DeafNews
// 1 ZERO-DAY · 6 CVE · 5 EXPLOIT NELLE ULTIME 24H
Ransomware

Ransomware: Europa prima regione al mondo con +55% attacchi

Published: Updated: By DeafSuite team 8 min read Ransomware
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
L'Europa supera gli USA come target preferito del ransomware: 684 attacchi in quattro mesi, +55% sul 2025. La supply chain è il nuovo vettore dominante.

Il 25 giugno 2026 Black Kite rende pubblico il primo report dedicato esclusivamente all'Europa: 684 attacchi ransomware nei primi quattro mesi dell'anno, con un aumento del 55,1% rispetto ai 441 del primo quadrimestre 2025. Il dato supera persino i 643 attacchi registrati nell'intero primo semestre 2025. La soglia non è solo numerica: per la prima volta l'Europa sorpassa il trend storico di Nord America e Regno Unito come destinazione preferita dei gruppi ransomware attivi.

Punti chiave
  • 684 attacchi ransomware in Europa nel T1 2026, +55,1% year-over-year; la cifra supera l'intero primo semestre 2025
  • Il 68,5% degli attacchi si concentra in cinque mercati: Germania, UK, Francia, Italia, Spagna; l'Italia cresce del 92%, la Francia del 119%
  • 64 organizzazioni europee colpite tramite terze parti: il 53% deriva dal singolo incidente Miljödata in Svezia del 23 agosto 2025
  • L'ecosistema RaaS è frammentato da 60 gruppi nel 2023 a 150 nel 2026; Qilin è presente in 26 dei 31 paesi analizzati

Perché l'Europa adesso: saturazione americana e AI al servizio dei target

Ferhat Dikbiyik, chief research and intelligence officer di Black Kite, spiega il ribaltamento geografico con tre fattori convergenti. Il primo è la saturazione del mercato statunitense: «Il mondo assorbe quasi la metà di tutte le vittime di ransomware. Canada e Regno Unito si sono scambiati il secondo posto. L'Europa era un gradino indietro. Ora sta cambiando». La seconda forza è l'intelligenza artificiale applicata alla ricerca dei bersagli: «La loro stessa ricerca target assistita dall'AI sta iniziando a puntare sull'Europa».

Il terzo elemento è la natura stessa delle economie europee. Dikbiyik sintetizza: «I log dei stealer ci sono. Le vulnerabilità non patchate ci sono. I soldi ci sono. I paesi più piccoli possono avere difese più deboli, ma le grandi economie offrono il pacchetto completo: ricchezza ed esposizione insieme. La domanda non è perché i gruppi ransomware prendano di mira le grandi potenze UE; è perché non dovrebbero».

I numeri confermano la concentrazione sui mercati maturi. Germania 370 incidenti (17,9%), Regno Unito 347 (16,8%), Francia 255 (12,3%), Italia 240 (11,6%), Spagna 203 (9,8%). I picchi percentuali più ripidi si registrano invece in economie secondarie: Turchia +433%, Romania +333%, Polonia +217%. I ricercatori di Black Kite però non rilevano un pattern significativo verso paesi più piccoli: la logica resta quella del leverage massimo, non dell'opportunismo su difese deboli.

La leva della supply chain: un attacco, molteplici vittime

Il report identifica la supply chain come vector di attacco primario in espansione. Nel periodo gennaio 2025-aprile 2026, 64 organizzazioni europee sono state coinvolte in incidenti ransomware tramite compromissione di terze parti. Di queste, il 53% — 34 organizzazioni — deriva dal singolo attacco a Miljödata del 23 agosto 2025, un provider di servizi ambientali svedese. L'incidente ha esposto dati di circa 200 comuni svedesi e oltre 1 milione di individui.

Il caso Miljödata non è aneddotico. È il prototipo di un meccanismo che Dikbiyik descrive come caratteristico dell'evoluzione recente: «Alcuni degli incidenti ransomware più significativi in Europa sono definiti meno dalla vittima iniziale che dalla scala del loro impatto downstream attraverso un ecosistema interconnesso». La frammentazione dell'ecosistema RaaS — da 60 gruppi tracciati nel 2023 a 150 nel 2026 — amplifica il fenomeno: più attori indipendenti competono per identificare vendor critici con accesso a molteplici vittime a valle, massimizzando il ritorno dell'investimento dell'attacco.

«Tre forze stanno convergendo sulle organizzazioni europee contemporaneamente: il ransomware sta accelerando, le supply chain stanno diventando un percorso di attacco primario, e le normative stanno ponendo maggiore enfasia sul rischio di terze parti» — Dr. Ferhat Dikbiyik, Chief Research and Intelligence Officer, Black Kite

Settori nel mirino: manifatturiero e servizi IT come ponte di accesso

Il settore manifatturiero assorbe oltre il 25% degli attacchi secondo Dark Reading (27,9% nel comunicato primario di Black Kite), seguito dai servizi professionali, scientifici e tecnici al 17,8% — in particolare provider IT. La scelta non è casuale. Dikbiyik: «Ogni produttore si trova dentro una supply chain fisica più grande. Disrompere una linea di produzione fisica dà all'attaccante una leva enorme al tavolo delle trattative». Per i servizi IT, la logica è duale: «Queste aziende detengono accesso diretto ai sistemi e ai dati dei clienti. Violane una, e ogni cliente che serve è esposto».

L'Italia, con il suo tessuto industriale frammentato e la forte presenza di PMI integrate in catene di fornitura globali, registra un aumento del 92% che la colloca al quarto posto assoluto per numero di incidenti. La Francia, con +119%, supera la crescita italiana in percentuale pur restando terza per volumi assoluti. La Spagna cresce del 77%. Tutti e tre i paesi condividono un profilo: economie manifatturiere densamente interconnesse, con ecosistemi di terze parti estesi e spesso opachi.

Il paradosso della visibilità: NIS2 e DORA richiedono ciò che le aziende non hanno

Il report di Black Kite si colloca in un momento di intensa attività normativa europea. NIS2 e DORA impongono responsabilità estese sui fornitori, rendendo la visibilità di terze, quarte e quinte parti un requisito di compliance, non solo di sicurezza. Ma la distanza tra il requisito e la capacità operative è il punto critico. Dikbiyik: «Non puoi gestire ciò che non vedi, e la maggior parte delle aziende non vede oltre i propri vendor diretti. Raramente hanno un inventario delle loro quarte e quinte parti. Gli threat actor mappano quelle connessioni più profonde con l'open source intelligence».

Il paradosso è evidente: le normative più severe creano un falso senso di sicurezza se la visibilità si arresta al perimetro aziendale. Il rischio di attacchi a cascata attraverso vendor concentrati — come Miljödata nel settore pubblico svedese — espone organizzazioni mai direttamente bersagliate. La compliance senza visibilità supply chain diventa una dichiarazione di intenti priva di sostanza operativa.

Cosa fare adesso

  • Mappare esplicitamente quarte e quinte parti: la fonte documenta che gli attaccanti usano open source intelligence per tracciare connessioni supply chain più profonde di quanto facciano le vittime
  • Valutare la concentrazione del rischio vendor: il caso Miljödata mostra che un singolo provider può compromettere 34 organizzazioni downstream; identificare vendor con accesso multiplo è prioritario
  • Monitorare i settori manifatturiero e servizi IT come punti di ingresso: oltre il 45% degli attacchi si concentra in questi due settori, con logiche di leva diverse ma convergenti
  • Considerare l'ecosistema RaaS frammentato come moltiplicatore di esposizione: 150 gruppi attivi implicano più attori con capacità di identificare gli stessi punti deboli supply chain

L'Europa come laboratorio: quando la difesa normativa incontra l'offensiva adattiva

Il report di Black Kite non descrive un'emergenza improvvisa ma una ricalibrazione strutturale. L'Europa non è diventata vulnerabile overnight; è diventata ottimale. L'intersezione di ricchezza, esposizione tecnica, complessità supply chain e ritardo relativo nella visibilità di terze parti offre ai gruppi ransomware — ora più numerosi e AI-assisted — un target efficiente. Il 171 incidenti di media mensile nel periodo gennaio 2025-aprile 2026 suggerisce che il T1 2026 non è un outlier ma un nuovo regime.

La domanda per le organizzazioni europee non è se saranno prese di mira, ma se il loro investimento in sicurezza ha tenuto il passo con quello degli attaccanti nella mappatura delle connessioni nascoste. Le normative NIS2 e DORA hanno alzato lo standard; il test è se lo standard verrà applicato dove il report mostra che gli attaccanti già operano: oltre il confine del vendor diretto, nelle pieghe della supply chain che le aziende non sanno di avere.

Per approfondire

  • Europa supera USA: 684 attacchi ransomware in 4 mesi
  • Bajaj Auto, il ransomware che non si racconta: cosa c'è dietro la "mitigazione
  • SonicWall: patchata la CVE, ma il rischio persiste nei 14 firewall su 14

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Fonti e riferimenti
  1. darkreading.com
  2. nvd.nist.gov
  3. cisa.gov
  4. prnewswire.com