Attacco Ransomware a doppia estorsione: una lezione dal caso Poltronesofà

Arriva silenzioso e sorprende la difesa. L’attacco Ransomware a doppia estorsione ha proprio queste caratteristiche. Ha colpito Poltronesofà, l’azienda italiana ha annunciato di aver subito un attacco ransomware con potenziale esfiltrazione di dati clienti, fra cui nome, cognome, codice fiscale, indirizzo e-mail e numero di telefono. Quando questo tipo di attacchi ransomware arriva fino in fondo, la penalità è doppia: non è solo un problema tecnico, ma una crisi reputazionale, una minaccia per la privacy e un vero allarme per tutte le aziende italiane che pensano “a me non capiterà” le quali evidentemente non hanno capito quale avversario hanno davanti.Riassunto dell'articolo

L’attacco ransomware a Poltronesofà mostra quanto la minaccia del ransomware, oggi basata sulla doppia estorsione, sia diventata critica per le aziende italiane. I criminali non solo bloccano i sistemi cifrando i dati, ma li rubano per usarli come leva di ricatto, rendendo il semplice backup insufficiente. Le infezioni avvengono soprattutto tramite phishing, credenziali deboli e software non aggiornato. Per ridurre il rischio sono fondamentali formazione, aggiornamenti costanti, autenticazione a due fattori, backup scollegati e uso esclusivo di software legittimo.

In questo articolo esploreremo come funziona un ransomware, l’evoluzione della doppia estorsione, i vettori di infezione più comuni e perché il semplice backup non è più sufficiente. Infine, ti daremo cinque azioni concrete che ogni imprenditore può adottare per una strategia di protezione ransomware efficace.

Cos’è il Ransomware: origini e meccanica di base

Il termine ransomware deriva da “ransom” (riscatto) e “ware” (software): è un malware che prende in ostaggio i dati digitali, chiedendo un riscatto per restituire l’accesso. Il processo tecnico si basa sulla cifratura dei file: il malware trasforma i dati leggibili in un formato illeggibile tramite algoritmi di crittografia, rendendo i file inutilizzabili per la vittima.

Quando l’attacco ha successo, sullo schermo appare una richiesta di riscatto — quasi sempre in criptovalute o bitcoin non tracciabili — per ottenere la chiave di decrittazione. In altre parole, i criminali informatici ti dicono: “paghi o perdi l’accesso ai tuoi dati”.

Questa minaccia non riguarda solo la disponibilità dei file, ma può danneggiare profondamente la fiducia dei clienti e la reputazione aziendale.

L’evoluzione: Ransomware a doppia estorsione

Negli ultimi anni, il panorama degli attacchi ransomware è cambiato radicalmente. La strategia della doppia estorsione è diventata la norma tra i gruppi criminali: non basta più cifrare i dati, è necessario anche copiarli.

1. Esfiltrazione dei dati
   Prima di cifrare i file, il malware copia silenziosamente i dati sensibili (database clienti, email, documenti riservati) e li invia ai server degli attaccanti.
2. Cifratura / blocco
   Solo dopo la copia, il virus cifra i dati sul dispositivo della vittima, bloccando l’accesso.

La conseguenza è una doppia minaccia:

• Se paghi: puoi ottenere la chiave di decrittazione per ripristinare i file
• Se non paghi: i dati esfiltrati possono essere pubblicati o venduti, con gravi danni reputazionali, legali (es. GDPR) e di fiducia.

In pratica, anche se hai un backup perfetto, questo non basta più: il backup protegge la disponibilità, ma non può impedire la fuga e la diffusione dei dati rubati. Inoltre, trattandosi di criminalità informatica, non si può nemmeno essere certi che a fronte del pagamento del riscatto i dati rubati e copiati verranno poi effettivamente distrutti. È una trasformazione nel business del ransomware che ha reso l’attacco molto più pericoloso per le imprese.

Da dove arriva l’infezione ransomware: i punti deboli spesso sono umani

Molti attacchi ransomware non iniziano con un’escalation tecnica, ma con un errore umano. I vettori più comuni sono:

• Phishing via email: un messaggio che imita un corriere, una banca o un fornitore invita l’utente a cliccare su un link o aprire un allegato infetto.
• Credenziali deboli: password semplici, mai cambiate, condivise tra vari servizi, rendono più facile l’accesso non autorizzato.
• Software antivirus non aggiornato: molte vulnerabilità vengono sfruttate perché gli aggiornamenti di sicurezza non sono stati installati.

Questa dinamica è simile a subire un contropiede in una partita di calcio perché la difesa era disorganizzata: non serve un attaccante ultra-tecnico se tu lasci la porta spalancata.

Come funziona la doppia estorsione e perché il backup dei dati aziendali da solo non è più sufficiente

Il backup, tradizionalmente, è stato il pilastro della difesa contro il ransomware: conservi copie dei dati su dischi esterni, NAS, cloud, e in caso di attacco puoi semplicemente ripristinare tutto, ignorando la richiesta di riscatto.

Tuttavia:

• Se i criminali esfiltrano e conservano una copia dei dati, la copia di sicurezza non impedisce la perdita di riservatezza.
• La reputazione aziendale può essere compromessa: anche se recuperi i file, i dati personali possono essere finiti su leak o dark web.
• Ci sono conseguenze legali: responsabilità GDPR, obbligo di notifica, possibili multe se non dimostri adeguate misure di protezione.

Quindi un approccio moderno alla sicurezza non può basarsi solo sul backup: serve un modello di difesa integrato.

Come mitigare il rischio ransomware in azienda: cinque azioni concrete

Per un imprenditore serio, difendersi significa costruire una vera strategia di mitigazione del rischio in caso di attacco ransomware. Ecco cinque punti chiave:

1. Fermati prima di cliccare
   Ogni email sospetta può essere un trampolino per un attacco ransomware. Verifica il mittente, evita clic affrettati su allegati o link.
2. Non rimandare gli aggiornamenti
   La sicurezza non viene dopo la comodità: gli aggiornamenti di sistema e di applicazioni chiudono le vulnerabilità che i ransomware sfruttano.
3. Autenticazione a due fattori (2FA)
   Attiva il 2FA su email aziendali, sistemi di accesso remoto e qualsiasi piattaforma sensibile. Anche se la password viene compromessa, il secondo fattore può bloccare l’attacco.
4. Backup “scollegato”
   Esegui regolarmente copie di backup ma scollega fisicamente il supporto (disco esterno, NAS) una volta completato. In questo modo, il ransomware non può cifrare anche il backup.
5. Scarica software legittimo
   Evita software pirata o craccato: spesso nascondono malware. Utilizza solo fonti ufficiali e licenze, anche se può sembrare un costo aggiuntivo — è un’assicurazione contro il ransomware.

Le implicazioni dell’attacco ransomware a Poltronesofà

L’attacco subito da Poltronesofà non è solo un caso isolato: è un esempio concreto di come anche aziende consolidate e ben note non siano immuni. Le conseguenze di un attacco ransomware possono essere devastanti:

• Privacy dei clienti: i dati sensibili possono essere messi a rischio di pubblicazione o vendita.
• Immagine aziendale: la fiducia dei clienti può crollare, danneggiando il brand.
• Obblighi normativi: con il GDPR, le aziende devono notificare le violazioni e adottare misure di sicurezza adeguate; il mancato rispetto può comportare sanzioni.

Per un imprenditore, questo significa che la cyber-sicurezza deve diventare parte integrante della strategia aziendale, non un costo accessorio.

Obblighi GDPR in caso di data breach: cosa richiede l’Articolo 34

Quando un attacco ransomware comporta la violazione di dati personali (data breach), il GDPR impone obblighi stringenti al titolare del trattamento. L’Articolo 34 stabilisce che, se la violazione può comportare un rischio elevato per i diritti e le libertà delle persone fisiche — come nel caso di esfiltrazione di dati clienti () — l’azienda deve informare senza ingiustificato ritardo tutti gli interessati coinvolti.

La comunicazione deve essere chiara, comprensibile e spiegare in modo semplice:

• la natura della violazione,

• le possibili conseguenze,

• le misure adottate per mitigare l’impatto,

• le azioni consigliate agli utenti per proteggersi.

Ci sono solo tre casi in cui la comunicazione agli interessati non è richiesta:

1. Se l’azienda aveva già implementato misure tecniche adeguate, come la cifratura dei dati, che li rende incomprensibili a terzi;
2. Se, dopo l’incidente, ha adottato misure correttive che eliminano il rischio elevato per gli utenti;
3. Se contattare individualmente ogni persona richiederebbe sforzi sproporzionati: in questo caso è ammessa una comunicazione pubblica altrettanto efficace (es. avviso sul sito).

Infine, se l’organizzazione non informa gli utenti pur dovendo farlo, l’autorità di controllo può imporre la comunicazione o valutare che ricorra una delle eccezioni previste. Per un’azienda, questo significa che la gestione del data breach non è solo un tema tecnico: è un obbligo legale che richiede trasparenza, rapidità e documentazione accurata delle misure adottate.

L’attacco ransomware a Poltronesofà è un monito per tutte le aziende: il ransomware non è più una minaccia tecnica tra le mura di un datacenter, ma un rischio strategico che può colpire anche la reputazione, la fiducia dei clienti e la continuità operativa.

Come in una partita di calcio, non basta schierare una difesa statica: serve un gioco dinamico, un pressing intelligente, una squadra coesa. Le cinque strategie di mitigazione (phishing, aggiornamenti, 2FA, backup scollegato, software legittimo) sono il tuo allenamento per costruire una difesa robusta.

Per un imprenditore, la vittoria non è solo evitare il riscatto: è dimostrare che l'azienda può resistere, rialzarsi e continuare a giocare con credibilità. La resilienza cyber non è un’opzione: è una strategia che vale quanto qualsiasi altro investimento aziendale.

Scarica questo contenuto gratuito e fai subito un'autovalutazione del tuo stato di sicurezza informatica. Se scopri di avere un "gap" nella tua strategia di cybersecurity, mettiti in contatto con i nostri esperti.

Qual è la frequenza dei ransomware nelle aziende?

Dati e trend del ransomware in Italia e nel mondo:

• Secondo Cybersecurity360, nel secondo quadrimestre del 2024 sono state 1.747 le rivendicazioni ransomware a livello globale, di cui 58 solo in Italia.
• Il Ransomware Threat Intelligence Report di Check Point indica che nel Q3 del 2025 ci sono stati 1.592 nuovi attacchi su 85 gruppi attivi, con una frammentazione mai vista prima.
• Il modello RaaS (“Ransomware-as-a-Service”) — in cui gruppi criminali vendono o noleggiano il malware — è estremamente diffuso, rendendo gli attacchi più accessibili anche per attaccanti meno sofisticati. Gruppi come LockBit sono particolarmente attivi.

Questi numeri dimostrano che il ransomware non è un fenomeno marginale, ma una minaccia sistemica anche per le imprese italiane: non è questione di “se”, ma di “quando”.