opening-skew

Torna indietro
masking

Ransomware: il riscatto viene pagato da oltre metà (58%) delle aziende colpite in ambito retail

Le richieste di riscatto raddoppiano, i versamenti aumentano e quasi metà di chi opera nel retail viene colpita attraverso falle sconosciute nella sicurezza

Milano, IT – 10 novembre 2025 – Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, rende conto quanto emerso dalla quinta edizione del report Sophos State of Ransomware in Retail, un’indagine indipendente dai vendor condotta annualmente intervistando responsabili IT e della cybersicurezza di 16 Paesi.

 

I risultati di quest’anno rivelano come la causa primaria di quasi la metà (46%) degli incidenti ransomware registrati nel comparto retail sia riconducibile a falle sconosciute nella sicurezza delle aziende, a sottolineare le costanti difficoltà per riuscire a ottenere visibilità sulla superficie di attacco tipica del retail.

Il 58% delle vittime di attacchi ransomware ha versato un riscatto per poter recuperare i propri dati cifrati dagli autori dell’attacco: si tratta della seconda percentuale più alta degli ultimi cinque anni.

Principali risultati del report

  • Il 46% degli attacchi è iniziato grazie a una falla di sicurezza sconosciuta (principale fattore operativo)
  • Il 30% degli attacchi ha potuto sfruttare vulnerabilità note (principale causa tecnica primaria per il terzo anno consecutivo)
  • Il 58% delle vittime ha versato un riscatto per riottenere i propri dati. La cifratura dei dati è avvenuta nel 48% degli attacchi (valore più basso degli ultimi cinque anni)
  • La mediana dei riscatti richiesti è raddoppiata rispetto al 2024 arrivando a 2 milioni di dollari; il versamento medio è aumentato del 5% toccando il milione di dollari

Osservazioni di Sophos nel settore retail

Durante lo scorso anno, Sophos X-Ops ha identificato circa 90 gruppi criminali impegnati a colpire uno o più retailer con ransomware o estorsioni su siti di leak. I gruppi più attivi tra quelli rilevati nelle attività MDR e di incident response sono stati Akira, Cl0p, Qilin, PLAY e Lynx. Dopo il ransomware, la compromissione di account è stata la seconda tipologia di incidente più frequentemente registrata nel comparto retail. Come molti altri settori, il retail è un costante obiettivo di gruppi specializzati in attacchi BEC (Business Email Compromise) che tentano di dirottare i pagamenti delle aziende a proprio favore: si tratta del terzo tipo di incidente più comune.

 

“In tutto il mondo i retailer si confrontano con uno scenario di minacce più complesso e avversari costantemente alla ricerca di vulnerabilità da sfruttare, specialmente nell’accesso remoto e negli apparati di rete collegati a Internet. Ora, con le richieste di riscatto che toccano nuovi record, la necessità di implementare strategie di sicurezza complete è più evidente che mai. In loro mancanza, i retailer rischiano infatti interruzioni operative e danni reputazionali a lungo termine che possono richiedere anni prima di essere riassorbiti. Per fortuna molte aziende stanno iniziando a rendersi conto di questa situazione, a cui rispondono investendo in cyberdifese capaci di bloccare gli attacchi prima che possano diffondersi e ripristinare la normalità operativa più velocemente”, ha dichiarato Chester Wisniewski, director, global field CISO di Sophos.

 

La disponibilità di competenze interne limitate è stato il secondo fattore operativo più comune (45%) ad aver favorito il successo degli attacchi, seguito da falle nella copertura di sicurezza (44%). Senza le giuste competenze e l’opportuna copertura, i retailer non riescono a rilevare e neutralizzare gli attacchi.

 

Nonostante lo scenario complesso, vi sono anche segnali incoraggianti. La percentuale di attacchi fermati prima della fase di cifratura dei dati è stata la più alta dell’ultimo quinquennio, a indicare come gli operatori del retail stiano migliorando le loro capacità di rilevare e neutralizzare rapidamente gli attacchi. Le percentuali di cifratura dei dati sono al minimo del quinquennio: solo il 48% degli attacchi ransomware ha successo.

 

Se il riscatto medio versato dagli operatori del retail è aumentato del 5% (1 milione di dollari nel 2025 contro i 950.000 dollari del 2024), esso è tuttavia metà della cifra media richiesta in origine: questo suggerisce che i retailer stiano aumentando la resistenza a pretese eccessive e si stiano rivolgendo a esperti specializzati per un aiuto nel gestire le conseguenze degli attacchi ransomware.

 

“In ultima analisi, i programmi di sicurezza di successo si focalizzano sulla gestione del rischio. Per valutare e gestire i rischi, i retailer devono disporre di visibilità sulle minacce che affrontano, sui loro asset e sulla loro postura di sicurezza. Le organizzazioni che uniscono una solida capacità di gestione e patching degli asset con servizi Managed Detection and Response e servizi di rischio gestito bloccano più minacce e ritornano alla normalità in tempi più rapidi grazie all’approccio proattivo delle loro cyberdifese”.

Secondo il report State of Ransomware in Retail 2025:

 

  • I casi di cifratura dei dati stanno diminuendo, ma i cybercriminali si stanno adattando: sebbene le percentuali dei casi di cifratura dei dati siano al livello più basso degli ultimi cinque anni, i malintenzionati si stanno adattando considerando come la proporzione di retailer colpiti solamente da estorsioni sia triplicata passando dal 2% del 2023 al 6% del 2025.

 

  • Le percentuali di backup stanno scendendo: ha ripristinato i propri dati usando i backup il 62% dei retailer colpiti da attacchi, la percentuale più bassa da quattro anni a questa parte.

 

  • I retailer resistono alle richieste di riscatto: analizzando le richieste di riscatto e i pagamenti effettivi, solo il 29% dei retailer ha versato la cifra richiesta inizialmente; il 59% ha pagato di meno, mentre l’11% ha pagato di più.

 

  • I costi del recovery si stanno riducendo: fortunatamente, nello scorso anno il costo medio sostenuto per ritornare alla normalità operativa a seguito di un attacco ransomware, escluso ogni riscatto eventualmente pagato, è sceso del 40% arrivando a 1,65 milioni di dollari, la cifra più bassa dell’ultimo triennio.

 

  • Gli attacchi ransomware hanno avuto un impatto diretto sui team coinvolti: nel settore del retail, quasi metà (47%) dei team IT/cybersicurezza ha sperimentato un aumento delle pressioni in conseguenza dell’avvenuta cifratura dei dati a seguito di attacco ransomware, mentre in un quarto dei casi (26%) l’incidente ha portato al rimpiazzo della relativa leadership.

 

Rafforzamento delle difese a lungo termine

Sulla base della propria esperienza nella protezione di realtà retail di tutto il mondo, Sophos consiglia le seguenti best practice per aiutare le aziende a tutelarsi dal ransomware e da altre cyberminacce:

  • Eliminare le cause primarie: intraprendere azioni proattive per affrontare i punti deboli tecnici e operativi comuni — come la presenza di vulnerabilità sfruttabili — di cui i malintenzionati approfittano frequentemente. Soluzioni come Sophos Managed Risk possono aiutare le aziende a valutare il proprio grado di esposizione al rischio e ridurlo in tutti i diversi ambienti.
  • Difendere tutti gli endpoint: accertarsi che tutti gli endpoint, server compresi, risultino protetti con difese anti-ransomware dedicate per evitare che gli attacchi possano prendere piede nell’ambiente aziendale.
  • Pianificare e preparare: definire e collaudare regolarmente un piano di incident response completo. Mantenere backup affidabili e praticare periodicamente i ripristini per minimizzare le interruzioni operative in caso di attacco.
  • Monitorare costantemente: la visibilità continua è essenziale. Le organizzazioni prive di risorse interne possono rafforzare la loro resilienza incaricando un Managed Detection and Response (MDR) di fiducia affinché effettui un monitoraggio 24/7 delle minacce e intervenga in modo appropriato in caso di necessità.

 

Metodologia

I dati utilizzati per il report State of Ransomware in Retail 2025 sono stati raccolti attraverso un’indagine indipendente dai vendor che ha coinvolto 361 responsabili IT e della cybersicurezza di aziende del settore retail da 100-5.000 dipendenti in 16 Paesi tra gennaio e marzo 2025. Tutti gli intervistati avevano subìto attacchi ransomware nei 12 mesi precedenti. Sophos pubblicherà ulteriori dati verticali nel corso dell’anno.

È possibile consultare il report State of Ransomware in Retail 2025 completo su Sophos.com.

Per scoprire come le soluzioni MDR possono neutralizzare attacchi come quelli ransomware in real-time è possibile iscriversi al webinar Behind the Shield: Real-World Stories of Thwarted Ransomware Attacks su Sophos.com.

Per approfondire

 

I dati utilizzati per il report State of Ransomware in Retail 2025 sono stati raccolti attraverso un’indagine indipendente dai vendor che ha coinvolto 361 operatori del retail. Sono state interpellate realtà di 16 Paesi con un numero di dipendenti compreso tra 100 e  5.000. L’indagine è stata condotta tra gennaio e marzo 2025 e agli intervistati è stato chiesto di rispondere a domande relative alle esperienze avute con gli attacchi ransomware nel corso dei 12 mesi precedenti.

Condividilo su:

closing-skew
Skewed-grey-square

SEI UN'AZIENDA?

SEI UN CANDIDATO?

SEI UN GIORNALISTA O UN BLOGGER?

Vuoi migliorare gli effetti della tua comunicazione e gli impatti sul tuo business?

Non aspettare. Contattaci ora.

Ho preso visione dell'Informativa privacy (riportata nel link in calce) fornita ai sensi dell'art. 13 del Regolamento (UE) n. 2016/679 relativa al trattamento dei miei dati personali da parte di Sound Public Relations Srl e, consapevolmente:


al trattamento dei miei dati personali per le finalità indicate.

Informativa Privacy

Sei intraprendente, proattivo, orientato ai risultati e cerchi un contesto in cui crescere e sviluppare i tuoi talenti?

Unisciti al nostro team. Consulta le posizioni aperte e inviaci il tuo CV.

Carica il tuo Curriculum Vitae (Max 1MB)


Ho preso visione dell'Informativa privacy (riportata nel link in calce) fornita ai sensi dell'art. 13 del Regolamento (UE) n. 2016/679 relativa al trattamento dei miei dati personali da parte di Sound Public Relations Srl e, consapevolmente:


al trattamento dei miei dati personali per le finalità indicate.

Informativa Privacy

Vuoi saperne di più su Sound PR e/o sui nostri clienti?

Non aspettare. Contattaci ora.

Ho preso visione dell'Informativa privacy (riportata nel link in calce) fornita ai sensi dell'art. 13 del Regolamento (UE) n. 2016/679 relativa al trattamento dei miei dati personali da parte di Sound Public Relations Srl e, consapevolmente:


al trattamento dei miei dati personali per le finalità indicate.

Informativa Privacy