Ransomware 2024 in calo perché il rischio per le aziende resta altissimo

Un recente report di FinCEN (Financial Crimes Enforcement Network, Dipartimento del Tesoro USA), pubblicato il 4 dicembre 2025, offre una fotografia chiara dell’economia del ransomware. Il quadro che emerge è doppio: nel 2024 gli incidenti segnalati calano di poco rispetto al picco del 2023, mentre i pagamenti riportati scendono in modo più marcato. Tradotto per chi gestisce infrastrutture digitali, siti web aziendali ed e-commerce: la pressione non è affatto finita, ma la risposta delle difese e delle forze dell’ordine sta lasciando il segno.

I numeri che contano

FinCEN ha analizzato le segnalazioni Bank Secrecy Act (BSA) inviate da istituti finanziari tra il 1 gennaio 2022 e il 1 febbraio 2025, relative a incidenti avvenuti dal 1 gennaio 2022 al 31 dicembre 2024.
Nel triennio dei fatti osservati risultano:

• 7.395 segnalazioni collegate a
• 4.194 incidenti ransomware
• per oltre 2,1 miliardi di dollari in pagamenti riportati.

Il confronto storico è ancora più impressionante: nel periodo 2013-2021 FinCEN aveva raccolto 3.075 report per circa 2,4 miliardi di dollari. In pratica, in soli tre anni i pagamenti segnalati hanno quasi raggiunto l’ordine di grandezza dei nove anni precedenti.

Nota importante: questi dati non rappresentano “tutto il ransomware nel mondo”, ma ciò che viene identificato e segnalato tramite il sistema BSA. In più, alcune segnalazioni possono includere transazioni tentate o valori riportati con margini di approssimazione tipici delle comunicazioni operative. Sono quindi numeri solidi come trend, ma non un censimento perfetto del fenomeno.

2023 record, 2024 in flessione

Secondo l’analisi:

• 2023: 1.512 incidenti e circa 1,1 miliardi di dollari in pagamenti, +77% rispetto al 2022.
• 2024: 1.476 incidenti e circa 734 milioni di dollari.

Qui vale la pena essere precisi:

• la riduzione degli incidenti è contenuta (circa -2% rispetto al 2023);
• la riduzione dei pagamenti aggregati è invece molto più netta.

È un segnale di possibile maggiore efficacia di disruption, prevenzione e risposta, ma non un’indicazione che il ransomware stia scomparendo.

Pagamenti “più comuni” sotto i 250.000$: un segnale per le PMI

Un dettaglio particolarmente utile per le aziende medio-piccole: tra il 2022 e il 2024, la fascia di pagamento più frequente è sotto i 250.000 dollari. Le mediane indicate da FinCEN sono:

• 124.097$ nel 2022
• 175.000$ nel 2023
• 155.257$ nel 2024

Questo suggerisce che il ransomware continua a colpire con forza anche organizzazioni che non hanno budget da multinazionale — inclusi contesti retail e servizi online.

I settori più impattati

Per numero di incidenti segnalati nel triennio, ai primi posti troviamo manufacturing, servizi finanziari e sanità, seguiti da retail e servizi legali. Anche sul piano economico, i pagamenti aggregati restano molto elevati in questi comparti.

Per chi lavora nel digitale questo è un promemoria chiaro: e-commerce e filiere di fornitura restano superfici di attacco appetibili, sia per l’impatto diretto sul business sia per l’effetto domino lungo la catena dei fornitori.

Perché il 2024 rallenta?

FinCEN collega parte della flessione 2024 alle grandi operazioni di contrasto contro gruppi ransomware di primo piano. In particolare:

• la disruption di ALPHV/BlackCat annunciata a dicembre 2023, con strumenti di decrittazione messi a disposizione per molte vittime;
• l’operazione internazionale contro LockBit a febbraio 2024.

Queste azioni dimostrano che la cooperazione tra forze dell’ordine può incidere. Ma il modello ransomware-as-a-service tende a frammentarsi e rigenerarsi rapidamente, redistribuendo affiliati, infrastrutture e tecniche.

Cosa significa per chi gestisce un sito o un e-commerce

Il ransomware spesso non entra “dal nulla”. Le catene d’attacco tipiche includono:

• vulnerabilità non patchate su CMS, plugin, temi o server;
• credenziali deboli o riutilizzate;
• phishing e furto di identità digitale;
• accessi venduti da initial access broker.

Per un sito business-critical, il danno non è solo tecnico: fermo operativo, perdita di fiducia, impatto legale e reputazionale.

Le 5 priorità pratiche per ridurre il rischio

Ecco le misure più efficaci e realistiche per aziende e PMI:

1. Backup 3-2-1
   Almeno una copia offline o immutabile. E soprattutto: test di ripristino periodici.
2. Aggiornamenti rapidi
   CMS, plugin, librerie, sistema operativo e pannelli di gestione. Le vulnerabilità note restano una delle vie più sfruttate.
3. MFA ovunque
   Admin del sito, email aziendale, cloud, accessi remoti.
4. Minimo privilegio
   Riduci gli account admin, rimuovi utenti inattivi, separa ruoli editoriali e tecnici.
5. Monitoraggio e log
   Alert su login anomali, creazione improvvisa di nuovi admin, modifiche sospette ai file di sistema.

Il dato FinCEN non va letto come “il ransomware sta sparendo”, ma come un mercato criminale maturo che reagisce alle contromisure e cerca nuove strade.
Nel 2024 vediamo un lieve calo degli incidenti segnalati e un calo più consistente dei pagamenti riportati: segnali incoraggianti, ma non risolutivi. I numeri restano alti e il rischio per siti, e-commerce e infrastrutture digitali continua a essere concreto.

Per questo, investire oggi in hardening, prevenzione e piani di risposta non è un costo di sicurezza: è continuità del business.

Non aspettare l’incidente: rafforza il tuo sito adesso. Scopri i servizi di Sito Web Sicuro

Fonte: FinCEN Issues Financial Trend Analysis on Ransomware | FinCEN.gov