Internet, VPN non aggiornate, account condivisi e assenza di log. Nel DBIR 2025 lo sfruttamento di vulnerabilità come vettore d’ingresso è in crescita; inoltre una porzione significativa delle attività di exploitation riguarda proprio edge device e VPN, con tempi di remediation non sempre rapidi.

Le raccomandazioni operative sono coerenti: ridurre o eliminare l’esposizione diretta di servizi sensibili sul web (come RDP), limitare l’uso del desktop remoto e applicare controlli (patch, MFA, logging) ove l’accesso remoto sia davvero necessario.

Backup inefficaci
Il backup è decisivo contro il ransomware solo se è isolato, protetto e testato. Un errore comune è confondere la sincronizzazione cloud con il backup: se i file locali vengono cifrati, la sincronizzazione può propagare il danno e sovrascrivere versioni sane. Le guide raccomandano backup separati dall’ambiente di produzione, cifrati e verificati con test di ripristino, idealmente fino a esercizi di restore completi.

I dati di survey sul ransomware mostrano inoltre che l’uso dei backup per ripristinare dati cifrati non è automatico: in un campione ampio, i backup risultano usati in circa metà dei casi di cifratura, un segnale che molte organizzazioni devono maturare processi e architetture di recupero.

Conseguenze reali

Le conseguenze più immediate sono operative: fermo o rallentamento di produzione e servizi, posta non disponibile, gestione ordini e fatturazione interrotta, impossibilità di accedere a documenti e applicazioni. Sul piano economico incidono consulenze, ripristino, overtime, sostituzione dispositivi e opportunità perse; indagini di settore sul ransomware indicano costi medi di recupero molto elevati e tempi di recupero che, spesso, non si risolvono “in giornata”.

C’è poi la dimensione dati. A livello europeo, una quota importante di intrusioni analizzate conduce a data breach pubblicizzati o venduti su forum criminali. Se sono coinvolti dati personali, scattano anche aspetti di compliance: il Garante per la protezione dei dati personali ricorda l’obbligo di notifica entro 72 ore “ove possibile” quando la violazione presenta rischio per i diritti e le libertà delle persone, oltre alla possibile comunicazione agli interessati nei casi di rischio elevato e alla necessità di documentare gli eventi. Questi obblighi si innestano nel Regolamento (UE) 2016/679 e rendono ancora più importante la prontezza di rilevazione e risposta.

Errori più comuni

Gli errori che più spesso aprono la strada a un incidente sono:

• MFA non attiva su posta, cloud e accesso remoto

• password riutilizzate o condivise

• servizi di accesso remoto esposti sul web

• patch e aggiornamenti rimandati su VPN e apparati esposti

• backup non isolati e restore mai testati

• assenza di un piano minimo di risposta agli incidenti

Sono punti ricorrenti sia nei report sulle violazioni (che evidenziano il ruolo delle credenziali, delle vulnerabilità e del fattore umano) sia nelle guide operative, che insistono su backup offline, riduzione dell’esposizione dei servizi remoti e procedure di risposta.

Misure preventive concrete

Un programma “realistico” per PMI può partire da pochi controlli ad alta resa, mantenuti nel tempo e verificati con test.

Identità e accessi: MFA ovunque per account critici, password manager, separazione account admin, revoca rapida degli accessi non più necessari e principio di minimo privilegio.

E-mail e frodi sui pagamenti: filtri antiphishing e formazione breve e ricorrente su esempi reali; in parallelo, procedure interne di verifica per richieste di pagamento insolite o cambi di coordinate bancarie, usando un contatto noto e un canale diverso dall’e-mail.

Vulnerabilità e patch: inventario dei servizi esposti, aggiornamenti critici con priorità e scansioni periodiche. Nelle violazioni analizzate, l’exploitation come ingresso pesa in modo non marginale e, in particolare, edge device e VPN sono spesso coinvolti.

Accesso remoto: evitare l’esposizione diretta di servizi come RDP; dove serve, usare soluzioni con MFA, accesso per ruolo, patching continuo, limitazioni sensate e logging/alerting.

Backup e ripristino: copie separate dalla produzione, cifrate e con una componente offline o comunque protetta da manomissioni; test di restore schedulati e, periodicamente, una simulazione di ripristino completo per misurare tempi reali.

Risposta agli incidenti: un piano essenziale con ruoli, contatti e priorità, e una checklist per le prime ore. Anche le guide per PMI suggeriscono di formalizzare un incident response plan e di introdurre strumenti di monitoraggio e alert.

Cultura della sicurezza

Molte violazioni includono un elemento umano: la cultura serve a ridurre errori e tempi di reazione, senza trasformarsi in “colpevolizzazione”. Le linee guida per le PMI insistono su due leve fondamentali: assegnare una responsabilità di gestione (anche senza un CISO interno) e ottenere coinvolgimento dei dipendenti, con comunicazione chiara e training periodico su situazioni reali.

In pratica significa rendere normale: segnalare subito anomalie, verificare richieste “insolite”, bloccare un dispositivo perso e non aggirare le regole per fretta. Nelle violazioni, la differenza tra impatto contenuto e crisi prolungata è spesso nella prontezza: rilevare prima, reagire con una procedura e ripristinare con backup realmente funzionanti.

Conclusione

Le minacce più comuni per le PMI italiane sono spesso semplici nella forma: phishing, ransomware, credenziali compromesse, accessi remoti deboli e backup non ripristinabili. La buona notizia è che le difese più efficaci sono altrettanto pragmatiche: MFA, patching serio, accesso remoto sicuro, backup separati e testati, e una cultura che premia la verifica prima dell’urgenza.