Ransomware: il backup non basta, serve il ripristino
Nel 2026 gli attacchi colpiscono per primi i backup. La differenza tra subire un fermo di settimane e ripartire in poche ore non sta nel salvare i dati, ma nel saperli rimettere in produzione — provato.
Per anni il backup è stato la coscienza pulita dell’IT: “i dati sono salvati, dormiamo tranquilli”. Nel 2026 quella tranquillità è il primo bersaglio. Gli attacchi ransomware moderni non si limitano a cifrare i dati di produzione: cercano e distruggono prima di tutto le copie di sicurezza, perché sanno che un’azienda con un backup ripristinabile non paga il riscatto.
Le rilevazioni di settore parlano chiaro: una quota largamente maggioritaria degli attacchi prende di mira proprio i backup, e quando le copie sono raggiungibili dalla rete vengono cancellate prima della cifratura. Il backup che “c’è ma è online” non è una rete di sicurezza: è un altro asset da proteggere.
Il backup non è il fine. Il ripristino lo è.
La domanda giusta non è “abbiamo un backup?”, ma “in quanto tempo, e in che stato, torniamo operativi?”. Sono due cose diverse. Avere i dati da qualche parte non garantisce nulla se non sai se quel backup è integro, pulito e davvero ripristinabile sotto pressione.
I numeri raccontano la distanza: chi ha copie solide e procedure testate rimette in piedi i sistemi in tempi misurabili in ore o pochi giorni; chi ha solo “il backup” — mai provato in un ripristino reale — finisce per misurare il fermo in settimane. E il fermo costa: per una PMI italiana l’impatto economico complessivo di un attacco — riscatto, downtime, recupero dati, forensics, danno reputazionale — viene stimato dalle fonti di settore in decine, fino a oltre cento, migliaia di euro.
Un backup che non hai mai ripristinato non è un backup: è un’ipotesi.
Cosa rende una strategia davvero resiliente
Tre principi distinguono una copia di sicurezza da una vera capacità di ripristino:
- Immutabilità. Una volta scritto, il backup non si può modificare, cifrare o cancellare per tutta la durata della retention — nemmeno con privilegi di amministratore. È ciò che resta in piedi quando l’attaccante ha già preso la rete.
- Separazione (air-gap logico). Le copie restano isolate e si rendono raggiungibili solo in finestre temporali definite, con credenziali separate. Niente accesso continuo significa niente cancellazione di massa.
- Distribuzione e prova. Copie multiple, geograficamente distribuite, e — soprattutto — ripristini testati periodicamente, non solo job di backup che si chiudono “verde”.
Sono gli stessi principi che la continuità operativa e la conformità (NIS2 in testa) ormai pretendono: non basta dichiarare di avere un backup, bisogna poter dimostrare che il ripristino funziona.
Il nostro punto di vista
Progettiamo la protezione del dato partendo dall’obiettivo, non dallo storage: quanto downtime l’azienda può sostenere e quanto dato può permettersi di perdere. Da lì costruiamo architetture di disaster recovery con obiettivi di ripristino — RTO e RPO — definiti, e soprattutto provati: nei progetti che seguiamo il ripristino è una procedura collaudata, con tempi misurati, non una speranza.
Perché l’immutabilità e l’isolamento reggano servono anche occhi sempre aperti: il nostro SOC · Smart Care presidia rilevamento e risposta, così un’anomalia sui sistemi di backup diventa un allarme e non una scoperta a disastro avvenuto.
Il ransomware ha spostato il campo di gioco dalla prevenzione alla resilienza: si dà ormai per scontato che, prima o poi, qualcosa passi. Vince chi, quel giorno, può rimettere in produzione dati puliti in fretta — e l’ha già verificato.