Il fenomeno dei riscatti pagati alle bande criminali che orchestrano attacchi ransomware sta toccando minimi storici, con una tendenza che sembra finalmente premiare gli sforzi congiunti di aziende, forze dell'ordine e professionisti della sicurezza informatica. Solo il 23% delle organizzazioni colpite durante il terzo trimestre del 2025 ha ceduto alle richieste degli aggressori, segnando un punto di svolta significativo nella lotta contro questa forma di criminalità digitale. Si tratta di un dato che testimonia come le strategie di difesa e prevenzione stiano producendo risultati concreti, costringendo i gruppi criminali a rivedere le proprie tattiche operative.
L'analisi condotta da Coveware rivela come questo calo sia parte di un trend consolidato che si protrae da sei anni, con l'eccezione di qualche oscillazione momentanea. Nel primo trimestre del 2024 la percentuale di pagamenti si attestava ancora al 28%, ma da allora la discesa è stata costante fino a raggiungere il record negativo attuale. Una conferma tangibile dei progressi collettivi ottenuti nella battaglia contro il ransomware, dove si è riusciti finalmente a far capire a utenti e aziende che pagare non è la soluzione.
Due fattori principali spiegano questa inversione di tendenza: da un lato le organizzazioni hanno implementato sistemi di protezione più robusti e mirati specificamente contro questo tipo di minacce, dall'altro le autorità hanno intensificato la pressione sulle vittime affinché non alimentino l'ecosistema criminale con i pagamenti. Ogni riscatto evitato sottrae infatti risorse vitali ai gruppi di cybercriminali, limitandone la capacità operativa e l'espansione.
La natura degli attacchi ransomware è profondamente mutata nel corso degli anni. Se inizialmente i criminali si concentravano sulla pura crittografia dei dati, oggi predomina la strategia della doppia estorsione: oltre a bloccare i sistemi, i gruppi criminali sottraggono informazioni sensibili minacciando di renderle pubbliche. Questa evoluzione tattica è evidente nei numeri: oltre il 76% degli attacchi registrati nel terzo trimestre 2025 ha comportato l'esfiltrazione di dati, diventata ormai l'obiettivo primario per la maggior parte delle organizzazioni criminali.
Particolarmente interessante è il dato relativo agli attacchi che si limitano esclusivamente al furto di dati senza cifrare nulla: in questi casi, la percentuale di pagamenti crolla ulteriormente al 19%, suggerendo che le aziende considerano meno critica la minaccia della divulgazione rispetto al blocco operativo totale dei sistemi. Anche gli importi medi richiesti mostrano una flessione significativa, con pagamenti medi di 377.000 dollari e valori mediani di 140.000 dollari nel terzo trimestre.
Le grandi imprese stanno progressivamente rivedendo le proprie politiche sui riscatti, riconoscendo che investire quelle risorse nel rafforzamento delle difese rappresenta una strategia più efficace a lungo termine. Nel frattempo, gruppi criminali come Akira e Qilin, responsabili del 44% degli attacchi registrati nel periodo analizzato, hanno spostato l'attenzione verso aziende di medie dimensioni, considerate attualmente più propense a pagare.
Sul fronte dei vettori di attacco, emerge un cambiamento significativo nelle modalità di accesso iniziale ai sistemi. La compromissione tramite accesso remoto si è affermata come metodo principale, affiancata da un incremento notevole nello sfruttamento di vulnerabilità software. Questa diversificazione tattica riflette la necessità dei criminali di adattarsi a difese sempre più sofisticate.
La riduzione dei profitti spingerà le organizzazioni criminali verso una maggiore precisione negli attacchi, con le grandi aziende destinate a tornare nel mirino man mano che i margini di guadagno continueranno a contrarsi. Considerando il rafforzamento delle difese delle organizzazioni più strutturate, è probabile che i criminali intensifichino l'uso di tecniche di ingegneria sociale e il reclutamento di insider, offrendo tangenti considerevoli a chi possa facilitare l'accesso iniziale ai sistemi. La battaglia contro il ransomware, dunque, si sposta sempre più sul fronte umano, dove la formazione e la consapevolezza del personale diventano armi difensive fondamentali.