C’è qualcosa di quasi poetico nel fatto che l’Italia, Paese che ha inventato il Rinascimento e ha insegnato al mondo come fare le cose bene, nel 2025 si sia ritrovata sesta al mondo per numero di attacchi ransomware rivendicati pubblicamente. Non è un primato di cui vantarsi al bar. Eppure, stando ai dati dello Y-Report 2026 di Yarix, il nostro paese ha collezionato questa posizione con una diligenza che farebbe invidia a qualsiasi studente modello: oltre 522.000 eventi di sicurezza rilevati nel corso dell’anno, di cui più di 158.000 evoluti in incidenti veri e propri, con un incremento medio mensile dell’8% rispetto all’anno precedente.

Il settore manifatturiero ha guidato questa classifica tutt’altro che onorevole, incassando il 17,9% degli incidenti totali. La ragione è brutalmente semplice: le fabbriche italiane sono piene di macchinari moderni collegati a reti informatiche nate in un’altra epoca, dove la preoccupazione principale era che il tornio girasse alla velocità giusta, non che qualcuno dall’altra parte del mondo potesse bloccare l’intera produzione e chiedere un riscatto in criptovalute. I sistemi OT (Operational Technology) e IT ormai convivono, ma raramente si parlano in modo sicuro. Il risultato è che ogni PLC, ogni sensore industriale connesso in rete, ogni pannello di controllo raggiungibile via VPN mal configurata diventa una porta d’ingresso potenzialmente aperta.

Il caso Marposs: anatomia di un attacco di gennaio

Il 26 gennaio 2025, Marposs S.p.A., azienda di riferimento mondiale nella meccatronica e nei sistemi di misura per l’industria manifatturiera, è stata colpita da un attacco ransomware di tipo Cryptolocker che ha portato alla cifratura di diversi server aziendali, con impatti diretti sui reparti logistici e amministrativi. Come misura precauzionale, l’azienda ha spento i sistemi IT in Italia e avviato le attività di ripristino con una task force mista. I dati potenzialmente esposti includevano documenti contabili, bilanci, email interne e comunicazioni con partner commerciali.

Quello che rende questo caso particolarmente interessante non è l’attacco in sé, ormai quasi routine, ma le implicazioni sulla supply chain. Marposs è un fornitore critico per decine di aziende automobilistiche e manifatturiere in tutto il mondo. Quando si ferma Marposs, si inceppa un ingranaggio che tocca indirettamente filiere produttive molto più ampie. Questo è precisamente il motivo per cui la direttiva NIS2 impone ora di valutare la sicurezza anche dei propri fornitori: un attacco a un anello debole della catena può bloccare l’intera struttura.

La Lombardia, epicentro involontario

I dati geografici del 2025 rivelano una concentrazione significativa: la Lombardia da sola concentra il 36% delle vittime ransomware nazionali, seguita da Emilia-Romagna con il 13%, Lazio e Veneto con il 10% ciascuna, Piemonte con l’8%. La distribuzione non è casuale ma riflette esattamente la mappa del tessuto produttivo italiano. Gli attaccanti non scelgono le vittime per ragioni estetiche: scelgono dove c’è valore da bloccare e possibilità di pagamento del riscatto.

Il 67% delle vittime italiane di ransomware nel 2025 era rappresentato da piccole imprese, una percentuale superiore di ben 10 punti rispetto alla media globale. Questo dovrebbe far riflettere chiunque gestisca una PMI e sia ancora convinto che “tanto a noi non interessa, siamo troppo piccoli”. Piccolo per un attaccante automatizzato significa semplicemente “più facile da colpire e meno resistenza da aspettarsi”, non “meno interessante”.

Cosa fare, concretamente

La risposta non è comprare il firewall più costoso sul mercato e dormire sonni tranquilli. La prima misura è una rete segmentata: i sistemi OT non dovrebbero mai comunicare direttamente con Internet o con la rete uffici. La seconda è la gestione rigorosa delle credenziali: nessun accesso remoto senza autenticazione a più fattori, nessuna password di default sui macchinari, nessun account condiviso tra più operatori. La terza è un programma strutturato di patch management: sapere quali versioni software girano su ogni macchina e avere un processo per aggiornarle non è lusso, è igiene informatica minima.

Il costo di un incidente ransomware per una PMI manifatturiera italiana oscilla tra i 200.000 e i 2 milioni di euro considerando downtime produttivo, ripristino dei sistemi, eventuali sanzioni GDPR per i dati esposti e il danno reputazionale. Il costo di prevenzione è una frazione di questa cifra. L’aritmetica è semplice, ma evidentemente ancora troppo pochi se ne convincono prima di trovarsi con i sistemi cifrati e una nota di riscatto sullo schermo.