Emilia-Romagna nel mirino degli hacker: perché le PMI manifatturiere sono diventate il bersaglio perfetto
Il 13% degli attacchi ransomware italiani colpisce la nostra regione. Cosa succede davvero il giorno dopo, quali errori distruggono le prove e quando serve una perizia informatica.
In sintesi
L'Emilia-Romagna è la seconda regione italiana per attacchi ransomware nel 2025, con il 13% delle vittime nazionali (fonte: Y-Report 2026, Yarix). Le PMI manifatturiere sono il bersaglio principale a causa di macchinari legacy connessi, supply chain con accesso VPN e credenziali compromesse. Dopo un attacco, le prime 12-24 ore sono decisive: errori come spegnere i server o formattare i dischi distruggono le prove digitali in modo irreversibile. Una perizia informatica è necessaria per la notifica al Garante Privacy (obbligatoria entro 72 ore), per liquidare la polizza cyber e per sostenere eventuali azioni legali.
Se gestite un'azienda in Emilia-Romagna, questa notizia vi riguarda direttamente. Nel 2025 la nostra regione è risultata la seconda più colpita d'Italia dagli attacchi ransomware, con il 13% delle vittime nazionali concentrate qui, dietro solo alla Lombardia. Non si tratta di statistiche astratte: stiamo parlando di stabilimenti bloccati, ordini persi, sanzioni del Garante e cause legali che hanno coinvolto imprenditori a pochi chilometri da voi.
In questo articolo non troverete teoria sulla cybersecurity. Troverete cosa succede concretamente il giorno dopo un attacco, quali errori comuni distruggono le prove digitali e quando una perizia informatica può fare la differenza tra recuperare o perdere tutto.
I numeri reali del 2025: l'Italia sesta al mondo, l'Emilia-Romagna seconda in Italia
I dati parlano chiaro. Secondo il Threat Report 2025-2026 di AdVens, l'Italia ha subito 162 attacchi ransomware documentati nel 2025, collocandosi al sesto posto mondiale e al terzo in Europa, dopo Germania e Regno Unito. [1]
Ma il dato che ci tocca più da vicino è quello del Y-Report 2026 di Yarix: a livello nazionale, il 13% degli attacchi ransomware ha colpito aziende in Emilia-Romagna, seconda solo alla Lombardia (36%). [2]
Il settore più colpito in Italia? Il manifatturiero, con 27 aziende finite nel mirino nel solo 2025. Subito dopo il comparto tecnologico (16 attacchi) e la sanità (7 casi). Non è un caso: il manifatturiero è la spina dorsale dell'Emilia-Romagna.
| Regione | % attacchi ransomware Italia | Profilo rischio |
|---|---|---|
| Lombardia | 36% | Molto alto |
| Emilia-Romagna | 13% | Molto alto |
| Lazio | 10% | Alto |
| Veneto | 10% | Alto |
| Piemonte | 8% | Alto |
| Altre regioni | 23% | Medio |
Fonte: Y-Report 2026, Yarix / Var Group [2]
Perché gli hacker colpiscono le aziende emiliane
Non è sfortuna. È una scelta strategica degli attaccanti. L'Emilia-Romagna presenta una combinazione di fattori che la rende un obiettivo ideale:
1. Industria 4.0 senza sicurezza adeguata
Moltissime PMI emiliane hanno investito in automazione, macchinari connessi e sistemi SCADA negli ultimi anni. Ma la corsa all'Industria 4.0 ha spesso preceduto gli investimenti in sicurezza informatica. Il risultato: macchinari legacy connessi a reti aziendali con sistemi operativi obsoleti, impossibili da aggiornare senza fermare la produzione.
2. Supply chain come vettore d'attacco
Il tessuto produttivo emiliano è fortemente interconnesso: automotive, ceramica, packaging, food. Ogni fornitore che accede alla vostra rete aziendale tramite VPN o accesso remoto è un potenziale vettore. Gli attaccanti lo sanno, e spesso entrano dall'anello più debole della catena.
3. Credenziali rubate e phishing evoluto
Secondo il Y-Report 2026, il principale vettore di accesso iniziale rimane l'abuso di credenziali valide, ottenute tramite campagne phishing sempre più sofisticate. Un dipendente che clicca su una email contraffatta apre la porta a un'intera rete aziendale.
⚠ Dato chiave
Oltre un terzo degli attacchi ai sistemi italiani nel 2025 è stato condotto da tre soli gruppi: Sarcoma, Qilin e Akira. Operano come organizzazioni criminali strutturate, con affiliati, infrastrutture condivise e supporto centralizzato. Non sono hacker solitari.
Il problema non è solo il blocco dei PC
Quando un'azienda subisce un ransomware, il danno immediato visibile è il blocco dei sistemi. Ma è solo la punta dell'iceberg. Le conseguenze reali sono molto più ampie e si sviluppano su più livelli:
| Area | Conseguenza concreta | Chi è coinvolto |
|---|---|---|
| Produzione | Fermo totale o parziale degli impianti. Ordini non evasi. Penali contrattuali. | Imprenditore, clienti, assicurazione |
| GDPR | Obbligo di notifica al Garante entro 72h se sono stati compromessi dati personali. Sanzioni fino al 4% del fatturato. | DPO, legale, Garante Privacy |
| Assicurazione | Le polizze cyber richiedono documentazione tecnica forense per liquidare il sinistro. Senza perizia, il rimborso è a rischio. | Broker, assicurazione, perito |
| Prove digitali | I log degli attaccanti durano ore. Se non acquisiti correttamente, le prove sono perse per sempre. | Perito informatico, magistratura |
| Dipendenti | Possibile coinvolgimento doloso o colposo. Serve documentare la dinamica dell'accesso. | HR, legale, Tribunale del lavoro |
| PEC e comunicazioni | Se la PEC aziendale è compromessa, tutti i documenti legali inviati o ricevuti durante l'attacco sono a rischio di contestazione. | Legale, commercialista, notaio |
Avete già una polizza cyber? Verificate se prevede la copertura per le spese di perizia informatica post-incidente. Molte la richiedono come prerequisito per la liquidazione.
Le prime 24 ore dopo un attacco: gli errori che distruggono le prove
Questa è la parte più critica. Nelle prime ore dopo un attacco ransomware, molte aziende prendono decisioni dettate dal panico che eliminano irreversibilmente le prove digitali, compromettendo qualsiasi possibilità di perizia successiva, di rimborso assicurativo o di azione legale.
Schermo nero, file cifrati, richiesta di riscatto. Panico generale. È il momento più delicato.
Sembra logico, ma spegnere i server cancella la memoria volatile (RAM) dove risiedono tracce cruciali dell'attaccante: chiavi di cifratura, processi attivi, connessioni in corso.
Il più comune. "Ripristiniamo tutto dal backup." Così facendo si distruggono tutti i log di sistema, le tracce del vettore di accesso iniziale e la possibilità di capire cosa è stato esfiltrato.
Gli attaccanti si annidano nelle reti per settimane prima di attivare il ransomware. I backup degli ultimi 30-60 giorni potrebbero già contenere il malware dormiente.
L'email di phishing che ha dato il via all'attacco è una prova fondamentale. Va preservata, non cancellata "per pulizia".
I log dei firewall, degli switch e dei server di autenticazione mostrano esattamente chi ha fatto cosa e quando. Hanno retention limitata: in molti sistemi si sovrascrivono in 24-48 ore.
Dopo 24 ore senza acquisizione forense, molte prove sono irrecuperabili. La finestra per una perizia completa si è chiusa.
⛔ Cosa non fare mai
Non contattate il gruppo ransomware senza consulenza legale. Non pagate il riscatto prima di una valutazione tecnica. Circa il 40% delle aziende che paga subisce un secondo attacco entro un anno. Il pagamento non garantisce il recupero dei dati, non elimina le backdoor e non estingue le responsabilità GDPR.
Cosa fare invece: le azioni corrette nelle prime ore
- Isolare i sistemi infetti dalla rete (staccare il cavo, non spegnere)
- Documentare con foto e screenshot tutto ciò che è visibile sugli schermi
- Non toccare i server fino all'arrivo di un tecnico forense
- Contattare immediatamente un perito informatico per l'acquisizione dei log
- Informare il responsabile legale/DPO per avviare la procedura di notifica al Garante
- Contattare la compagnia assicurativa se avete una polizza cyber
- Conservare ogni comunicazione ricevuta dagli attaccanti
Quando serve una perizia informatica
La perizia informatica post-incidente non è un optional. In molti contesti è un requisito indispensabile per tutelare l'azienda. Ecco i casi concreti:
Notifica al Garante Privacy (GDPR)
Se nell'attacco sono stati compromessi dati personali di dipendenti, clienti o fornitori, avete 72 ore dalla scoperta per notificare il Garante. La perizia informatica produce la documentazione tecnica necessaria: quali dati sono stati esfiltrati, da quando era attivo l'attaccante, quante persone sono state coinvolte.
Liquidazione della polizza cyber
Le compagnie assicurative richiedono una relazione tecnica forense per procedere alla liquidazione del sinistro. Senza di essa, il rimborso per fermo produzione, costi di ripristino e danni a terzi può essere negato o ridotto.
Azioni legali contro terzi
Se l'attacco è entrato tramite un fornitore, un partner o un ex dipendente, la perizia è lo strumento che permette di provarlo in giudizio con valore probatorio.
Procedimento penale
La denuncia querela per accesso abusivo a sistema informatico (art. 615-ter c.p.) e per estorsione richiede prove digitali acquisite in modo forense. Senza una catena di custodia corretta, le prove non hanno valore in tribunale.
Contestazioni interne
Se sospettate il coinvolgimento di un dipendente, la perizia digitale è indispensabile per documentare l'accesso ai sistemi in modo legalmente utilizzabile nel procedimento disciplinare o davanti al Tribunale del lavoro.
La vostra azienda ha subito un incidente informatico? Ogni ora conta. Contattateci per una valutazione immediata della situazione.
Domande frequenti
Cosa devo fare nelle prime ore dopo un attacco ransomware?
Non spegnere i server, non formattare, non cancellare nulla. Isolare i sistemi dalla rete, documentare tutto ciò che si vede e contattare immediatamente un perito informatico per preservare le prove digitali. Ogni ora di ritardo riduce le possibilità di acquisizione forense completa.
Quando serve una perizia informatica dopo un attacco hacker?
Serve sempre: per documentare il danno ai fini assicurativi, per adempiere agli obblighi di notifica al Garante Privacy entro 72 ore, per tutelare l'azienda in eventuali contenziosi con terzi o dipendenti, e per acquisire prove digitali con valore legale.
Perché l'Emilia-Romagna è così colpita dagli attacchi ransomware?
Perché concentra un tessuto manifatturiero ad alta densità con molte PMI che hanno adottato Industria 4.0 senza adeguare la sicurezza. Macchinari legacy connessi, fornitori esterni con accesso VPN e credenziali deboli sono i principali vettori di attacco documentati dal Y-Report 2026 di Yarix.
Un attacco ransomware va notificato al Garante Privacy?
Sì, se sono stati compromessi dati personali di dipendenti, clienti o fornitori, la notifica al Garante è obbligatoria entro 72 ore dalla scoperta, ai sensi dell'art. 33 GDPR. La mancata notifica espone a sanzioni autonome, indipendenti dall'attacco subito.
Pagare il riscatto risolve il problema?
No. Circa il 40% delle aziende che paga il riscatto subisce un secondo attacco entro un anno. Il pagamento non garantisce il recupero dei dati, non elimina le backdoor installate dagli hacker, non cancella i dati già esfiltrati e non esime dalle responsabilità GDPR. Prima di qualsiasi decisione, è indispensabile una valutazione tecnica.
Quanto tempo ha un perito informatico per acquisire le prove dopo un attacco?
La finestra critica è di 12-24 ore. I log di rete e di sistema hanno retention limitata e si sovrascrivono rapidamente. La memoria volatile dei server contiene tracce dell'attaccante accessibili solo finché i sistemi rimangono accesi. Più si aspetta, meno prove è possibile recuperare.
Dove trovare un perito informatico in Emilia-Romagna dopo un attacco ransomware?
Periti Digitali opera in tutta l'Emilia-Romagna, con interventi in urgenza a Bologna, Modena, Reggio Emilia, Parma, Ferrara, Ravenna, Forlì e Rimini. Effettuiamo l'acquisizione forense delle prove digitali, la redazione della perizia tecnica per assicurazioni e tribunali e il supporto alla notifica al Garante Privacy entro le 72 ore previste dal GDPR.
Periti Digitali · Emilia-Romagna
La vostra azienda è stata colpita?
Operiamo in Emilia-Romagna e in tutta Italia. Interveniamo in urgenza per l'acquisizione forense delle prove, la perizia tecnica per assicurazioni e tribunali, la notifica al Garante Privacy e la consulenza legale post-incidente.