Era un martedì mattina di ottobre quando Marco, responsabile IT di una media impresa manifatturiera del Veneto con 180 dipendenti, ha trovato tutti i PC bloccati da un messaggio: «Your files are encrypted. Pay 85.000$ in Bitcoin within 72 hours.» In pochi secondi, anni di dati di produzione, offerte commerciali e informazioni sui clienti erano diventati inaccessibili. Marco non aveva dormito da trentasei ore quando mi ha chiamato. La sua prima domanda non era «come decripto i file?», ma: «Devo dirlo ai clienti? Posso essere multato?» Quel momento mi ha insegnato più di qualsiasi manuale: la domanda giusta arriva sempre troppo tardi.
Anatomia di un attacco: cosa succede nelle prime 24 ore
Il ransomware è diventato il modello di business preferito della criminalità informatica organizzata. Non parliamo di ragazzini con un laptop: parliamo di organizzazioni strutturate, con listini prezzi scaglionati per fatturato aziendale e politiche di sconto per chi paga in fretta. L'attacco tipico segue fasi ben codificate che è utile conoscere per capire il rischio reale.
La prima è la compromissione iniziale: il punto di ingresso più comune è ancora la mail di phishing — un allegato PDF o un link a una pagina clone. In alternativa, gli attaccanti sfruttano credenziali RDP esposte su internet, acquistate su marketplace del dark web a cifre irrisorie. Nel caso dell'azienda veneta, è bastata la password «Azienda2022!» su un account di manutenzione mai aggiornato da anni.
La seconda fase è il movimento laterale: una volta dentro, gli attaccanti si muovono silenziosamente nella rete per settimane — talvolta mesi — mappando i sistemi, identificando i backup, elevando i propri privilegi. Questo periodo di permanenza invisibile dura in media 16 giorni secondo il report Mandiant 2024. Durante quel tempo copiano dati sensibili sui propri server: è la premessa per la doppia estorsione.
La terza fase è l'attivazione: solo quando hanno compromesso o isolato i backup lanciano il ransomware. In pochi minuti tutti i file vengono cifrati. La produzione si ferma, il magazzino non sa cosa spedire, l'amministrazione non accede alle fatture. Sei davanti a uno schermo nero con una richiesta in Bitcoin e 72 ore per decidere.
La quarta fase, spesso sottovalutata, è il recupero. Ripristinare i sistemi da zero, anche con backup funzionanti, richiede settimane. Verificare che il sistema sia davvero pulito richiede competenze forensi che pochissime PMI hanno internamente. E in tutto questo tempo la produzione è ferma, i clienti aspettano, le penali maturano.
Senza ISO 27001: il caos organizzativo e i costi esponenziali
Quando un'azienda senza un sistema di gestione della sicurezza strutturato subisce un attacco, il problema non è solo tecnico. È organizzativo. Chi decide cosa fare? Chi comunica con i clienti? Chi notifica il Garante e in che tempi? Chi approva il pagamento del riscatto, se si arriva a quella decisione? In assenza di procedure predefinite, queste decisioni si prendono sotto pressione, con informazioni incomplete, da persone non necessariamente competenti su quegli aspetti specifici.
Il primo costo visibile è il fermo produzione. Per un'azienda manifatturiera da 10 milioni di fatturato annuo, un'interruzione di 15 giorni significa circa 400.000 euro di ricavi non generati, più i costi fissi che continuano a correre e le eventuali penali contrattuali per commesse in ritardo.
Il secondo costo è il riscatto, se si decide di pagarlo. L'84% delle aziende che pagano non recupera tutti i dati (Sophos). Il riscatto medio richiesto alle PMI italiane nel 2024 è tra 50.000 e 250.000 euro in criptovaluta. E pagare non elimina il rischio che i dati esfiltrati vengano pubblicati.
Il terzo costo è il danno reputazionale. Se i dati dei tuoi clienti vengono pubblicati su un sito di leak — pratica ormai comune — devi notificarli. Quella notizia spesso raggiunge i giornali di settore e la rete di prospect. La fiducia si costruisce in anni e si perde in ore.
Infine ci sono le sanzioni del Garante. Se l'attacco ha comportato una violazione di dati personali — quasi inevitabile — scattano gli obblighi GDPR. Se le misure di sicurezza adottate erano inadeguate, le sanzioni possono raggiungere il 4% del fatturato annuo globale.
Con ISO 27001: la differenza tra gestione e sopravvivenza
Torniamo all'azienda veneta di Marco. Con un sistema conforme alla ISO/IEC 27001:2022, cosa sarebbe andato diversamente?
La valutazione del rischio formale avrebbe identificato l'accesso RDP esposto come rischio critico. Il controllo 8.20 dell'Annex A avrebbe richiesto VPN con autenticazione multifattore, segmentazione di rete, monitoring degli accessi. L'account di manutenzione con password debole non sarebbe sopravvissuto a un audit interno.
Il controllo 8.8 sulla gestione delle vulnerabilità avrebbe richiesto un processo sistematico di patching e vulnerability scanning. Il vettore di attacco sarebbe stato probabilmente chiuso mesi prima dell'incidente.
Il piano di continuità operativa (controlli 5.29 e 5.30) avrebbe garantito backup cifrati, archiviati offline, testati regolarmente. Il ripristino sarebbe avvenuto in 24-48 ore invece di tre settimane di fermo produzione.
La procedura di incident response (controllo 5.26) avrebbe definito esattamente cosa fare, chi contattare, come comunicare con il Garante e con i clienti. Marco non avrebbe dovuto inventare tutto sotto pressione e senza dormire.
Tutta la documentazione esistente avrebbe protetto l'azienda di fronte al Garante, dimostrando l'adozione di misure adeguate anche in presenza della violazione. La differenza tra una sanzione di centinaia di migliaia di euro e un richiamo formale può stare proprio nella qualità della documentazione presentata al momento dell'istruttoria.
I numeri del danno: costi medi di un data breach in Italia
I dati del Cost of a Data Breach Report di IBM Security 2024 mettono i numeri su quello che troppo spesso resta nell'astratto.
Il costo medio globale di una violazione dei dati ha raggiunto i 4,88 milioni di dollari, il valore più alto registrato. In Italia il dato si attesta nell'ordine dei 3,5-4 milioni di euro per le aziende di medie-grandi dimensioni.
- Le aziende con un piano di incident response testato hanno ridotto il costo medio del 54% rispetto a quelle prive di piano
- Il phishing rimane il vettore più comune (16% dei casi), seguito dalle credenziali rubate (15%) e dalle vulnerabilità note (14%)
- Il settore manifatturiero è il terzo più colpito a livello globale, con un costo medio di 5,56 milioni di dollari per violazione
- Le aziende con certificazioni di sicurezza riconosciute mostrano cicli di rilevamento e contenimento sistematicamente più brevi
ISO 27001 come polizza assicurativa: il calcolo che convince il CFO
Il linguaggio che funziona con i CFO è quello dei numeri. Costo annualizzato della certificazione ISO 27001 per una PMI: 15.000-30.000 euro per il percorso iniziale (ammortizzato su 3 anni: 5.000-10.000 euro/anno) più 5.000-10.000 euro annui di mantenimento. Totale: 10.000-20.000 euro annui.
Costo atteso di un breach senza controlli adeguati: anche con una stima conservativa di 500.000 euro di danno e una probabilità del 5% in un anno, il costo atteso annuo è 25.000 euro — già superiore al costo della certificazione, senza considerare le sanzioni del Garante, i danni reputazionali e le penali contrattuali.
A questo si aggiungono i benefici diretti: riduzione dei premi assicurativi cyber del 20-30% per le aziende certificate, accesso a clienti e gare che richiedono la certificazione come requisito, e riduzione del rischio di sanzioni NIS2 per i soggetti che rientrano nel perimetro della direttiva (D.Lgs. 138/2024).
Le 5 azioni immediate se non sei ancora certificato
- Attiva l'autenticazione multifattore su tutti gli accessi remoti. VPN, webmail aziendale, portali cloud: qualsiasi accesso dall'esterno deve richiedere un secondo fattore. Questa singola misura elimina la maggior parte degli attacchi basati su credenziali rubate. Costo quasi zero con Microsoft Authenticator o strumenti equivalenti.
- Testa i tuoi backup oggi, non domani. Non basta averli: devi sapere che funzionano davvero. Esegui un ripristino di prova su un ambiente isolato. Assicurati di avere almeno una copia offline, fisicamente scollegata dalla rete — i ransomware moderni cercano e cifrano anche i backup di rete.
- Fai un inventario degli accessi privilegiati. Quante persone hanno accesso da amministratore ai tuoi sistemi critici? Quanti account di servizio con password invariate da anni esistono nella tua rete? Il principio del minimo privilegio — ogni utente accede solo a ciò che gli serve — è uno dei controlli più efficaci della ISO 27001.
- Definisci una procedura di emergenza minima. Due pagine che rispondano a: chi chiamo se scopro un attacco? Cosa faccio nelle prime due ore? Chi notifica il Garante e quando? Come comunico con i clienti? Avere questo documento — anche grezzo — fa una differenza enorme rispetto all'assenza totale di qualsiasi procedura.
- Avvia una gap analysis ISO 27001. Prima di decidere se certificarti, devi sapere dove sei. Una gap analysis ti dà una fotografia realistica del tuo livello di sicurezza attuale e delle priorità di intervento. È il punto di partenza di qualsiasi percorso di miglioramento strutturato.
Marco ha ripristinato i sistemi in tre settimane, pagato una consulenza forense di 45.000 euro, ricevuto un richiamo formale dal Garante e perso due clienti importanti. Oggi sta implementando la ISO 27001. Mi ha detto: «Sapevo che dovevo farlo. Pensavo di avere più tempo.» Non aspettare di avere meno tempo di lui.
FAQ
La ISO 27001 è obbligatoria per legge in Italia?
Non è obbligatoria in senso assoluto, ma la NIS2 (D.Lgs. 138/2024) impone obblighi di sicurezza molto simili ai suoi requisiti per i soggetti essenziali e importanti. E il GDPR richiede «misure adeguate» che il Garante valuta anche alla luce degli standard ISO.
Quanto costa ottenere la certificazione ISO 27001?
Per una PMI, considera tra 15.000 e 35.000 euro per il percorso iniziale, più 5.000-10.000 euro annui di mantenimento. Il costo varia in base alla complessità dell'infrastruttura IT e al livello di partenza della sicurezza.
Quanto tempo ci vuole per la certificazione ISO 27001?
Per una PMI di medie dimensioni, 10-14 mesi è un range realistico. La valutazione del rischio informativo è un'attività complessa e l'implementazione dei controlli tecnici ha i propri tempi di approvvigionamento.
La ISO 27001 protegge completamente dagli attacchi informatici?
No. Nessun sistema garantisce immunità totale. Ma riduce significativamente la probabilità di incidente e, quando l'incidente accade, riduce il danno e accelera il recupero. Questo si misura in soldi, non in concetti astratti.