Salta al contenuto
Guida

Ransomware, i primi 60 minuti: il playbook operativo per le PMI

Quando scatta un ransomware, i primi 60 minuti decidono i danni. Ecco il playbook minuto-per-minuto per le PMI — isolare, preservare, notificare — più un template di Incident Response Plan da scaricare.

SynSphere Italia 7 min di lettura
Playbook ransomware: cosa fare nei primi 60 minuti in una PMI

Quando un ransomware si attiva, i primi 60 minuti decidono se l’azienda riparte in due giorni o in due settimane. Il panico fa fare le mosse sbagliate: spegnere i server (distrugge prove), pagare subito, comunicare a casaccio. Ecco il playbook operativo che vorresti avere già stampato — più un template di Incident Response Plan da compilare prima che serva.

🛠️ Scarica il template Incident Response Plan (Word): ruoli, contatti, fasi e checklist da personalizzare.

ℹ️ Contenuto informativo; le tempistiche di notifica vanno verificate con il DPO/consulente. Aggiornato a giugno 2026.

Minuto 0-15: contieni, non distruggere

  • Isola i sistemi colpiti dalla rete (scollega il cavo / disabilita la Wi-Fi / metti in quarantena via Defender). Non spegnere le macchine: la RAM e i log sono prove preziose.
  • Stacca i backup e le copie off-line dalla rete per proteggerli dalla cifratura.
  • Attiva il team secondo l’IR plan: chi decide, chi tecnico, chi comunica.

Minuto 15-30: valuta la portata

  • Quali sistemi/dati sono cifrati? Da dove è entrato (email, RDP, VPN)?
  • Identifica il vettore per fermare la propagazione (disabilita account compromessi, blocca accessi remoti, forza il reset delle credenziali in Entra ID).
  • Non pagare d’impulso: il pagamento non garantisce il recupero ed espone a profili sanzionatori. È una decisione da prendere con esperti, non nel panico.

Minuto 30-60: preserva, notifica, prepara il recupero

  • Preserva le prove (immagini, log, nota di riscatto): servono per le indagini e per l’assicurazione.
  • Avvia gli obblighi di notifica:
    • Garante privacy entro 72 ore se c’è (anche solo potenziale) violazione di dati personali;
    • CSIRT Italia / ACN se sei soggetto NIS2 (early warning entro 24h);
    • assicurazione cyber secondo i termini di polizza, e — se previsto — denuncia alle autorità.
  • Pianifica il ripristino dai backup puliti, verificando che non contengano l’infezione.

Dopo l’emergenza: ripristino e lezioni apprese

  • Ripristina dai backup testati rispettando gli RPO/RTO definiti nel piano di disaster recovery.
  • Ricostruisci in ambiente pulito; cambia tutte le credenziali; applica le patch del vettore.
  • Post-incident review: cosa è successo, cosa ha funzionato, cosa cambiare. Aggiorna l’IR plan.

Prepararsi prima è tutto

Il playbook funziona solo se è stato scritto e provato prima. I tre pilastri: backup off-line/immutabili testati, un piano di incident response e una policy di sicurezza informatica condivisa. Per chi vuole rilevamento e risposta gestiti, c’è Microsoft Sentinel.

SynSphere predispone IR plan, backup e monitoraggio, e affianca le PMI durante l’emergenza, come parte dell’assistenza cybersecurity gestita. Contattaci prima che serva: dopo è troppo tardi.

Tag

Potrebbe interessarti anche

Articoli correlati per argomento e categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci