16.10.2025 - Negli ultimi mesi il gruppo di pirati informatici AKIRA ha intensificato le sue attività in Svizzera. Circa 200 imprese sono state vittime di attacchi ransomware. Il danno ammonta attualmente a vari milioni di franchi svizzeri e a diverse centinaia di milioni di dollari su scala mondiale. Dall’aprile 2024 il Ministero pubblico della Confederazione (MPC) conduce un procedimento penale. L’inchiesta è coordinata dall’Ufficio federale di polizia (fedpol) in stretta collaborazione con l’Ufficio federale della cibersicurezza (UFCS) e le autorità di più Paesi interessati. Le autorità svizzere ricordano l’importanza di contattarle prima di prendere qualsiasi misura nonché di sporgere denuncia.
Dall’aprile 2024 il MPC conduce un procedimento penale contro ignoti in seguito a diversi attacchi ransomware commessi tra maggio 2023 e settembre 2025 contro imprese svizzere. Rivendicati dal gruppo di pirati informatici denominato AKIRA, questi attacchi sono ancora in corso e si sono intensificati in questi ultimi mesi. Le autorità hanno in effetti constatato un aumento del numero di casi legati allo stesso ransomware (tra i 4 e i 5 alla settimana, un record in Svizzera), e questo mostra che il gruppo è molto attivo. Circa 200 imprese in Svizzera sono già state vittime. Il danno ammonta attualmente a vari milioni di franchi svizzeri e a diverse centinaia di milioni di dollari su scala mondiale.
Il MPC ha ripreso diversi procedimenti penali cantonali aperti nello stesso contesto. Il procedimento è attualmente condotto contro ignoti per acquisizione illecita di dati (art. 143 CP), danneggiamento di dati (art. 144bis CP) ed estorsione (art. 156 CP), sussidiariamente, tentativo di estorsione (art. 22 cum 156 CP). L’inchiesta è coordinata dall’Ufficio federale di polizia (fedpol) in stretta collaborazione con l’Ufficio federale della cibersicurezza (UFCS) e le autorità di più Paesi interessati.
Il gruppo AKIRA è apparso nel marzo 2023, diventando rapidamente oggetto di diversi articoli di stampa specializzata. Agisce tramite programmi speciali appositamente sviluppati a tale scopo e dispone di un’infrastruttura informatica distribuita in più Paesi a livello internazionale. Esercita quella che viene comunemente chiamata doppia estorsione, una pratica che consiste nell’acquisire illecitamente i dati della vittima prima di crittografarli. Una volta crittografati i dati, la vittima può solo constatare il blocco, totale o parziale, della sua rete informatica che rende impossibili le attività dell’impresa colpita. Se il riscatto non viene pagato entro i termini stabiliti, AKIRA non solo non fornisce la chiave di decrittazione che permette alla vittima di avere di nuovo accesso ai suoi dati informatici, ma li pubblica anche in un blog ospitato sul darknet. Questo blog viene definito un DLS («Data Leak Site»). Il pagamento del riscatto avviene in criptomoneta, la maggior parte delle volte in bitcoin.
Non pagate riscatti – denunciate alle autorità
Alla luce delle informazioni raccolte finora nell’ambito dell’inchiesta in corso, le autorità suppongono che esista un certo numero di casi non denunciati, perché le vittime di questo gruppo, temendo per la loro reputazione, pagano i riscatti chiesti e / o rinunciano a sporgere denuncia. Il MPC, fedpol e l’UFCS sottolineano che sporgere denuncia permette di aumentare le possibili piste di inchiesta e quindi le probabilità di successo nella lotta contro questi gruppi criminali. Le autorità ricordano di non pagare riscatti, poiché contribuiscono a finanziare le attività degli autori. Si raccomanda quindi di consultare le autorità prima di prendere qualsiasi misura in caso di richiesta di riscatto legata a un ransomware.
Misure concrete
Nonostante questi attacchi ransomware siano generalmente complessi, la maggior parte di essi è evitabile. Il più delle volte la porta di entrata di questi attacchi ransomware sono i sistemi non aggiornati e gli accessi a distanza come il VPN (Virtual Private Network) e il RDP (Remote Desktop Protocol) non resi sicuri con un’identificazione a due fattori (2FA). In caso di incidente tutte le connessioni Internet (web, e-mail, accesso a distanza e VPN da sito a sito) devono innanzitutto essere bloccate. I backup devono essere immediatamente verificati e resi sicuri. I sistemi devono anche essere fisicamente scollegati dalla rete infetta non appena possibile. L’obiettivo principale della soluzione dell’incidente è trovare la via di infezione e impedirne una nuova. Le autorità consigliano di sporgere sempre denuncia.
Per maggiori informazioni:
Ultima modifica 16.10.2025
