La sicurezza informatica nel settore manifatturiero è condizionata da un equilibrio fragile tra continuità operativa, integrazione OT-IT e crescente esposizione digitale. Ambienti produttivi interconnessi, supply chain estese e impianti legacy rendono la manifattura un bersaglio strutturalmente appetibile per il ransomware, dove anche interruzioni limitate possono generare effetti sistemici lungo l’intero ecosistema industriale.
Ne parla anche la quinta edizione del report Sophos State of Ransomware in Manufacturing and Production 2025 che si basa su un’indagine indipendente condotta tra gennaio e marzo 2025 su 332 responsabili IT e cybersecurity di aziende manifatturiere di dimensioni comprese tra 100 e 5.000 dipendenti, produttive in 17 Paesi, tutte colpite da ransomware nei dodici mesi precedenti.

Nel manifatturiero emergono segnali di maggiore efficacia difensiva, ma anche una chiara “reazione” da parte degli attaccanti. La percentuale di incidenti culminati nella cifratura dei dati scende al 40%, il valore più basso registrato negli ultimi cinque anni, contro il picco del 74% dell’anno precedente. Un dato che riflette una capacità crescente delle aziende industriali di individuare e bloccare gli attacchi prima che producano gli effetti più distruttivi.

Il ransomware non arretra, si trasforma

Quelli che potrebbero anche essere dati positivi, nel contesto offrono invece l’indicazione chiara per cui il ransomware nel manifatturiero non arretra ma si trasforma. Aumentano infatti gli attacchi di tipo estorsivo puro, in cui i dati non vengono cifrati ma sottratti e utilizzati come leva di pressione. Nel 2025 questi casi rappresentano il 10% degli incidenti, contro appena il 3% dell’anno precedente. Il valore strategico della proprietà intellettuale industriale, unito alla criticità dei tempi di fermo produzione, rende il settore particolarmente vulnerabile a questo cambio di tattica.
Il furto di dati resta un elemento centrale anche negli attacchi che arrivano alla cifratura. Nel 39% dei casi riusciti, alla crittografia si accompagna l’esfiltrazione delle informazioni, una delle percentuali più elevate tra tutti i settori analizzati. Questo dato rafforza il quadro di una doppia estorsione ormai strutturale, che nel manifatturiero assume un peso specifico maggiore per via della sensibilità dei dati di progetto, delle formule produttive e delle informazioni sui fornitori. 

Evoluzione del data encryption rate
Evoluzione del data encryption rate (fonte: State of Ransomware in Manufacturing and Production, Sophos, 2025)

Una migliore difesa, ma persistono carenze strutturali

Sul fronte difensivo, il report segnala che il 50% delle aziende manifatturiere è riuscito a fermare l’attacco prima che i dati venissero cifrati, più del doppio rispetto al 24% dell’anno precedente. È un indicatore rilevante di maturità crescente, legato all’adozione di controlli più efficaci sugli endpoint, a una maggiore visibilità sugli ambienti ibridi e a una migliore capacità di risposta iniziale agli incidenti, in linea con quanto discusso nel contesto delle strategie zero trust applicate all’OT.

Le cause prime all'origine degli attacchi ransomware
Le cause principali all’origine degli attacchi ransomware (fonte: State of Ransomware in Manufacturing and Production, Sophos, 2025)

Le cause degli incidenti restano tuttavia radicate in fattori strutturali. Dal punto di vista tecnico, le vulnerabilità sfruttate rappresentano il principale vettore di attacco, responsabile del 32% degli incidenti, seguite dalle email malevole al 23% e dagli attacchi basati su credenziali compromesse al 20%. Il dato sulle vulnerabilità è particolarmente significativo per il manifatturiero, dove la presenza di sistemi non aggiornabili e la complessità delle architetture produttive amplificano la superficie di attacco.

Un ulteriore elemento è quello legato ai fattori organizzativi. Il 42,5% degli intervistati indica la carenza di competenze come elemento determinante, seguita da vulnerabilità sconosciute nel 41,6% dei casi e da una protezione inadeguata nel 41%. In media, le aziende manifatturiere riconoscono tre fattori interni concomitanti alla base dell’incidente, segno di una fragilità sistemica che va oltre il singolo controllo tecnologico. Questo intreccio tra skill shortage e complessità operativa è coerente con il dibattito europeo sulla resilienza digitale delle imprese industriali, anche in relazione alla direttiva Nis2.

Cause operative degli attacchi ransomware nel manufacturing
Cause operative degli attacchi ransomware nel manufacturing (fonte: State of Ransomware in Manufacturing and Production, Sophos, 2025)

Impatto economico e impatto umano

Sul piano economico, oltre metà delle aziende colpite dalla cifratura ha pagato il riscatto, ma la percentuale scende dal 62% dell’anno precedente al 51%. La richiesta media si attesta a 1,2 milioni di dollari, scende a 1 milione il pagamento medio reale. Colpisce il fatto che le aziende paghino in media l’86% della somma richiesta, un valore in aumento rispetto al 70% del 2024, segnale di una capacità negoziale ancora limitata quando la pressione operativa diventa insostenibile. Parallelamente migliorano i costi e i tempi di recupero. Il costo medio di ripristino, esclusi i riscatti, scende del 24% a 1,3 milioni di dollari. Il 58% delle aziende manifatturiere torna pienamente operativo entro una settimana, contro il 44% dell’anno precedente, mentre il numero di organizzazioni che impiegano da uno a tre mesi per il recupero cala drasticamente. Questo miglioramento riflette investimenti più mirati in backup, piani di risposta e test di ripristino, ambiti spesso trascurati nei contesti produttivi.

Tempi di recupero da un ransomware nel manifatturiero
Tempi di recupero da un ransomware nel manifatturiero (fonte: State of Ransomware in Manufacturing and Production, Sophos, 2025)

L’impatto umano resta però elevato. Il 47% delle aziende segnala un aumento significativo dello stress nei team IT e sicurezza, il 44% riporta maggiori pressioni dal top management e nel 27% dei casi si registrano cambiamenti nelle posizioni di leadership a seguito dell’incidente. Nel manifatturiero questi effetti risultano più accentuati rispetto alla media cross-sector, confermando come la gestione di un attacco ransomware in ambienti produttivi abbia ricadute dirette sull’organizzazione del lavoro e sulla governance della sicurezza, temi centrali anche nel dibattito su competenze e responsabilità Ciso.

Le osservazioni operative di Sophos completano il quadro, indicando una forte frammentazione del panorama criminale. Negli ultimi dodici mesi sono stati osservati 99 gruppi ransomware attivi contro il settore industriale, con Akira, Qilin e Play tra i più rilevanti. In oltre metà degli incidenti gestiti dai team di risposta, la cifratura è stata accompagnata dal furto dei dati, confermando che la doppia estorsione rappresenta ormai lo standard anche nel manifatturiero.

Il  report restituisce l’immagine di un settore che sta migliorando la propria capacità di difesa, ma che continua a operare in una condizione di esposizione strutturale. La riduzione della cifratura non equivale a una diminuzione del rischio, bensì a una sua riconfigurazione, in cui il dato industriale e la continuità operativa restano al centro della pressione criminale. Un contesto che rende sempre più necessario un approccio integrato alla sicurezza, capace di tenere insieme tecnologia, processi e competenze lungo tutta la filiera produttiva. Che comprende quindi la capacità di chiudere le falle e rimediare le vulnerabilità, la difesa degli endpoint (anche OT), definire i piani di incident response (preteso anche dalle normative) ed affidarsi quando serve a un provider di managed detection and response.   

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE