Vai al contenuto

State of Ransomware 2026: diminuiscono i pagamenti, ma aumentano i casi di cifratura dei dati

Analisi basata sulle risposte di 2.158 responsabili IT e cybersecurity di 17 Paesi le cui organizzazioni sono state colpite da un attacco ransomware nell'ultimo anno.

I dati raccolti quest'anno evidenziano alcuni cambiamenti sorprendenti rispetto alle precedenti edizioni del report State of Ransomware. Lo sfruttamento delle vulnerabilità non rappresenta più, dopo tre anni consecutivi, la principale causa iniziale degli attacchi. Le richieste di riscatto e gli importi effettivamente pagati sono diminuiti, ma il costo medio di ripristino continua ad aumentare. Inoltre, le organizzazioni di dimensioni più contenute (100-250 dipendenti) stanno perdendo ulteriore terreno rispetto alle aziende più grandi nell'indicatore più importante: la capacità di fermare un attacco prima che i dati vengano cifrati.

La settima edizione annuale del report Sophos State of Ransomware si basa su un'indagine indipendente dal fornitore, condotta su 2.158 responsabili IT e della sicurezza appartenenti ad aziende che hanno subito un attacco ransomware negli ultimi 12 mesi.

L'e-mail diventa la principale causa degli attacchi

Per la prima volta negli ultimi quattro anni, lo sfruttamento delle vulnerabilità non rappresenta più il principale vettore di accesso utilizzato dagli attaccanti.

La classifica di quest'anno evidenzia che:

  • le e-mail malevole (26%) e il phishing (24%) rappresentano complessivamente la causa del 50% di tutti gli incidenti;
  • le credenziali compromesse (23%) si confermano al terzo posto;
  • lo sfruttamento delle vulnerabilità (18%) registra un calo di 14 punti percentuali rispetto all'anno precedente;
  • gli attacchi brute force (6%) rimangono sostanzialmente invariati.

Il messaggio per chi si occupa di difesa informatica è chiaro: limitarsi all'applicazione delle patch non è più sufficiente. Protezione avanzata della posta elettronica, tecnologie DMARC, DKIM e SPF, insieme alla formazione degli utenti, devono essere considerate priorità negli investimenti per il 2026.

 

sophos-technical-root-cause-of-ransomware-attacks-2023–2026.png

Gli attacchi basati sull'identità sono oggi il principale motore del ransomware

Il 79% degli attacchi ransomware è iniziato attraverso una tecnica basata sull'identità, mentre il 67% delle organizzazioni colpite ha confermato che l'incidente ransomware coincideva con il più grave attacco all'identità subito.

Questo dato era già stato evidenziato nel report State of Identity Security 2026, pubblicato all'inizio dell'anno.

sophos-intersection-of-ransomware-and-identity-related-incidents.png

Anche il Sophos Active Adversary Report 2026, basato sull'analisi di incidenti reali gestiti dai team Sophos, conferma questa tendenza. Nel 67% dei 661 casi analizzati di Incident Response (IR) e Managed Detection and Response (MDR), la causa principale era riconducibile all'identità. Inoltre, nel 59% dei casi mancava l'autenticazione multifattore (MFA) proprio nei punti in cui sarebbe stata maggiormente necessaria.

L'MFA è presente, ma non ovunque

Il 97% delle organizzazioni in cui la causa principale dell'attacco era rappresentata da credenziali compromesse aveva implementato una qualche forma di autenticazione multifattore (MFA) al momento dell'attacco.

Il problema risiede nelle lacune della copertura. L'Active Adversary Report evidenzia infatti che, mentre gli account SaaS disponevano spesso della MFA, la stessa protezione mancava frequentemente su:

  • VPN;
  • console di amministrazione dei firewall;
  • applicazioni legacy.
sophos-mfa-methods-enabled-at-the-time-of-attack.png

Dove iniziano gli attacchi ransomware

Per la prima volta, il report analizza anche il punto dell'infrastruttura IT in cui ha avuto origine la compromissione iniziale.

Considerando gli attacchi avviati tramite vulnerabilità sfruttate, credenziali compromesse o attacchi brute force, le organizzazioni intervistate hanno indicato i seguenti punti di ingresso:

  • applicazioni e sistemi esposti: 38%
  • dispositivi degli utenti: 30%
  • firewall: 21%
  • VPN: 8%
  • dispositivi IoT: 3%
sophos-ransomware-attack-locations.png

La compromissione del firewall comporta un impatto economico particolarmente elevato, poiché occupa una posizione privilegiata all'interno dell'infrastruttura aziendale. Quando gli attaccanti riescono a sfruttarne una vulnerabilità, ottengono spesso un accesso esteso all'intera organizzazione e possono quindi avanzare richieste di riscatto significativamente più elevate.

Quando un attacco ransomware ha origine dallo sfruttamento di una vulnerabilità del firewall, nel 59% dei casi la richiesta di riscatto supera 1 milione di dollari, contro una media del 48% registrata considerando tutti gli attacchi.

La situazione migliora, ma il ransomware continua a essere devastante

Dal punto di vista economico, alcuni indicatori mostrano segnali positivi per le organizzazioni, ma il quadro complessivo rimane contrastante. La cifratura dei dati continua infatti a rappresentare un evento estremamente grave.

Le notizie positive

  • richiesta mediana di riscatto: 698.000 dollari, in calo del 65% rispetto a due anni fa;
  • pagamento medio del riscatto: 769.000 dollari, rispetto a 1 milione di dollari dell'anno scorso;
  • il 51% delle organizzazioni che hanno pagato è riuscito a negoziare una cifra inferiore rispetto alla richiesta iniziale;
  • solo il 32% delle aziende del settore retail ha pagato il riscatto, la percentuale più bassa tra tutti i comparti;
  • il ripristino tramite backup è salito al 66% dei casi di dati cifrati, con un incremento di 12 punti percentuali rispetto al 2025.

Le notizie negative

  • costo medio di ripristino: 1,7 milioni di dollari per incidente, in aumento dell'11% rispetto all'anno precedente;
  • il 56% degli attacchi è riuscito a cifrare i dati, contro il 50% dello scorso anno;
  • il 48% delle organizzazioni con dati cifrati ha pagato il riscatto, un valore sostanzialmente in linea con la media degli ultimi quattro anni (circa il 50%);
  • il 72% delle amministrazioni locali e statali ha pagato il riscatto, la percentuale più elevata tra tutti i settori;
  • il Regno Unito ha registrato la richiesta media di riscatto più elevata tra tutti i Paesi analizzati, pari a 2,5 milioni di dollari.

Il divario tra organizzazioni di dimensioni diverse appare particolarmente marcato: solo il 34% delle aziende con 100-250 dipendenti è riuscito a bloccare l'attacco prima della cifratura dei dati o dell'estorsione, contro il 46% delle organizzazioni con 3.001-5.000 dipendenti.

Le maggiori dimensioni aziendali si traducono quindi in una capacità difensiva più efficace, mentre le piccole imprese continuano a sopportare una quota sproporzionata dei danni causati dal ransomware.

Leggi il report

I dati del 2026 evidenziano un tema ricorrente: i risultati migliorano quando le difese relative a identità, posta elettronica, endpoint e rete operano come un unico sistema integrato anziché come soluzioni isolate.