Home > 45 statistiche sul ransomware da conoscere nel 2026

Prevenzione delle Minacce

45 statistiche sul ransomware da conoscere nel 2026

64 views

Il ransomware è un tipo di attacco informatico in cui i criminali bloccano i file sul computer della vittima e chiedono un riscatto per sbloccarli.…

Panda SecurityFeb 9, 202614 min read

In this article

Il ransomware è un tipo di attacco informatico in cui i criminali bloccano i file sul computer della vittima e chiedono un riscatto per sbloccarli. Foto, documenti o file di lavoro diventano improvvisamente inutilizzabili. Sullo schermo compare un messaggio che chiede di effettuare un pagamento, spesso accompagnato da un conto alla rovescia e dalla minaccia di cancellare tutto se non paghi.

Contrariamente a quanto si pensi, questi attacchi non colpiscono solo le grandi aziende, ma anche gli utenti domestici. Gli Stati Uniti, inoltre, sono il Paese più colpito dagli attacchi ransomware, con milioni di persone e aziende coinvolte ogni anno.

In questo articolo vedremo 45 statistiche sul ransomware che mostrano chi sono i bersagli, come si diffondono gli attacchi e quanti danni possono fare, economici e non. Inoltre, condivideremo alcuni consigli per riconoscere il ransomware ed evitarlo.

Tendenze del ransomware nel 2026

Il ransomware cambia in fretta. Oggi i cybercriminali non si limitano più a bloccare i file: prima li rubano, poi mettono la vittima sotto pressione e usano tecniche sempre più sofisticate per entrare nei sistemi. Queste sono alcune delle principali tendenze del ransomware che ci aiutano a capire cosa ci aspetta in futuro e perché dovremmo fare attenzione.

Doppia estorsione e divulgazione dei dati

Oggi gli attaccanti rubano i dati prima ancora di criptarli. Una volta in possesso di queste informazioni sensibili, minacciano di pubblicarle online se non viene pagato il riscatto. Alcuni report di cybersecurity mostrano che il furto di dati è coinvolto in circa il 74% degli attacchi ransomware, superando le vecchie tecniche basate esclusivamente sulla cifratura dei file.

Per questo motivo, i backup da soli non bastano più: anche se riesci a recuperare i file, rimane il rischio che i tuoi dati personali o finanziari finiscano online.

Phishing e social engineering potenziati dall’AI

I cybercriminali stanno usando strumenti di intelligenza artificiale per creare messaggi fraudolenti sempre più credibili. Il risultato è che le email e gli SMS sembrano autentici, hanno un aspetto professionale e spesso sembrano scritti su misura. Molti imitano aziende affidabili o sembrano provenire da colleghi di lavoro o persino amici.

Proprio perché queste truffe sono più difficili da riconoscere, sempre più persone finiscono per cliccare su link pericolosi o condividere le proprie credenziali di accesso. Spesso, è questo primo errore ad aprire la porta a un attacco ransomware.

La diffusione del Ransomware as a Service (RaaS)

Il RaaS ha abbassato notevolmente la soglia di ingresso per i cybercriminali. Invece di sviluppare malware da zero, oggi gli attaccanti possono acquistare kit ransomware già pronti, che includono perfino strumenti di supporto. Anche chi ha poca esperienza può così lanciare attacchi su larga scala con pochi sforzi.

Questo modello “a servizio” ha portato a un aumento costante dei gruppi ransomware attivi e a una rete sempre più ampia di affiliati. Più attori in gioco significano attacchi più frequenti, cambi di tattica più rapidi e un panorama delle minacce complessivamente più caotico.

Cifratura sempre più veloce

I ransomware moderni riescono a bloccare i dati in pochi minuti, lasciando pochissimo tempo per intervenire. Anche se i tempi esatti variano in base al tipo di ransomware e alle dimensioni del sistema, gli analisti osservano che la cifratura rapida è diventata una parte centrale delle strategie di attacco, proprio per superare in velocità le reazioni umane e gli strumenti di sicurezza.

Questo significa che l’intervallo di tempo utile per individuare e bloccare una violazione diventa sempre più breve, ed è per questo che oggi reagire in fretta e affidarsi a difese automatizzate non è più un’opzione, ma una necessità.

Quanto è diffuso il ransomware?

Il ransomware non è un fenomeno raro. È costante, problematico e molto più diffuso di quanto la maggior parte delle persone immagini, e i numeri lo dimostrano in modo piuttosto chiaro.

Ecco una panoramica che mostra quanto sono davvero diffusi gli attacchi ransomware:

(Nota: per vedere le fonti delle statistiche, vai alla fine dell’articolo)

Nel 2024, negli Stati Uniti sono stati registrati oltre 1,3 milioni di attacchi ransomware.

  1. Subito dopo gli Stati Uniti, la Thailandia ha rilevato circa 1,1 milioni di attacchi ransomware nel 2024.
  2. A livello globale, i rilevamenti di ransomware hanno raggiunto il picco con 632 tentativi nel solo mese di novembre 2024.
  3. Il 100% delle organizzazioni a cui sono stati criptati i dati ha segnalato un impatto diretto sulle persone. Ogni attacco ransomware ha colpito individui reali, non solo sistemi.
  4. Il 41% dei team di IT e sicurezza ha riportato un aumento dell’ansia dopo un attacco. E questo stress non resta confinato al lavoro.
  5. Il 34% dei team si è sentito in colpa per non essere riuscito a fermare l’attacco in tempo. Per gli utenti domestici, lo stesso ritardo può significare accorgersi dell’infezione solo quando i file sono già bloccati.
  6. Nel 31% dei team si sono verificate assenze dal lavoro dovute a stress o problemi di salute mentale legati all’attacco.
  7. La compromissione degli accessi remoti è stata il vettore di attacco più comune all’inizio del 2025, responsabile di quasi il 40% dei casi.
  8. Subito dopo, il phishing ha causato quasi il 30% dei casi, confermandosi come uno dei metodi di ingresso più usati.
  9. Le sei varianti di ransomware più diffuse sono Akira, Qilin, Lone Wolf, Silent Ransom, Shiny Hunters e DragonForce. Insieme hanno rappresentato oltre il 50% degli attacchi nel secondo trimestre del 2025.
  10. Alla fine del 2024, Akira e RansomHub detenevano insieme il 25% delle quote di mercato.
  11. Nel 2024, Clop è stato il ransomware di cui si è parlato di più nei forum del dark web.
  12. In un quarto dei casi di ransomware, dopo l’attacco i dirigenti dell’azienda sono stati sostituiti.

Statistiche sui pagamenti e sul costo dei ransomware

Il ransomware muove enormi quantità di denaro. Gli attaccanti continuano a chiedere cifre da capogiro, anche se sempre più vittime cercano di resistere o scelgono di non pagare.

Ecco una panoramica chiara attraverso le statistiche più recenti su costi e pagamenti legati al ransomware:

  1. Nel terzo trimestre del 2024, il 32% degli attacchi ransomware a livello globale si è concluso con il pagamento del riscatto, in calo rispetto al 36% del trimestre precedente.
  2. I ricavi globali del ransomware sono scesi da 1,2 miliardi di dollari nel 2023 a circa 814 milioni di dollari nel 2024.
  3. Nel 2024, il pagamento medio di un riscatto negli Stati Uniti ha raggiunto quasi 490.000 dollari.
  4. Nel 2025, la richiesta mediana di riscatto ha superato 1,3 milioni di dollari.
  5. Questa richiesta mediana è diminuita del 34% rispetto al 2024, quando era pari a 2 milioni di dollari.
  6. Il pagamento mediano del riscatto è calato del 50%, passando da 2 milioni di dollari nel 2024 a 1 milione di dollari nel 2025.
  7. I pagamenti elevati, pari o superiori a 5 milioni di dollari, sono scesi dal 31% dei casi nel 2024 al 20% nel 2025.
  8. Il 53% delle vittime ha negoziato e pagato una somma inferiore rispetto alla richiesta di riscatto iniziale.
  9. Solo il 29% delle vittime ha pagato esattamente l’importo richiesto in origine dai criminali.
  10. Il 18% delle vittime ha finito per pagare più della cifra inizialmente richiesta.
  11. Nel secondo trimestre del 2025, il pagamento medio del riscatto è salito a 1,1 milioni di dollari, con un aumento del 104% rispetto al primo trimestre del 2025.
  12. Sempre nel secondo trimestre del 2025, il pagamento mediano del riscatto ha raggiunto i 400.000 dollari, con un aumento del 100% rispetto al trimestre precedente.
  13. Solo il 26% delle organizzazioni ha scelto di pagare il riscatto; questa percentuale è rimasta stabile per tutto il 2025.

Il ransomware non comporta solo un costo per le vittime in seguito all’attacco, ma obbliga anche aziende e organizzazioni a investire cifre enormi nella prevenzione

Nel 2024, il mercato globale della protezione dal ransomware è stato valutato circa 32,6 miliardi di dollari e si prevede che raggiungerà quota 123 miliardi di dollari entro il 2034, con una crescita annua intorno al 14%. Questi investimenti dimostrano quanto il ransomware costa e crea danni, anche quando le vittime non pagano alcun riscatto.

Statistiche sul ransomware a livello mondiale

Gli attacchi ransomware continuano ad aumentare in tutto il mondo, ma colpiscono i Paesi in modo molto diverso. In alcune aree si registrano ondate sporadiche, mentre in altre il bersagliamento è continuo durante tutto l’anno. Stati Uniti e Thailandia occupano rispettivamente il primo e il secondo posto tra i dieci Paesi più colpiti dal ransomware.

Questi sono gli altri otto Paesi:

PaeseRilevamenti di ransomware nel 2024
1. Turchia514.000
2. Taiwan474.000
3. Giappone394.000
4. Brasile242.000
5. Germania240.000
6. India209.000
7. Corea del Sud182.000
8. Singapore169.000

Principali gruppi ransomware attivi

Sia i gruppi ransomware attivi da anni sia quelli più recenti continuano a causare danni significativi in tutto il mondo. I report più recenti restituiscono un panorama delle minacce molto dinamico e frammentato: pochi gruppi concentrano gran parte dell’attività, mentre molti attacchi restano ancora senza un responsabile chiaramente identificato.

Ecco le statistiche più importanti sui gruppi ransomware:

  1. Solo nel mese di dicembre 2025 sono stati resi pubblici 78 incidenti legati al ransomware.
  2. Nel dicembre 2025, 25 gruppi ransomware diversi hanno rivendicato almeno un attacco.
  3. Il settore sanitario è stato il più colpito, con 14 attacchi.
  4. Gli Stati Uniti hanno ricevuto il 46% di tutti gli incidenti segnalati.
  5. L’Australia segue con il 14%, mostrando una netta differenza rispetto al Paese più colpito.

In base all’attività recente e alla visibilità mediatica, i gruppi ransomware Akira, Everest, INC, LockBit e Clop si distinguono come i gruppi di criminali informatici più importanti da monitorare.

Tattiche, tecniche e procedure più comuni

Gli attacchi ransomware seguono schemi ricorrenti. Analizzare il modo in cui operano i criminali informatici consente di rilevare gli attacchi in meno tempo e limitare i danni

Queste sono le tattiche malware più comuni osservate all’inizio del 2025:

  1. Il 74% dei casi di ransomware ha causato anche l’esfiltrazione di dati, che attualmente è la principale leva di pressione sulle vittime.
  2. Nel 60% dei casi si è osservato un movimento laterale all’interno delle reti: i criminali si spostano da un sistema all’altro per accedere a più risorse e massimizzare l’impatto dell’attacco.
  3. Il 47% dei casi ha avuto conseguenze confermate, tra cui la cifratura dei file e l’interruzione dei servizi.
  4. Nel 90% dei casi con conseguenze confermate è stata usata la cifratura dei file, a dimostrazione del fatto che, anche se le tecniche evolvono, resta un elemento centrale degli attacchi.
  5. Nel 47% degli incidenti sono state utilizzate tecniche di elusione delle difese. Gli attaccanti cercano di restare nascosti abbastanza a lungo da completare l’attacco.
  6. Nel 42% dei casi di ransomware sono state svolte attività di ricognizione. Prima di colpire, gli attaccanti mappano le reti e individuano i sistemi più critici e redditizi per i loro scopi.

Statistiche sul ransomware per settore

Il ransomware non colpisce tutti i settori allo stesso modo. Gli attaccanti tendono a concentrarsi su ambiti in cui un’interruzione delle attività spinge la vittima a pagare immediatamente e dove i dati sensibili hanno un valore concreto. Le statistiche più recenti sul ransomware rendono questi schemi piuttosto evidenti.

Ecco come si distribuisce l’attività ransomware nei diversi settori:

  1. I servizi professionali hanno rappresentato il 19,7% delle vittime degli attacchi ransomware nel secondo trimestre del 2025. Rientrano in questa categoria studi legali, società di consulenza e servizi alle imprese, dove i tempi di inattività diventano rapidamente molto costosi.
  2. I servizi al consumatore hanno concentrato il 13,7% degli attacchi, perché le aziende a contatto diretto con i clienti sono bersagli appetibili per via dei dati di pagamento e della necessità di continuare a essere operativi.
  3. Anche il settore sanitario ha rappresentato il 13,7% degli incidenti ransomware. La sanità resta un obiettivo privilegiato, perché le interruzioni possono avere un impatto diretto sull’assistenza ai pazienti.
  4. Il settore pubblico ha registrato il 9,4% degli attacchi ransomware. Enti governativi e servizi pubblici restano esposti a causa di difese obsolete e di un gran numero di utenti che hanno accesso ai sistemi.
  5. I servizi finanziari hanno rappresentato il 7,7% dell’attività ransomware. Gli attaccanti puntano sia al denaro sia ai grandi volumi di dati sensibili dei clienti.
  6. Nel 2024, le istituzioni finanziarie hanno registrato 3336 incidenti informatici a livello globale. Il ransomware era presente in molti di questi episodi.
  7. 927 di questi incidenti nel settore finanziario hanno causato l’esfiltrazione di informazioni sensibili, un dato che mostra quanto spesso il ransomware vada oltre la semplice cifratura dei file.
  8. Il settore immobiliare e quello dei servizi di pubblica utilità hanno ricevuto ciascuno solo lo 0,9% degli attacchi ransomware. Questa piccola percentuale si spiega con una minore esposizione digitale e controlli più solidi, che possono rendere questi settori meno interessanti per i criminali.

Come prevenire un attacco ransomware

Per capire come prevenire il ransomware, bisogna prima sapere come agisce. I ransomware entrano in modo silenzioso, bloccano l’accesso ai file e mettono le vittime sotto pressione affinché si paghino il riscatto. La maggior parte degli attacchi sfrutta errori quotidiani che si possono evitare facilmente.

Ecco alcuni modi per ridurre i rischi e prevenire il ransomware:

  • Mantieni i dispositivi aggiornati: gli aggiornamenti correggono le falle di sicurezza note. Ignorarli significa lasciare porte aperte al ransomware e ad altri malware.
  • Usa un password manager affidabile: password deboli o riutilizzate sono una delle cause più frequenti di infezioni da ransomware. Le nostre statistiche sulle password mostrano che 1 persona su 4 ha almeno un account compromesso a causa di password poco sicure. Il password manager crea e conserva password complesse e uniche al tuo posto, così non devi ricordarle tutte.
  • Fai attenzione a link e allegati: gli attacchi ransomware iniziano spesso con un semplice clic sull’oggetto sbagliato. Se un messaggio ti sembra scritto in fretta, non te lo aspettavi o non ti convince anche se non sai dire bene perché, meglio non aprirlo.
  • Fai backup regolari dei file: salva una copia dei file importanti su un’unità esterna o su una piattaforma cloud sicura. Se dovessi subire un attacco ransomware, il backup ti permetterebbe di recuperare i dati senza pagare.
  • Installa un software di sicurezza affidabile: una soluzione antiransomware efficace può bloccare i file dannosi, avvisarti quando stai per visitare un sito pericoloso e aiutarti a rimuovere il malware se riesce a passare.
  • Rimuovi le app che non usi: i software vecchi o inutilizzati sono un bersaglio facile. Meno applicazioni installate significano meno punti deboli.

Se hai un’azienda, la prevenzione del ransomware richiede più livelli: formazione del personale, protezione degli endpoint (PDF in inglese), controlli degli accessi e piani di recupero testati. Ricorda che alla fine sono sempre le persone a subire le conseguenze quando i sistemi si fermano, i dati vanno persi o lo stress aumenta dopo un attacco.

Proteggi la tua vita digitale con Panda Security

Le statistiche sul ransomware ci dicono una cosa importante: gli attacchi stanno diventando più intelligenti, veloci e difficili da individuare. Panda Security ti aiuta a restare un passo avanti alle minacce con strumenti pensati per scenari di attacco reali, come Panda Dome Antivirus, che monitora continuamente il tuo dispositivo per rilevare all’istante gli attacchi.

Panda punta tutto sulla prevenzione, ad esempio isolando i file dannosi e bloccando i link sospetti prima che tu possa aprirli. I nostri strumenti includono funzionalità speciali come la difesa contro il ransomware, i filtri web e il rilevamento delle minacce basato sul cloud, che ti aiutano a prevenire il ransomware e proteggere i tuoi dati personali su tutti i tuoi dispositivi.

Scopri la suite di sicurezza Panda Dome e come possiamo aiutarti a mantenere i tuoi dati al sicuro.

Related Articles