Salta al contenuto
Novità Data breach NIS2 esfiltrazione dati incident response NIS2 ransomware riservatezza

Estorsione senza cifratura: il rischio migra dalla disponibilità alla riservatezza e confonde le metriche

Estorsione senza cifratura: il rischio migra dalla disponibilità alla riservatezza e confonde le metriche

In sintesi

Il panorama delle minacce cyber è cambiato: l'estorsione si basa sempre più sul furto di dati senza cifratura, spostando la natura dell'incidente dalla disponibilità alla riservatezza. Questo cambiamento qualifica diversamente gli incidenti, disallinea le metriche di sicurezza e complica gli obblighi di notifica, specialmente sotto la Direttiva NIS2. Le statistiche attuali sottostimano la reale portata di questi attacchi, richiedendo un adattamento nella valutazione e gestione del rischio.

Contesto

Per quindici anni il ransomware si è identificato con il blocco dei sistemi e la richiesta di riscatto, un impatto chiaro sulla disponibilità. Oggi, la tattica è migrata verso l'estorsione basata sul solo furto di dati, senza cifratura. Questa non è solo una nuova tattica criminale, ma una sostanziale riclassificazione dell'incidente, che passa dalla categoria della disponibilità a quella della riservatezza. Questo disallineamento rende inefficaci le metriche pubbliche, complica la decorrenza degli obblighi di notifica e crea un doppio binario regolatorio per molte organizzazioni. Secondo i dati trimestrali di Coveware, nel secondo trimestre 2025 l'esfiltrazione dati ha avuto un ruolo nel 74 per cento dei casi gestiti, e il furto di dati ha superato la cifratura come leva estorsiva primaria. Altre rilevazioni indicano il 77 per cento di intrusioni con esfiltrazione, in crescita rispetto al 57 per cento del 2024. Tuttavia, l'estorsione encryptionless come modello autonomo ha un basso tasso di successo: nel terzo trimestre 2025, il tasso di pagamento per la sola esfiltrazione era del 19 per cento, salito poi al 25 per cento nel quarto trimestre, restando su livelli storicamente contenuti. I tassi di pagamento complessivi sono scesi al 23 per cento nel terzo trimestre e al 20 per cento nel quarto. La quinta campagna di esfiltrazione di massa del gruppo CL0P, che ha sfruttato una vulnerabilità zero-day in Oracle E-Business Suite, ha confermato questa perdita di efficacia economica, pur sottraendo molti dati. Il report annuale di Kaspersky sul ransomware nel 2026 ha mostrato un calo di organizzazioni colpite nel 2025, ma questo è in parte un artefatto di classificazione, poiché gli attacchi di sola esfiltrazione spesso non sono conteggiati come ransomware. Il rischio non diminuisce, ma cambia casella e viene misurato con strumenti diversi o non misurato affatto. ACN, nell'Operational Summary di marzo 2026, ha registrato 436 eventi cyber, ma 313 incidenti a impatto confermato (+81 per cento rispetto a febbraio), attribuendo l'aumento alla piena operatività degli obblighi di notifica NIS2 e non a un'esplosione degli attacchi. Tra le minacce prevalenti del mese figurano l'esposizione di dati e la violazione dei livelli di servizio attesi.

Perché conta

Questo spostamento è cruciale per chi tratta dati personali e per la compliance, poiché un attacco di esfiltrazione dati senza cifratura non compromette la disponibilità dei sistemi, ma viola direttamente la riservatezza dei dati. Questo attiva obblighi specifici di gestione e notifica di incidenti. La Direttiva NIS2, recepita in Italia con il decreto legislativo 4 settembre 2024, n. 138, definisce l'incidente significativo come l'evento che compromette in modo rilevante la disponibilità, l'integrità o la riservatezza. La Determinazione ACN n. 379907/2025 traduce questa tripartizione in tipologie di incidente notificabili, come la perdita di riservatezza verso l'esterno di dati digitali (IS-1) per i soggetti importanti. Non riconoscere questa migrazione del rischio può portare a una sottostima degli incidenti reali e al mancato rispetto degli obblighi di notifica, con conseguenti implicazioni legali e reputazionali per l'organizzazione. Inoltre, le metriche tradizionali non catturano più la vera portata del fenomeno, rendendo difficile una corretta valutazione del rischio e l'allocazione delle risorse di sicurezza.

Cosa fare

  • Revisionare i piani di risposta agli incidenti per includere scenari di esfiltrazione dati senza cifratura, con particolare attenzione alla violazione della riservatezza.
  • Comprendere e applicare gli obblighi di notifica previsti dalla Direttiva NIS2 per incidenti che compromettono la riservatezza (come IS-1).
  • Adattare le valutazioni del rischio per considerare l'esfiltrazione dati come una minaccia primaria, anche in assenza di cifratura.
  • Implementare strumenti e processi per il monitoraggio dei leak site e dei portali criminali al fine di rilevare la pubblicazione di dati esfiltrati.
  • Formare il personale sulla corretta classificazione degli incidenti, distinguendo tra impatti sulla disponibilità e sulla riservatezza.

Cosa evitare

  • Non considerare l'estorsione basata sulla sola esfiltrazione dati come un incidente di minore gravità.
  • Affidarsi esclusivamente a metriche tradizionali sul ransomware che non conteggiano gli attacchi encryptionless.
  • Sottostimare il rischio di violazione della riservatezza dei dati.
  • Non adattare i processi di notifica agli obblighi NIS2 per i diversi tipi di incidente.

Implicazioni pratiche

Le organizzazioni devono aggiornare la loro comprensione delle minacce cyber e degli obblighi di compliance, spostando il focus dalla sola disponibilità alla crescente importanza della riservatezza dei dati. La sottostima degli incidenti di sola esfiltrazione espone a rischi legali, regolatori e reputazionali significativi, evidenziando la necessità di procedure di rilevamento e notifica più sofisticate e aderenti alle nuove normative.

Azioni da fare

  • Aggiornare le procedure di gestione degli incidenti per includere la rilevazione, analisi e risposta all'esfiltrazione di dati senza cifratura.
  • Formare il personale coinvolto nella gestione degli incidenti e nella compliance sugli specifici obblighi di notifica NIS2 per la perdita di riservatezza (IS-1).
  • Riesaminare e calibrare le metodologie di analisi del rischio per riflettere la migrazione del rischio verso la violazione della riservatezza dei dati.
  • Integrare il monitoraggio proattivo delle minacce (es. leak site, forum criminali) per identificare la potenziale pubblicazione di dati aziendali.

Errori da evitare

  • Continuare a classificare un incidente come 'ransomware' solo in presenza di cifratura dei sistemi.
  • Ignorare la notifica di incidenti di sola esfiltrazione dati, supponendo che non abbiano lo stesso impatto regolatorio di un blocco operativo.
  • Basare le decisioni di investimento in sicurezza e le strategie di difesa su statistiche obsolete che non riflettono la realtà delle minacce attuali.

Domande di self-assessment

  • I nostri piani di risposta agli incidenti sono adeguatamente strutturati per gestire un attacco di sola esfiltrazione di dati senza cifratura?
  • Siamo in grado di rilevare e classificare tempestivamente una perdita di riservatezza dei dati (IS-1 NIS2) e avviare il processo di notifica nei tempi richiesti?
  • Le nostre metriche interne e le nostre valutazioni del rischio riflettono accuratamente il rischio crescente legato alla violazione della riservatezza, indipendentemente dalla cifratura?
  • Il nostro personale chiave è consapevole delle implicazioni regolatorie e operative del cambiamento nella natura degli incidenti cyber (da disponibilità a riservatezza)?

Riferimenti

Normativa nazionale: Direttiva NIS2 · Decreto Legislativo 4 settembre 2024, n. 138 · Determinazione ACN n. 379907/2025

Leggi l'articolo originale su ICT Security Magazine ↗

Leggi anche