Il ransomware non è un rischio astratto né “roba da multinazionali”: è la minaccia che sta colpendo adesso le PMI italiane. Nelle sole settimane centrali di giugno 2026, secondo le rilevazioni sui portali di rivendicazione delle gang, oltre venti organizzazioni italiane — manifattura, sanità, energia, agroalimentare, servizi — sono state pubblicate come vittime. Il profilo ricorrente è chiaro: l’azienda eccellente ma poco protetta, con dati che valgono un riscatto e senza un presidio di sicurezza continuo.
Questo articolo fotografa cosa sta succedendo e — soprattutto — come una PMI si difende con gli strumenti Microsoft che quasi sicuramente ha già.
La fotografia di metà 2026
Sul fronte degli attori, restano attive diverse gang note (tra quelle segnalate: SafePay, DragonForce, Qilin, Akira e altre): il modello ormai dominante è la doppia estorsione — prima esfiltrano i dati, poi cifrano i sistemi, e minacciano la pubblicazione per forzare il pagamento. Il Rapporto Clusit 2026 conferma il quadro: crescita a doppia cifra degli attacchi gravi in Italia rispetto all’anno precedente e ransomware in testa alle tecniche, con il manifatturiero tra i bersagli principali.
Perché proprio le PMI del Made in Italy? Perché sono il bersaglio a più alto rapporto valore/sforzo: know-how e fatturato interessanti, ma spesso IT snello, poche risorse dedicate alla sicurezza e nessun SOC che vigila 24 ore su 24.
Come si difende una PMI con Microsoft (senza comprare l’ennesimo prodotto)
La buona notizia è che le difese che fermano la maggior parte degli attacchi sono già incluse in Microsoft 365 Business Premium o nei piani E3/E5. Il problema, quasi sempre, non è la licenza ma la configurazione.
- Chiudi la porta d’ingresso: MFA ovunque + accesso condizionale. Gran parte degli attacchi parte da credenziali rubate via phishing o da accessi remoti esposti. L’MFA di Microsoft Entra ID applicato con accesso condizionale (blocco dei Paesi non necessari, dei protocolli legacy, dei dispositivi non conformi) blocca la maggioranza di questi ingressi. È la singola mossa con più impatto.
- Rileva e blocca sull’endpoint: Defender for Business + regole ASR. Microsoft Defender for Business porta antivirus di nuova generazione ed EDR anche in una PMI; le regole di riduzione della superficie d’attacco (ASR) fermano i comportamenti tipici del ransomware (macro, script, LOLBins). Da attivare, non solo da possedere.
- Rendi inutile il riscatto: backup testati e realmente recuperabili. Se puoi ripristinare, il ricatto perde forza. Attenzione però: Microsoft 365 non fa backup nativo (vale la responsabilità condivisa) — ci sono retention e hold, non un backup completo. Verifica cosa recuperi davvero e valuta un backup dedicato: ne abbiamo scritto in strategia backup e disaster recovery post-ransomware.
- Riduci le vulnerabilità sfruttabili. Patch tempestive e gestione delle vulnerabilità (Defender Vulnerability Management, Windows Update/Autopatch via Intune) tolgono agli attaccanti gli appigli più comuni.
Un modo pratico per misurare dove sei su tutto questo — copertura MFA, Secure Score, avvisi aperti, recuperabilità — è eseguire i nostri toolkit gratuiti postura di sicurezza Defender e backup e continuità M365: ti danno la fotografia in CSV in pochi minuti.
Se il peggio accade: i primi 60 minuti contano
Prepararsi a rispondere è parte della difesa. Chi ha una procedura pronta limita i danni; chi improvvisa li moltiplica. Abbiamo condensato le azioni giuste (isolare, non spegnere, preservare le prove, chi chiamare) nel playbook ransomware — i primi 60 minuti.
Difesa, conformità e assicurazione sono lo stesso lavoro
C’è un allineamento che conviene sfruttare. Le difese anti-ransomware (MFA, EDR, backup, gestione incidenti) sono esattamente le misure che la NIS2 chiede di dimostrare entro il 31 ottobre 2026 e le precondizioni che gli assicuratori cyber pretendono in fase assuntiva (senza MFA ed EDR la polizza salta). Un solo investimento, tre risultati.
Se vuoi qualcuno che vigili al posto tuo
Il ransomware colpisce di notte e nei weekend, quando in una PMI non c’è nessuno a guardare gli avvisi. È il senso della nostra cybersecurity gestita: configurazione delle difese sullo stack Microsoft che già hai, monitoraggio continuo e risposta. Vuoi sapere quanto sei esposto oggi? Chiedici un assessment.