Torna al blog
Threat Intelligence

Ransomware: quanto costa davvero a una PMI italiana

25 febbraio 2026 · 6 min di lettura

Oltre il riscatto: i numeri reali

Quando si parla di ransomware, l'attenzione si concentra sul riscatto. Ma per una PMI italiana, il riscatto è spesso meno del 30% del costo totale. Vediamo i numeri reali, basati sui dati Clusit 2026, IBM Cost of a Data Breach 2025 e casi italiani documentati.

L'anatomia dei costi

Prendiamo una PMI manifatturiera da 45 dipendenti e 8 milioni di fatturato — un caso tipico nel Nord Italia. Ecco cosa succede dopo un attacco ransomware riuscito:

Costi diretti

  • Fermo produttivo: media 23 giorni (Sophos State of Ransomware 2025). Per un'azienda da 8M€ di fatturato = circa 72.000€ di mancato fatturato
  • Incident response: forense, bonifica, ripristino. Con un provider esterno: 25.000-60.000€
  • Riscatto: se pagato (sconsigliato), media PMI Italia: 84.000€. Ma solo il 8% recupera tutti i dati dopo il pagamento
  • Hardware/software: sostituzione sistemi compromessi: 5.000-15.000€

Costi indiretti

  • Sanzioni GDPR: se dati personali compromessi e misure inadeguate: 20.000-100.000€
  • Danno reputazionale: perdita clienti stimata al 5-10% nei 12 mesi successivi
  • Aumento premi assicurativi: +40-80% al rinnovo della polizza cyber
  • Costi legali: notifica ai soggetti interessati, gestione reclami: 10.000-30.000€
  • Straordinari e stress: il team IT lavora 80+ ore/settimana per settimane

Il totale reale

Per la nostra PMI esempio, il costo totale stimato è tra 180.000€ e 350.000€. Questo senza pagare il riscatto. Per un'azienda da 8M€ di fatturato, parliamo del 2-4% del fatturato annuo andato in fumo in un singolo incidente. Il 60% delle PMI colpite da ransomware chiude entro 6 mesi (National Cyber Security Alliance).

Il confronto: prevenzione vs cura

Implementare un livello di sicurezza adeguato per una PMI di questa dimensione costa tra 15.000€ e 30.000€/anno. Questo include: EDR su tutti gli endpoint, backup immutabili, MFA, formazione, vulnerability assessment semestrale e un piano di incident response. Meno del 10% del costo di un singolo attacco.

Chi colpisce le PMI italiane

I gruppi più attivi nel 2025-2026 contro il tessuto imprenditoriale italiano:

  • LockBit 4.0: il più prolifico, responsabile del 28% degli attacchi ransomware in Italia
  • Akira: in forte crescita, specializzato in PMI con VPN Cisco non aggiornate
  • 8Base: focus specifico sulle piccole imprese, riscatti più bassi ma volume altissimo
  • Hunters International: erede di Hive, doppia estorsione sistematica

Il ransomware non è una questione di "se", ma di "quando". L'unica domanda è: sarete preparati quando arriverà?

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli