In sintesi: Il classico “virus” nel 2026 è solo il 5% delle minacce. Dominano i trojan (90% delle infezioni), il ransomware (gli incidenti più costosi) e il fileless malware. La difesa si basa su EDR invece di antivirus, email security con sandbox, backup immutabili, segmentazione della rete e formazione dei dipendenti. In caso di infezione: disconnettere immediatamente, non accendere/spegnere, segnalare all’IT, non pagare il riscatto.

Il termine “virus informatico” nelle aziende italiane spesso viene usato come denominazione omnicomprensiva per qualsiasi software dannoso. Tecnicamente però è una categoria ristretta nell’ambito del più ampio concetto di malware — e nel 2026 rappresenta solo una piccola frazione delle minacce reali. Questo articolo analizza il panorama delle minacce e fornisce raccomandazioni concrete per le PMI europee.

Per il contesto più ampio della difesa informatica vedi il pillar Sicurezza informatica dei dati aziendali.

Tipologia di malware: cosa è cosa

Virus (definizione ristretta)

Il significato originale — un programma che si diffonde allegandosi ad altri file e richiede un’azione dell’utente (apertura del file infetto). Il classico virus PC degli anni ‘90 che infettava i file .exe sui floppy disk.

Nel 2026: minaccia marginale. I moderni OS hanno controlli anti-malware, i virus di file vengono per lo più rilevati in fase di scrittura.

Worm

Malware self-propagating — non ha bisogno di un file host, si diffonde da solo tramite vulnerabilità di rete. Esempi classici: WannaCry (2017, sfruttava la vulnerabilità EternalBlue del protocollo SMB), NotPetya (2017, attacco devastante a Maersk).

Nel 2026: dopo WannaCry/NotPetya i sistemi operativi di rete sono meglio aggiornati, ma rimane una minaccia per le infrastrutture legacy (Windows Server 2012, VPN gateway non aggiornati).

Trojan

Mascherato come software legittimo. Il vettore di ingresso più comune nel 2026 — l’utente scarica software “craccato”, un “free PDF converter” o apre un allegato infetto. Il trojan dopo l’esecuzione compie un’azione dannosa (spesso installa altro malware — ransomware, info-stealer).

Sottocategorie:

  • Banker trojan — ruba credenziali bancarie. Esempi: Emotet, TrickBot, QakBot.
  • RAT (Remote Access Trojan) — accesso remoto dell’attaccante al dispositivo.
  • Dropper — installa solo altro malware, di per sé è “pulito”.

Ransomware

Il re delle minacce informatiche nel 2026. Cifra i file sul dispositivo e/o nella rete, richiede un riscatto per la chiave di decifratura. Il ransomware moderno ha spesso una doppia estorsione — se non si paga, i dati vengono pubblicati.

Gruppi ransomware attivi nell’UE nel 2025/2026: LockBit (il più attivo), BlackCat / ALPHV, Cl0p, Royal, Akira. Prendono di mira aziende medie con fatturato 10–100 milioni di EUR.

Danno medio di un incidente ransomware per una PMI europea: 80.000–350.000 EUR.

Spyware e stealer

  • Spyware — raccoglie dati sull’utente (tastiera, screenshot, cronologia del browser).
  • Info-stealer — spyware specializzato nell’esfiltrazione di credenziali. Esempi: RedLine, Vidar, Raccoon. Dopo l’infezione l’attaccante vende le credenziali aziendali sul dark web (tipicamente 5–50 USD per record).

Rootkit

Nasconde la propria presenza a un livello profondo del sistema operativo. Spesso persiste anche dopo la reinstallazione del sistema (rootkit firmware). Il rilevamento richiede strumenti specializzati (Microsoft Defender Offline scan, GMER, Malwarebytes Anti-Rootkit).

Fileless malware

Gira solo in RAM, non ha file sul disco — il classico antivirus non lo rileva. Sfrutta strumenti legittimi del OS (PowerShell, WMI, MSHTA) per operazioni dannose. Nel 2026 rappresenta il 30% degli attacchi avanzati.

Rilevamento: esclusivamente con EDR behavior-based.

Cryptominer

Usa la potenza computazionale dei dispositivi aziendali per il mining di criptovalute (tipicamente Monero) a beneficio dell’attaccante. Sintomi: rallentamento dei dispositivi, aumento del consumo energetico, usura dell’hardware. Meno dannoso del ransomware, ma spesso indicatore di una compromissione più ampia.

Vettori di ingresso: come il malware entra in azienda

Nel 2026 dominano tre vettori:

1. Email di phishing (60% degli incidenti)

L’attaccante invia un’email con un allegato infetto (spesso .zip, .iso, .docx con macro o .xlsm) o con un link a exploit kit. L’apertura o l’attivazione della macro avvia il malware.

Difesa:

  • Email gateway con anti-phishing e sandbox degli allegati (Microsoft Defender for Office 365, Proofpoint, Mimecast)
  • Macro disabilitate per default nelle applicazioni Office
  • URL rewriting (i clic passano attraverso un proxy di sicurezza)
  • Formazione dei dipendenti

2. Vulnerabilità software compromesse (25%)

L’attaccante sfrutta una vulnerabilità non aggiornata nel software aziendale — più comunemente:

  • VPN gateway (Fortinet, Pulse Secure, SonicWall — bersagli ricorrenti)
  • Server email (Exchange ProxyShell, ProxyLogon)
  • Applicazioni web (plugin vulnerabile, SQL injection)
  • Driver bug in Windows / macOS

Difesa:

  • Ciclo mensile di patch
  • Software EOL sostituito senza eccezioni
  • Vulnerability scanning (Tenable Nessus, Qualys, Rapid7)

3. Credenziali compromesse (15%)

L’attaccante ottiene una password (dal phishing, da un info-stealer, o da un dump fuoriuscito da un altro servizio) e si connette legittimamente. Senza 2FA nessuna difesa lo intercetta.

Difesa:

  • 2FA / passkey obbligatori
  • Gestore di password (elimina il riutilizzo)
  • Monitoraggio dark web per credenziali fuoriuscite (Have I Been Pwned, SpyCloud)

EDR vs. classico antivirus

La decisione tecnologica più importante per l’endpoint security nel 2026.

AspettoAntivirus (signature-based)EDR (behavior-based)
Rilevamento minacce noteSì (~95%)Sì (~98%)
Minacce zero-dayDebole (~30%)Buono (~80%)
Fileless malwareNo
Analisi comportamentale ransomwareLimitata
Timeline forense post-incidenteMinimaCompleta
Isolamento remoto endpointNoSì (1 clic)
Threat huntingNo
Costo (per seat / mese)2–5 EUR5–15 EUR

Vendor EDR consigliati per le PMI europee:

  • Microsoft Defender for Endpoint (spesso incluso in M365 E5) — miglior value per aziende già nell’ecosistema Microsoft
  • CrowdStrike Falcon — segmento premium
  • SentinelOne — forte nell’autonomous response
  • ESET PROTECT — buon value nel segmento europeo
  • Bitdefender GravityZone — forte nel segmento PMI UE

Difesa ransomware: approccio a 7 livelli

Il ransomware nel 2026 è la categoria di incidenti più costosa. La difesa deve essere stratificata.

Livello 1: Prevenzione dell’ingresso

  • Email security con sandbox
  • Web filtering (blocco domini dannosi)
  • Patch management
  • 2FA su tutti gli accessi

Livello 2: Protezione endpoint

  • EDR con rilevamento comportamentale ransomware
  • Application allowlisting (Microsoft Defender Application Control)
  • Funzionalità rischiose disabilitate (PowerShell remoting sulle workstation, macro da internet)

Livello 3: Segmentazione della rete

  • Separazione di server di produzione, rete in ufficio, IoT
  • Nessuna condivisione amministrativa ampia
  • Microsegmentazione in ambiente cloud

Livello 4: Hardening delle identità

  • Privileged Access Management (PAM) — password per account admin in un vault
  • Just-in-time admin (privilegi admin solo quando necessari)
  • 2FA su tutti gli account admin (passkey idealmente)

Livello 5: Backup 3-2-1-1-0

La difesa più importante. Senza backup immutabili funzionanti il ransomware significa uscita dal business.

  • 3 copie dei dati
  • 2 supporti diversi
  • 1 off-site
  • 1 immutable / air-gapped
  • 0 errori nel test di recovery (1 volta l’anno)

Livello 6: Rilevamento e risposta

  • SOC 24/7 o MDR (Managed Detection and Response)
  • Anomaly detection sugli indicatori di ransomware (modifica massiva di file, pattern di cifratura)
  • Incident response runbook con passi preparati

Livello 7: Cyber insurance

La cyber insurance copre parte dei danni diretti, le spese legali, gli obblighi di notifica e a volte anche il riscatto. Costo: 5.000–25.000 EUR l’anno per un’azienda di medie dimensioni.

Procedura in caso di infezione: 5 passi immediati

Se si sospetta o si ha la certezza che un dispositivo sia infetto:

  1. Disconnettere immediatamente dalla rete — staccare il cavo ethernet, disattivare il Wi-Fi. Obiettivo: fermare la diffusione e la comunicazione con il server command-and-control dell’attaccante.
  2. Non accendere né spegnere il dispositivo — preservare lo stato della RAM per l’analisi forense. Molte indicazioni importanti (process tree, connessioni di rete, chiavi di decifratura) si trovano solo in RAM.
  3. Segnalare immediatamente all’IT — telefonicamente, tramite un altro dispositivo, tramite Slack/Teams da un altro computer. Mai dal dispositivo infetto.
  4. Non utilizzare altri sistemi aziendali dal dispositivo — non inserire password, non controllare l’email. Se nelle ultime ore sono state inserite credenziali, cambiarle immediatamente da un altro dispositivo.
  5. L’IT esegue:
    • Analisi forense (portata della compromissione, indicatori di attacco)
    • Isolamento dalla rete
    • Reset delle credenziali dell’utente
    • Immagine forense del disco (per eventuali indagini future)
    • Recovery dal backup o reinstallazione OS

Con il ransomware: NON PAGARE il riscatto

Le forze dell’ordine e le autorità di cybersecurity europee sconsigliano il pagamento per tre motivi:

  1. Non c’è garanzia di ricevere una chiave funzionante — il 35% di chi paga non riceve nulla o solo una chiave parziale.
  2. Finanzia ulteriori attacchi — i gruppi ransomware si scalano con il fatturato.
  3. Può violare le normative sulle sanzioni UE — se il gruppo è nella lista delle sanzioni, il pagamento costituisce una violazione.

Meglio investire nel recovery dal backup e nella prevenzione per il futuro.

Obblighi di notifica

In caso di incidente grave si hanno obblighi di notifica legali:

  • GDPR art. 33 — incidente con rischio per i diritti degli interessati: Garante per la protezione dei dati entro 72 ore
  • GDPR art. 34 — rischio elevato: notifica agli interessati
  • NIS2 — settori regolamentati: CSIRT nazionale early warning entro 24h, notifica ufficiale entro 72h
  • DORA — settore finanziario: autorità di vigilanza finanziaria competente
  • Contrattuale — i clienti spesso hanno notifica 24-72h nei contratti

Preparare template di notifica in anticipo, per non perdere ore critiche durante un incidente.

Modulario e difesa malware

In Modulario sono integrate misure che prevengono molti vettori di infezione:

  • Hosting UE con infrastruttura certificata ISO 27001 — monitoraggio della sicurezza, EDR su tutti i server
  • Backup cifrati con immutabilità di 7 giorni — ransomware dall’infrastruttura del provider praticamente escluso
  • Sandbox per upload di file — gli allegati caricati vengono scansionati
  • Rate limiting e anomaly detection nell’API
  • Audit log di ogni azione per la traccia forense post-incidente

Per le misure di difesa informatica aziendale più ampie vedi il pillar Sicurezza informatica dei dati aziendali e il cluster Sicurezza su internet per le aziende.

Domande frequenti

Qual è la differenza tra virus e malware? Il malware è il termine ombrello per qualsiasi codice dannoso — virus, trojan, ransomware, spyware, worm. Il virus è un tipo specifico di malware che si diffonde allegandosi ad altri file e richiede un’azione dell’utente (apertura). Nel 2026 il virus classico è solo una piccola parte delle minacce — dominano i trojan (90% delle infezioni) e il ransomware.

È sufficiente il classico antivirus? Nel 2026 no. I classici antivirus signature-based rilevano solo le minacce note e reggono contro il 60–70% degli attacchi. I moderni sistemi EDR usano il rilevamento behavior-based, che cattura anche le minacce zero-day. Per uso aziendale l’EDR (Microsoft Defender for Endpoint, CrowdStrike, SentinelOne, ESET PROTECT) è lo standard obbligatorio, il classico antivirus è insufficiente.

Cosa fare se il computer è infetto? Cinque passi immediati: (1) scollegare il dispositivo dalla rete (cavo ethernet + Wi-Fi), (2) non accendere né spegnere il dispositivo — preservare lo stato per l’analisi forense, (3) segnalare all’IT o tramite il canale interno #security-incident, (4) NON INSERIRE password né connettersi ad altri servizi dal dispositivo, (5) l’IT esegue analisi forense, isolamento e recovery. Con il ransomware: NON PAGARE il riscatto — di solito non aiuta, finanzia gli attaccanti e può violare le normative sulle sanzioni.