Gli attacchi ransomware al settore retail sono in continuo aumento. Pertanto, le aziende del settore necessitano di implementare una strategia di cybersecurity strutturata.

Introduzione

Le aziende del settore retail Mark & Spencer e Harrods ed altri importanti marchi di vendita al dettaglio – che includono Dior, Adidas, Luis Vuitton, Cartier e Victoria’s – sono stati colpiti da incidenti informatici nel periodo aprile-giugno 2025, che hanno causato notevoli interruzioni operative e ingenti costi finanziari

Rapporto “The State of Ransomware 2025” di BlackFog

Il trend di crescita degli attacchi informatici è confermato dal recente rapporto “The State of Ransomware 2025” di BlackFog, che indica il settore retail come uno dei bersagli prioritari per i gruppi ransomware.

Le aziende di questo comparto operano con catene di approvvigionamento complesse, il cui blocco può causare gravi interruzioni operative e perdite economiche significative. Tale vulnerabilità genera una forte pressione per il ripristino rapido dei servizi, aumentando così la probabilità di pagamento del riscatto. Inoltre, la gestione di grandi volumi di dati sensibili, come informazioni personali e dati di pagamento, espone il settore a rischi elevati di estorsione e furto di dati.

Il rapporto rivela un aumento del 63% degli attacchi ransomware nel secondo trimestre del 2025 rispetto allo stesso periodo del 2024, con 276 incidenti confermati a livello globale. I mesi di aprile (89 attacchi) e maggio (91 attacchi) hanno registrato i numeri mensili più alti dal 2020.

Nel 95% degli attacchi, è stata rilevata esfiltrazione di dati, che in molti casi ha sostituito o affiancato la crittografia. Inoltre, il 43% delle violazioni nel retail è stato causato da credenziali compromesse. Secondo ulteriori fonti, ogni violazione nel settore genera in media 2,96 milioni di dollari di costi diretti e richiede 19 giorni in più per essere contenuta rispetto ad altri settori.

È interessante notare che, mentre il 54% dei consumatori resta attento ai prezzi, ben il 63% considera la sicurezza dei dati la priorità assoluta negli acquisti digitali. Ovvero, il settore si trova di fronte a una scelta cruciale: investire in una cybersicurezza solida per tutelare la fiducia dei clienti, oppure rischiare una crisi strategica in grado di compromettere l’intero modello di business.

Gli attacchi informatici al retail del 2025 e l’ascesa del social engineering

Molti degli attacchi recenti al settore retail sono stati attribuiti a Scattered Spider, un threat actor noto per le sue tecniche di social engineering. Di fatto, il gruppo, impersonando insider fidati, inganna i dipendenti, facendogli cedere credenziali di accesso valide. Si ritiene che il gruppo possa aver compromesso centinaia di organizzazioni solo negli ultimi 2 anni.

È doveroso evidenziare che l’impatto di un cyber attack al settore retail è evidente già nel breve tempo: secondo la società di ricerche di mercato Statista, il 56% dei consumatori non si fiderà più di un’azienda che ha recentemente subito una violazione dei dati, con conseguente calo delle vendite e a una diffusa reazione pubblica, soprattutto quando i dati sensibili dei clienti vengono compromessi.

Inoltre, il settore retails subisce anche pesanti ricadute normative: le aziende del settore retail che violano le leggi sulla protezione dei dati, come il GDPR, possono incorrere in sanzioni significative. Tali sanzioni, non sono solo dannose dal punto di vista finanziario, ma inviano anche un chiaro segnale ai clienti e agli investitori che l’organizzazione non ha rispettato il suo dovere fondamentale di diligenza.

Ancora, l’interruzione, dal punto operativo, è immediata e grave: i rivenditori interessati, spesso, devono mettere offline le loro piattaforme di e-commerce, sospendere le transazioni in negozio e disabilitare i sistemi interni critici per diversi giorni. Infine, se si tratta di società del settore quotate, i mercati finanziari rispondono in modo rapido e spietato.

Basti pensare che, quando Marks & Spencer è stata presa di mira all’inizio di quest’anno, il prezzo delle sue azioni è crollato del 6,9%, cancellando quasi 700 milioni di sterline di valore di mercato in pochi giorni a causa di un singolo attacco informatico.

Tutto ciò non fa altro che evidenziare come un incidente informatico – in un settore già limitato da margini ridotti e da un’elevata concorrenza – può degenerare in una vera e propria crisi strategica.

Come i cyber criminali sfruttano la complessità del settore retail

È importante sottolineare che la complessità del settore non è soltanto di natura tecnologica, ma è intrinsecamente legata alle dinamiche operative e organizzative che caratterizzano l’industria.

Diversi fattori hanno contribuito a generare vulnerabilità significative in termini di sicurezza, tra cui:

• Dipendenze di terze parti –Le aziende del settore retail si affidanoa un ecosistema tentacolare di fornitori – i.e.: dai processori di pagamento ai fornitori di servizi logistici e ai fornitori di servizi IT – molti dei quali hanno le proprie carenze di sicurezza. Ne consegue che una violazione in qualsiasi parte di questa catena può avere un impatto sull’intera organizzazione.
• Operazioni omnicanale – La necessità di integrare negozi fisici, siti web, app, franchising e support-desk aggiunge ulteriori complessità, considerando che questi sistemi interconnessi devono scambiare dati senza soluzione di continuità in tempo reale, creando più punti di ingresso che gli aggressori possono sfruttare.
• Personale stagionale – I dipendenti temporanei assunti per l’alta stagione possono non avere un’adeguata formazione in materia di sicurezza informatica, mentre l’elevato turnover riduce le conoscenze istituzionali e aumenta il rischio di minacce interne.
• Rapida trasformazione digitale – La rapida trasformazione digitale del settore ha spesso dato la priorità alla velocità rispetto alla sicurezza. Di fatto, i sistemi legacy, integrati frettolosamente con la nuova infrastruttura digitale, sono diventati facili bersagli dei cyber criminali.

Settore retail: AAA approccio proattivo cercasi

Quanto sopra evidenziato rende il settore particolarmente vulnerabile, richiedendo un approccio alla sicurezza che sia strutturato, proattivo e strettamente integrato con i processi di business, al fine di garantire resilienza operativa e tutela degli asset critici.

Ovvero, si tratta di:

• Dare priorità alla gestione delle identità e degli accessi – La gestione delle identità e degli accessi (IAM – Identity and Access Management) deve essere prioritaria, oltre all’implementazione sia di controlli di accesso rigorosi – secondo il principio del privilegio minimo, concedendo agli utenti solo l’accesso necessario per i loro ruoli, monitorando periodicamente i privilegi di accesso per ridurre al minimo l’esposizione non necessaria – sia dell’autenticazione a più fattori (MFA – Multi-Factor Authetication).
• Investire in solide capacità di rilevamento, di risposta e di ripristino – Le organizzazioni devono essere in grado di rilevare i primi segnali di allarme, contenere rapidamente le violazioni e ripristinare le operazioni in modo tempestivo. Ciò presuppone disporre di piani di risposta, programmare esercitazioni e testare le procedure di recupero, in modo tale che, quando l’attacco si verifica, si sia in grado di ridurre al minimo i danni operativi. Ovvero, si tratta di prepararsi in “tempo di pace” per agire “in tempo di guerra” onde evitare di ricorrere al pagamento di riscatti, considerando che il 78% delle aziende che pagano un riscatto viene colpito da un secondo attacco, spesso dallo stesso autore della minaccia.
• Mantenere una forte igiene informatica – È quanto mai strategico mantenere i sistemi costantemente aggiornati, oltre ad applicare un’adeguata segmentazione della rete. Di fatto, tali misure, se implementate in modo efficace, possono ridurre notevolmente sia la probabilità e sia l’impatto delle violazioni della sicurezza. Inoltre, è necessario che le aziende del settore siano consapevoli del rischio critico rappresentato dalla tecnologia legacy che, spesso, non dispone delle patch di sicurezza più recenti e di altri controlli.
• Monitorare e prepararsi agli attacchi informatici emergenti – Le minacce emergenti -quali i deepfake generati dall’intelligenza artificiale – richiedono una “maggiore ragion critica” e procedure di verifica, soprattutto nelle comunicazioni che coinvolgono l’accesso alle credenziali o le transazioni finanziarie. Pertanto, le organizzazioni del settore retail dovrebbero implementare un’architettura zero trust, oltre a incoraggiare i dipendenti a mettere in discussione richieste insolite o inaspettate.
• Dotarsi di strumenti di analisi comportamentale – Si tratta di sistemi che rilevano modelli di accesso anomali e algoritmi di rilevamento delle frodi basati sull’AI, in grado di ridurre fino del 63% i falsi positivi.
• Formare continuamente il personale – Il rischio umano continua a essere una delle vulnerabilità più significative. Secondo il “2025 Data Breach Investigations Report” di Verizon, il 60% delle violazioni del 2024 ha coinvolto un elemento umano. Pertanto, la formazione sulla sicurezza deve andare oltre gli esercizi di conformità di base, garantendo programmi ben strutturati su misura per l’intera forza lavoro, insieme a una formazione tecnica specializzata per i team IT
• Coinvolgere i fornitori di terze parti –I fornitori di terze parti devono essere coinvolti nell’ambito del programma di sicurezza informatica, con aspettative chiaramente definite e sottoposti ad audit regolari. È essenziale sia mantenere la supervisione delle politiche e delle pratiche di sicurezza di ciascun fornitore sia garantire che i contratti includano requisiti legalmente vincolanti per le notifiche tempestive degli incidenti. Tale livello di visibilità e responsabilità è fondamentale per ridurre al minimo i rischi di terze parti e garantire una risposta rapida in caso di violazione.

Conclusione

L’ondata di attacchi informatici rivolti al settore retail riflette un panorama di minacce mutevole che richiede un’attenzione urgente e costante. Man mano che le minacce informatiche diventano più sofisticate e persistenti, le difese tradizionali e le strategie reattive non sono più adeguate ed è necessario adottare un approccio proattivo e strategico che comprenda persone, processi e tecnologia.

La sicurezza informatica non può più essere confinata ai reparti IT o considerata come un costo operativo di routine, bensì, deve essere incorporata nelle operazioni di vendita al dettaglio e sostenuta dai più alti livelli di leadership.

Il costo dell’inazione è la perdita di fiducia, le sanzioni normative, l’interruzione operativa e il danno finanziario. Ovvero, i retailer devono iniziare a trattare la sicurezza informatica con lo stesso livello di rigore di settori altamente regolamentati come i servizi finanziari e la sanità, soprattutto considerando che ora rientrano nel perimetro della direttiva NIS2.

Ne consegue che, il settore retail deve migliorare la propria cybersecurity attraverso implementazione di standard di sicurezza più rigorosi, una gestione strutturata del rischio cyber e una più stretta collaborazione nella condivisione delle informazioni sulle minacce. Ciò contribuirà a salvaguardare il settore retail dalle minacce informatiche e a rafforzare la fiducia dei consumatori in un ambiente digitale sicuro.

Cybsec-news.it vi invita alla terza edizione della CYBSEC-EXPO, in programma a Piacenza dal 9 all’11 Giugno 2026.