Cos'è un attacco informatico: le tipologie principali
Il termine attacco informatico copre un'ampia gamma di tecniche offensive. Per le PMI italiane, le tipologie più frequenti nel 2025-2026 secondo il Rapporto CLUSIT e ACN sono:
- Ransomware: cifratura dei dati con richiesta di riscatto. È il più devastante per impatto economico. Colpisce preferibilmente di notte e nei weekend.
- Phishing e Business Email Compromise (BEC): email fraudolente che rubano credenziali o inducono pagamenti verso conti controllati dagli attaccanti. Le PMI italiane subiscono perdite medie di 50.000-200.000€ per BEC.
- Data breach: accesso non autorizzato a dati sensibili (clienti, dipendenti, segreti commerciali) senza necessariamente cifrare i sistemi. Spesso scoperto settimane dopo l'accesso iniziale.
- Attacco DDoS: saturazione della connettività o dei server per rendere indisponibili i servizi. Colpisce soprattutto e-commerce e aziende con servizi online critici.
- Compromissione account: furto di credenziali (phishing, credential stuffing, brute force) che permette accesso a email, VPN, cloud. Spesso punto di partenza per attacchi più gravi.
Il tempo medio di permanenza di un attaccante nella rete di una PMI prima della scoperta è di 207 giorni (fonte: IBM Cost of a Data Breach 2024). Questo significa che nella maggior parte dei casi, quando scopri l'attacco, l'attaccante era già presente da mesi.
I 7 passi nelle prime 72 ore
Questa guida è strutturata come un piano d'azione sequenziale. Salva questa pagina o stampala: in caso di attacco, avere una procedura scritta è fondamentale per evitare errori sotto pressione.
Isola i sistemi compromessi Ora 0
Disconnetti immediatamente i sistemi infetti dalla rete aziendale: stacca i cavi Ethernet, disabilita il Wi-Fi, rimuovi l'accesso VPN se l'attaccante potrebbe usarlo. Non spegnere i server colpiti: la memoria RAM contiene prove forensi volatili (chiavi di cifratura, credenziali in chiaro, log dei processi) che si perderebbero con lo spegnimento. Isola anche i NAS e i backup connessi alla rete — potrebbero non essere ancora cifrati.
Attiva il team di risposta Ora 0-1
Contatta immediatamente il tuo MDR provider o team di incident response. Se non hai un contratto attivo, contatta ACN (Agenzia per la Cybersicurezza Nazionale) che ha un CSIRT nazionale che può fornire supporto tecnico. Documenta l'ora esatta della scoperta dell'incidente — è fondamentale per le notifiche obbligatorie successive.
Preserva le prove forensi Ora 0-2
Non formattare, non riavviare, non modificare i sistemi colpiti. Salva una copia dei log di sistema (Windows Event Log, syslog, log firewall) in un'area sicura e isolata. Se possibile, esegui un'immagine forense dei dischi dei sistemi colpiti prima di qualsiasi operazione di remediation. Queste prove sono necessarie per l'analisi della causa radice e potrebbero servire per eventuali procedimenti legali.
Verifica l'integrità dei backup Ora 1-3
Controlla immediatamente i backup: sono intatti? Sono su storage disconnesso dalla rete (offline/air-gap) o su cloud con object lock? I ransomware moderni cercano attivamente i backup nelle prime ore di infezione per cifrarli. Un backup su NAS connesso alla rete aziendale è probabilmente già compromesso. Identifica l'ultimo backup verificato buono e il suo timestamp — quello sarà il punto di ripristino.
Notifica al Garante Privacy — se coinvolti dati personali Entro 72 ore
Se l'attacco ha coinvolto dati personali di persone fisiche (clienti, dipendenti, fornitori), l'art. 33 GDPR impone la notifica al Garante della Privacy entro 72 ore dalla scoperta. La notifica deve includere: natura della violazione, categorie di dati coinvolti, numero approssimativo di interessati, misure adottate. Se non hai tutte le informazioni entro 72 ore, fai una notifica parziale e integrala successivamente.
Notifica ACN — se soggetto NIS2 Entro 24 ore
Se la tua organizzazione è un'entità NIS2 (essenziale o importante), il D.Lgs. 138/2024 impone un early warning ad ACN entro 24 ore dalla scoperta dell'incidente. Segue una notifica completa entro 72 ore e una relazione finale entro 1 mese. Il portale di notifica è su acn.gov.it. Il mancato rispetto delle tempistiche comporta sanzioni amministrative.
Ripristino graduale e comunicazione controllata Ore 24-72
Avvia il ripristino dai backup verificati partendo dai sistemi critici per il business (ERP, email, VoIP). Prima di riconnettere un sistema ripristinato alla rete, verifica che non contenga ancora malware con EDR aggiornato. Prepara una comunicazione interna per i dipendenti e, se necessario, una per clienti e fornitori — evita comunicazioni premature o incomplete che possano generare panico o informazioni errate.
Dopo le 72 ore: cosa fare per non essere colpiti di nuovo
Una volta contenuto l'incidente e ripristinata l'operatività, l'errore più comune che vediamo nelle PMI italiane è tornare alla normalità senza affrontare le cause radici. L'attaccante conosce già la tua infrastruttura: se non cambi nulla, tornerà.
Le azioni prioritarie nelle prime settimane post-incidente:
- Root cause analysis: come è entrato l'attaccante? Qual era il vettore iniziale? Sono rimaste backdoor attive? Questo richiede un'analisi forense approfondita.
- Cambio credenziali: resetta tutte le password aziendali, in particolare quelle di account privilegiati (admin, VPN, email). Abilita MFA ovunque.
- Patch totale: applica tutte le patch critiche su tutti i sistemi. L'attaccante probabilmente ha sfruttato una vulnerabilità nota.
- Penetration test post-incidente: verifica che non ci siano altre vulnerabilità sfruttabili prima di dichiarare la situazione risolta.
- Revisione del piano di risposta: aggiorna le procedure di incident response con le lezioni apprese da questo attacco.
Domande frequenti
Devo denunciare un attacco informatico alla polizia?
Non è sempre obbligatorio ma è fortemente consigliato. La denuncia va presentata alla Polizia Postale (commissariatodips.it) o ai Carabinieri. Per le entità NIS2 la notifica ad ACN è obbligatoria. Se l'attacco ha coinvolto dati personali, la notifica al Garante Privacy entro 72 ore è un obbligo GDPR.
Quanto tempo ci vuole per ripristinare l'operatività?
Il downtime medio dopo un ransomware è di 22 giorni. Con backup verificati offline e un piano di incident response testato, i sistemi critici possono tornare operativi in 2-5 giorni. Senza backup o con backup compromessi, il ripristino può richiedere settimane o essere impossibile.
L'assicurazione cyber copre i danni di un attacco informatico?
Dipende dalla polizza. Le cyber insurance coprono tipicamente: costi di incident response, perdite da interruzione dell'attività, notifiche GDPR, riscatto ransomware (in accordo con la polizza). Tuttavia le polizze impongono requisiti minimi di sicurezza (MFA, backup, EDR) e molte escludono la copertura se questi controlli non erano attivi. Leggi le condizioni prima di un incidente, non dopo.