Alle Artikel
Aziende
Misure e strumenti
Rischi

Attacco informatico: cosa fare?

In caso di sospetto attacco informatico contro una PMI, è fondamentale reagire rapidamente. Un intervento immediato può contribuire a limitare l’impatto dell’attacco e ad evitare ulteriori danni. Questo articolo spiega i principali passaggi da seguire per contenere un incidente informatico.

Gli attacchi informatici spesso iniziano ben prima che i loro effetti diventino visibili, ad esempio tramite la cifratura dei dati o la richiesta di un riscatto.

Molto spesso, i cybercriminali accedono prima al sistema per analizzarne l’infrastruttura IT. I seguenti segnali possono indicare un attacco informatico:

  • Rallentamento inspiegabile delle prestazioni del sistema: il computer funziona lentamente e le ventole si attivano frequentemente, anche in assenza di attività intense.
  • Accesso ai sistemi più lento e messaggi di errore frequenti: apertura rallentata di file e applicazioni, comparsa regolare di messaggi di errore.
  • Connessione internet rallentata e traffico di rete insolito: la velocità di connessione diminuisce improvvisamente e il pannello del router mostra un traffico in uscita insolitamente elevato.
  • Comportamenti anomali del computer: il cursore del mouse si muove da solo, finestre che si aprono e si chiudono senza l’intervento dell’utente.
  • Avvisi dell’antivirus: il software antivirus rileva e/o blocca un file sospetto.
  • Errori relativi agli aggiornamenti di Windows o dell’antivirus: messaggi che segnalano il malfunzionamenti o la disattivazione di aggiornamenti o programmi antivirus (es. Microsoft Defender).
  • Avvisi di tentativi di accesso sospetti: ricezione di notifiche relative a dispositivi sconosciuti o accessi da località insolite (es. Microsoft 365, account Google).
  • Richieste di autenticazione a due fattori: ricezione di codici di conferma tramite SMS o app di autenticazione, anche in assenza di tentativi di accesso da parte vostra o dei vostri collaboratori.
  • Problemi con la password: la password non viene accettata nonostante sia stata inserita correttamente.
  • Pagina iniziale del browser modificata o comparsa di pop-up: la homepage è cambiata senza intervento dell’utente o compaiono improvvisamente finestre pubblicitarie.

 

Se si verificano più di questi segnali, è necessario agire immediatamente. Ecco le misure da adottare:

  • Disconnettere tutti i sistemi da internet: scollegate immediatamente i dispositivi interessati dalla rete e disattivate anche il Wi-Fi per evitare la diffusione dell’attacco.
  • Informare i responsabili competenti: avvisate la persona incaricata della sicurezza informatica, interna o esterna, e se esiste, il team di gestione delle emergenze.
  • Se necessario, contattare un fornitore di cybersicurezza: se non disponete delle competenze necessarie, rivolgetevi a un fornitore specializzato (Security Incident Response Service) per gestire l’incidente e analizzare la situazione.
  • Informare i collaboratori: assicuratevi che tutti i dipendenti siano informati dell’incidente e delle misure da adottare.
  • Contattare l’assicurazione cyber: se avete sottoscritto un’assicurazione cyber, contattatela immediatamente. L’assicuratore può assistervi nella gestione dell’incidente tramite i propri partner specializzati.
  • Segnalare l’attacco alla polizia: informate la polizia dell’attacco per permettere l’apertura di un’indagine penale.
  • Obbligo di notifica per le infrastrutture critiche: dal 1° aprile 2025, i gestori di infrastrutture critiche devono segnalare ogni incidente informatico, incluso un attacco ransomware, all’Ufficio federale per la cybersicurezza (UFCS) entro 24 ore dalla scoperta.
  • Notifica volontaria all’Ufficio federale per la cibersicurezza: una volta ripristinato l’accesso ai vostri sistemi, segnalate l’incidente tramite il modulo disponibile sul sito dell’UFCS.
  • Notifica all’IFPDT: secondo l’articolo 24 della nuova Legge federale sulla protezione dei dati (nLPD), in vigore dal 1° settembre 2023, ogni violazione della sicurezza dei dati deve essere notificata all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) se comporta un rischio elevato per le persone interessate.

 

Questo obbligo riguarda privati, aziende e autorità federali. La notifica deve essere effettuata il prima possibile tramite il seguente modulo:

https://databreach.edoeb.admin.ch/report 

Se sono coinvolti dati personali, l’azienda deve inoltre rispettare il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea, a seconda della propria sede.

Grazie a una reazione rapida e coordinata, è possibile limitare i danni e adottare le misure necessarie per mettere in sicurezza i sistemi e chiarire la situazione.

 

Per maggiori informazioni

Attacco informatico – E adesso? Lista di controllo per i CISO 

Mettete alla prova le vostre conoscenze con il nostro quiz sulla cybersicurezza!

Al quiz

Wir verwenden Cookies, um unsere Website nutzerfreundlich und zuverlässig bereitstellen zu können, unter anderem durch Erfolgs- und Reichweitenmessung. Weitere Informationen finden Sie in unserer Datenschutzerklärung.