Cybersecurity / Threat Intelligence

    Allarme ransomware Qilin: cosa devono fare subito le PMI italiane

    Il CSIRT Italia conferma: il gruppo Qilin sta colpendo sistematicamente le PMI. Scopri i vettori di attacco, i settori più a rischio e le 5 azioni concrete per proteggere la tua azienda.

    9 Giugno 2026CybersecurityTempo di lettura: 8 min
    Allarme ransomware Qilin: attacchi contro le PMI italiane e strategie di difesa

    Il 1° giugno 2026 il CSIRT Italia — il team dell'Agenzia per la Cybersicurezza Nazionale che monitora gli incidenti informatici sul territorio — ha pubblicato un bollettino con un messaggio chiaro: il gruppo ransomware Qilin sta colpendo sistematicamente le PMI italiane, e gli attacchi sono in aumento. Non si tratta più di un fenomeno episodico: è una campagna strutturata, automatizzata e diretta verso un bersaglio preciso, l'azienda media italiana, di solito tra i 10 e i 100 dipendenti, manifatturiera o di servizi.

    Se gestisci una PMI, questo articolo ti serve per tre cose: capire chi è davvero Qilin, sapere come entra nelle aziende (perché lo fa quasi sempre dalle stesse porte) e portarti a casa una checklist concreta di 5 azioni da fare entro 30 giorni per ridurre drasticamente il rischio.

    Chi è Qilin e perché preoccupa l'Italia

    Qilin è un'organizzazione cybercriminale che opera con il modello Ransomware-as-a-Service (RaaS): sviluppa il software malevolo e lo "affitta" a una rete di affiliati, che eseguono gli attacchi e condividono i ricavi del riscatto. È una vera industria, con divisione del lavoro, marketing nei forum del dark web e leak site pubblici dove vengono pubblicati i dati delle vittime che non pagano.

    I numeri che fotografano la dimensione del problema:

    • Nel 2025 Qilin ha superato 1.000 aziende colpite a livello globale.
    • A marzo 2026 ha registrato il picco mensile di 131 attacchi, un ritmo che nessun altro gruppo ransomware era mai riuscito a mantenere così a lungo.
    • L'Italia è oggi sesta al mondo per attacchi ransomware subiti (162 nel 2025), preceduta solo da Stati Uniti, Regno Unito, Germania, Canada e Francia. Tre gruppi — Sarcoma, Qilin e Akira — sono responsabili di oltre un terzo degli attacchi.
    • Nel solo mese di maggio 2026, almeno 8 aziende italiane sono finite nei leak site di gruppi ransomware (Qilin, TheGentlemen, SafePay), tra cui PMI manifatturiere, un'azienda alimentare e uno studio professionale.

    Il punto centrale del bollettino del CSIRT è proprio questo: non sono più i grandi nomi a finire nel mirino, ma le aziende che gli attaccanti percepiscono come più facili da compromettere.

    Come entra Qilin nelle PMI: i due vettori principali

    Il bollettino del CSIRT è esplicito su come Qilin ottiene l'accesso iniziale alle infrastrutture aziendali. Sono due vettori ricorrenti, ed entrambi sfruttano debolezze che si potrebbero chiudere con interventi ordinari.

    1. Vulnerabilità note su apparati perimetrali esposti

    Qilin sfrutta in modo sistematico falle conosciute su dispositivi connessi a Internet, in particolare:

    • appliance MDM (Mobile Device Management) Ivanti;
    • sistemi Fortinet (firewall, VPN, gateway).

    La parola chiave è "note": non si tratta di exploit segreti o zero-day, ma di vulnerabilità per cui le patch esistono già — spesso da mesi. Il problema è che molte PMI non applicano gli aggiornamenti firmware con regolarità, perché temono malfunzionamenti o perché non hanno una procedura strutturata per farlo.

    Il risultato: un firewall non aggiornato è una porta aperta scritta con cartello luminoso.

    2. Credenziali VPN compromesse

    Il secondo vettore principale è il furto o l'acquisizione di credenziali di accesso ai servizi VPN aziendali. Qilin le ottiene in due modi:

    • attacchi di brute force (tentativi automatizzati di indovinare la password) contro VPN senza autenticazione multifattore;
    • acquisto di credenziali già rubate sui marketplace del dark web, gestiti dagli Initial Access Broker (IAB), figure specializzate proprio nel rivendere accessi pronti all'uso.

    Una VPN protetta solo da username e password è oggi uno dei rischi più sottovalutati: con la diffusione del lavoro ibrido, è diventata l'autostrada principale di chi attacca. Senza MFA, basta una credenziale debole o riciclata da un'altra violazione perché un attaccante entri in azienda come se fosse un dipendente.

    I settori italiani più colpiti

    I dati 2025–2026 mostrano una concentrazione molto chiara delle vittime italiane. Il manifatturiero è di gran lunga il bersaglio principale, seguito dal comparto tecnologico e dalla sanità.

    Settore Attacchi ransomware Italia 2025
    Manifatturiero 27
    Tecnologico (IT/servizi) 16
    Sanità 7
    Altri settori (food, servizi professionali, distribuzione) restanti casi

    Perché proprio il manifatturiero? Perché ha alcune caratteristiche che lo rendono estremamente attaccabile e contemporaneamente molto pagante per il ransomware:

    • forti dipendenze da gestionali ERP che, se bloccati, fermano la produzione;
    • presenza di sistemi OT/industriali integrati con la rete IT, spesso senza segmentazione;
    • pressione su tempi di consegna che rende altissimo il costo di ogni ora di fermo;
    • catene di fornitura complesse, dove un attacco può propagarsi a clienti e partner.

    Tra le vittime italiane confermate nei primi mesi del 2026 figurano realtà come Softlab, Cressi, Colacem, Fluorsid, Casadei e Netalia: nomi che mostrano quanto trasversale sia la minaccia, dal settore industriale a quello dei servizi tecnologici.

    Perché le PMI sono il bersaglio preferito

    Una convinzione diffusa nelle PMI italiane suona più o meno così: "Siamo troppo piccoli per essere interessanti." Nel 2026 questa frase non è più vera, ed è anzi parte del problema.

    Gli attacchi di Qilin (e di gruppi simili) non sono mirati in senso classico. Sono automatizzati: bot che scansionano costantemente Internet alla ricerca di firewall vulnerabili e VPN deboli, indipendentemente da chi ci sia dietro. I criminali non scelgono chi colpire, scelgono chi è facile. Una PMI con un firewall non aggiornato e una VPN senza MFA è esattamente la definizione di facile.

    Il secondo motivo è economico: le PMI tendono a pagare il riscatto più velocemente delle grandi aziende, perché possono permettersi meno giorni di fermo, hanno meno potere contrattuale verso il provider IT e raramente dispongono di un piano di risposta strutturato.

    5 azioni concrete da fare entro 30 giugno 2026

    Queste sono le misure di base che oggi separano un'azienda compromessa da una protetta. Non richiedono budget straordinari: richiedono un piano e qualcuno che lo esegua.

    1. Aggiornare immediatamente firewall, VPN e apparati perimetrali

    Verifica il firmware di ogni dispositivo perimetrale, in particolare Ivanti e Fortinet se ne hai in produzione, e applica le patch più recenti. Stabilisci una procedura di aggiornamento mensile, con responsabilità assegnata a una persona precisa. Se non sai chi è oggi quella persona, hai già trovato il problema.

    2. Attivare l'autenticazione multifattore (MFA) su tutti gli accessi VPN

    Nessuna VPN dovrebbe essere accessibile con sole username e password. L'MFA — un codice generato da app, un token hardware, una notifica push — abbassa di circa il 99% il rischio di accesso non autorizzato anche se le credenziali vengono rubate.

    3. Implementare backup immutabili e testati

    "Avere i backup" non basta. Servono backup:

    • immutabili (non possono essere cancellati o cifrati nemmeno da un amministratore compromesso);
    • off-site o su segmento di rete isolato;
    • testati periodicamente con un ripristino reale, non solo un controllo del log.

    Un backup mai testato è una promessa, non una garanzia. Molte PMI scoprono solo dopo l'attacco che il loro backup non si ripristina, o impiega settimane.

    4. Segmentare la rete tra uffici, produzione e sistemi critici

    Una rete piatta significa che, una volta entrato, l'attaccante si muove liberamente. La segmentazione crea compartimenti stagni: anche se Qilin entra dalla VPN, non può raggiungere automaticamente i sistemi di produzione o i server contabili. È uno degli investimenti con il miglior rapporto costo/beneficio.

    5. Monitorare i log e gli accessi anomali

    L'attacco non è mai istantaneo: Qilin tipicamente resta nella rete diversi giorni prima di cifrare i dati, fase chiamata dwell time. In quei giorni produce segnali: accessi VPN da geografie inusuali, login fuori orario, comandi di esfiltrazione, disabilitazione di antivirus. Un sistema di monitoraggio centralizzato dei log (anche un SIEM gestito) permette di accorgersene prima che parta la cifratura.

    Cosa fare se l'attacco è già in corso

    Se sospetti che la tua azienda sia compromessa — sistemi rallentati, file inaccessibili, comportamenti strani, richieste di riscatto — ci sono tre regole d'oro:

    • Non spegnere i sistemi immediatamente: alcuni dati forensi vengono persi solo perché si è agito d'impulso. Isola la macchina dalla rete, ma non spegnere.
    • Non pagare il riscatto come prima opzione: oltre il 30% di chi paga non riceve la chiave funzionante, e il pagamento finanzia la prossima campagna. Il pagamento può inoltre avere implicazioni legali.
    • Notifica obbligatoria: dal gennaio 2026, per le entità soggette alla direttiva NIS2, è obbligatorio notificare gli incidenti significativi al CSIRT Italia entro 24 ore (pre-allarme) e 72 ore (notifica dettagliata).

    Il primo numero da chiamare in caso di incidente sospetto non è il riscatto: è un partner di incident response, con un piano già concordato. Avere quel contatto pronto in agenda è già metà della risposta.

    Domande frequenti (FAQ)

    Cos'è il ransomware Qilin?

    Qilin è un'organizzazione cybercriminale che opera con il modello Ransomware-as-a-Service. Sviluppa il software ransomware e lo distribuisce ad affiliati che eseguono gli attacchi. È uno dei gruppi più attivi al mondo nel 2026, con oltre 1.000 aziende colpite nel 2025 e un picco di 131 attacchi nel solo marzo 2026.

    Perché Qilin colpisce le PMI italiane?

    Gli attacchi di Qilin sono prevalentemente automatizzati: scansionano Internet alla ricerca di apparati perimetrali vulnerabili e VPN con autenticazione debole. Le PMI italiane sono spesso percepite come bersagli "facili" perché meno strutturate sul piano della sicurezza, ma pronte a pagare per riprendere l'operatività.

    Quali sono i vettori di attacco principali?

    Il bollettino del CSIRT Italia del 1° giugno 2026 indica due vettori prevalenti: lo sfruttamento di vulnerabilità note su apparati perimetrali esposti (in particolare Ivanti e Fortinet) e la compromissione di credenziali VPN, ottenute via brute force o tramite Initial Access Broker.

    La mia azienda è obbligata a notificare un attacco ransomware?

    Se la tua azienda rientra nel perimetro della direttiva NIS2 (D.Lgs. 138/2024), sì. Dal gennaio 2026 è obbligatoria la notifica al CSIRT Italia entro 24 ore (pre-allarme) e 72 ore (dettagliata). Il GDPR impone inoltre l'obbligo di notifica al Garante in caso di violazione di dati personali entro 72 ore.

    Pagare il riscatto risolve il problema?

    No, nella maggior parte dei casi. Oltre il 30% delle aziende che paga non riceve una chiave di decifratura funzionante, e il pagamento finanzia ulteriori attacchi. Inoltre, in alcune giurisdizioni il pagamento può avere implicazioni legali. La risposta corretta è prevenzione + piano di incident response.

    Quanto costa proteggersi da Qilin?

    Le 5 azioni descritte in questo articolo — patching, MFA, backup immutabili, segmentazione, monitoraggio — sono alla portata di qualsiasi PMI. Il costo dipende dalle infrastrutture esistenti, ma è quasi sempre una frazione del costo di un attacco riuscito, che per una PMI italiana media può superare i 250.000 euro tra fermo produttivo, ripristino e gestione della crisi.

    Conclusione: la finestra di intervento è adesso

    Il bollettino del CSIRT non è un'esercitazione: è un'indicazione operativa. Gli attacchi di Qilin contro le PMI italiane stanno crescendo, e la modalità è ormai prevedibile — il che significa, fortunatamente, che è anche difendibile.

    La maggior parte delle aziende colpite a maggio 2026 non era stata "scelta": era stata trovata. Cambiare quel risultato richiede meno di quanto si pensi, ma richiede che qualcuno se ne occupi davvero, con metodo e scadenze.

    Vuoi sapere se la tua azienda è oggi esposta? Delta Infor offre un check di esposizione perimetrale in 48 ore: scansioniamo il tuo perimetro Internet, identifichiamo apparati vulnerabili, VPN deboli e credenziali aziendali presenti nei leak pubblici, e ti consegniamo un report con le priorità di intervento.

    Delta Infor

    La tua privacy è importante

    Utilizziamo cookie tecnici necessari al funzionamento del sito e, previo tuo consenso, cookie analitici per migliorare la tua esperienza. Per maggiori informazioni consulta la nostra Cookie Policy e l'Informativa Privacy.

    Cookie NecessariSempre attivi

    Essenziali per il funzionamento del sito. Includono autenticazione, sessione e preferenze cookie. Non possono essere disattivati.

    Cookie AnaliticiGoogle Analytics

    Ci aiutano a capire come i visitatori interagiscono con il sito tramite Google Analytics. I dati sono raccolti in forma anonima con IP anonimizzato.

    Cookie di MarketingNon attivi

    Utilizzati per mostrare annunci e contenuti pertinenti ai tuoi interessi. Al momento non sono attivi ma potranno essere introdotti in futuro.