Cybersecurity per PMI italiane 2023: 7 minacce reali e le difese pratiche che funzionano

Aprile 2022, Brescia. Uno studio di commercialisti con dodici dipendenti rientra il lunedì mattina e trova tutti i PC bloccati: lo schermo mostra il logo nero di LockBit 3.0 e un timer che corre verso zero. La richiesta è di duecentottantamila euro in bitcoin entro novantasei ore, altrimenti i dati di seicento clienti (bilanci, codici fiscali, contratti riservati) vengono pubblicati sul dark web. Lo studio non paga, ricostruisce parzialmente dai backup datati di due settimane prima, resta fermo nove giorni, perde l’IVA del trimestre per due aziende e riceve dal Garante Privacy una sanzione di quindicimila euro per aver notificato il data breach con tre giorni di ritardo. Totale del danno stimato dal titolare in sede di chiusura del sinistro: oltre quattrocentomila euro. Nessun grande quotidiano ne ha parlato.

Storie come questa, nel 2022, sono diventate la normalità delle PMI italiane. ENISA, l’agenzia europea per la cybersicurezza, nel suo Threat Landscape 2022 stima che ogni PMI europea subisca in media nove incidenti cyber l’anno e che il quarantuno per cento non si accorga affatto di essere stata compromessa fino a settimane dopo. L’IBM Cost of a Data Breach Report 2022 attribuisce a un data breach in una PMI italiana sotto i 250 dipendenti un costo medio di centoquarantacinquemila euro, voce che include downtime, ripristino, multe, perdita clienti e overtime IT. Per molti studi professionali e piccole manifatture, è il margine di un anno intero.

Questo articolo non vuole spaventare. Vuole mettere a fuoco le sette minacce concrete che colpiscono davvero le PMI italiane nel 2023, le otto difese pratiche con costi reali in euro, il quadro normativo aggiornato e un piano di azione di cinque giorni che puoi iniziare lunedì. Lo facciamo da un punto di vista operativo, perché lavoriamo con PMI manifatturiere, studi e retailer che gestiscono dati sensibili dei clienti dentro Brenta ERP e Perfex CRM, e abbiamo visto cosa funziona e cosa è solo marketing.

Le 7 minacce reali per la PMI italiana nel 2023

Non tutte le tecniche descritte nelle conferenze hacking colpiscono le piccole e medie imprese. Le statistiche di Verizon DBIR 2022, Sophos State of Ransomware 2022 e il Rapporto Clusit 2022 convergono su sette vettori che, da soli, coprono oltre il novanta per cento degli incidenti reali.

1. Phishing via email. Il Verizon DBIR 2022 attribuisce alla posta elettronica fraudolenta l’ottantasette per cento degli accessi iniziali. Email che imitano un cliente, un fornitore, una banca o l’Agenzia delle Entrate per indurre il destinatario a inserire credenziali su una pagina contraffatta o ad aprire un allegato infetto. È la porta di ingresso preferita perché bypassa firewall e antivirus tradizionali.

2. Ransomware. Malware che cifra in pochi minuti tutti i file accessibili (server, NAS, condivisioni di rete, talvolta i backup) e chiede un riscatto in bitcoin o monero. Le gang più attive nel 2022 sono LockBit (circa quaranta per cento degli attacchi rilevati), BlackCat/ALPHV e Conti. Negli ultimi due anni il modello è ransomware-as-a-service: gruppi specializzati affittano il loro malware ad affiliati che colpiscono in massa.

3. Compromissione delle credenziali. Password rubate da una violazione esterna (LinkedIn, Dropbox, qualunque sito dove il dipendente ha usato la stessa password aziendale) vengono provate sistematicamente contro VPN, webmail e pannelli amministrativi. È l’attacco più silenzioso e quello con il rapporto sforzo/risultato più alto per l’attaccante.

4. Business Email Compromise. L’attaccante si finge un amministratore delegato, un direttore finanziario o un fornitore di fiducia e invia un’email all’ufficio contabilità chiedendo un bonifico urgente verso un nuovo IBAN. Niente malware, niente cifratura: solo ingegneria sociale ben fatta. FBI e Banca d’Italia stimano che il BEC costi mediamente più del ransomware perché le somme sono difficili da recuperare.

5. Vulnerabilità non patchate. Server Exchange esposti, VPN Fortinet o SonicWall con firmware del 2020, plugin WordPress dimenticati, applicazioni gestionali on-premise mai aggiornate. Quando esce un CVE critico, gli scanner automatici lo individuano nel giro di ore: chi non applica la patch entro due settimane è statisticamente compromesso.

6. Insider threat. Il dipendente in uscita che copia il database clienti su una chiavetta, l’amministratore licenziato a cui nessuno ha revocato gli accessi, il fornitore esterno con credenziali ancora valide. Non è la minaccia più frequente ma è quella con il danno più alto per record sottratto.

7. Supply chain attack. L’attaccante compromette un fornitore software (caso SolarWinds 2020, Kaseya 2021) o un MSP locale e da lì raggiunge centinaia di clienti. Per la PMI italiana il rischio concreto sono i gestionali in cloud poco aggiornati e i tool di monitoraggio remoto degli installatori IT.

Phishing in profondità: come riconoscerlo e fermarlo

Il phishing del 2023 non è più quello fatto male degli anni Duemila. I segnali residui da cercare sono altri.

Dominio mittente simile ma non identico. Il classico è la lettera cirillica: amаzon.com al posto di amazon.com (la prima ‘a’ è il carattere Unicode U+0430). Altre varianti: fattureinclоud.it, microsofft.com, sottodomini come banca-bnl.secure-login.com.

Urgenza fittizia e minaccia di chiusura conto. “Il tuo account verrà sospeso entro due ore”, “ultima fattura non saldata in allegato”, “richiesta urgente firma digitale”. La pressione temporale serve a saltare il controllo razionale.

Richiesta di credenziali via link. Nessuna banca seria, nessun cloud provider, nessuna PEC chiede mai di confermare username e password cliccando un link nell’email. Mai. Se ricevi quella richiesta, è sempre phishing.

Allegati ZIP, ISO o HTML. Le campagne Emotet e IcedID nel 2022 hanno sostituito i macro-document con archivi ZIP che contengono uno script JavaScript o un file LNK. Una fattura PDF da un cliente non arriva mai dentro un file ISO.

La novità del 2022-2023 è il phishing generato con assistenti AI: l’italiano è grammaticalmente impeccabile, il tono coerente con il presunto mittente, talvolta personalizzato con dati pubblici presi da LinkedIn. Bing Chat, lanciato in preview a febbraio 2023, sta accelerando questa tendenza. La difesa basata sul “riconosci gli errori grammaticali” non basta più.

Cosa funziona davvero contro il phishing:

• Filtro email avanzato: Microsoft Defender for Office 365 Plan 1 (€2 per casella/mese) o Google Workspace Business Standard con avanzato anti-phishing (€10,40 per casella/mese complessivo), oppure gateway dedicato Proofpoint Essentials (€4-6 per casella/mese).
• DMARC, SPF e DKIM sul tuo dominio aziendale, configurati in modalità p=reject dopo un mese di monitoraggio in quarantine. Costo zero, blocca lo spoofing del tuo dominio verso clienti e fornitori.
• Formazione continua con simulazioni di phishing: KnowBe4 a €15 per utente/anno, Hoxhunt o Cofense. Una simulazione al mese, dopo sei mesi il click-rate medio scende dal 25% al 5%.
• Banner “messaggio esterno” sulle email che provengono da fuori dominio. Un’etichetta gialla in alto è banale ma funziona come segnale di attenzione.

Ransomware: prevenzione e prime 60 ore di risposta

Il ransomware del 2022 ha una caratteristica nuova rispetto al passato: la doppia estorsione. Prima ti cifrano i dati, poi minacciano di pubblicarli se non paghi. Negare l’attacco non basta più: una volta esfiltrati, i dati sono fuori. Le difese si dividono in due fasi.

Prevenzione

• Patch tempestive. La CISA americana raccomanda quattordici giorni dal rilascio della patch per una CVE critica. Per Windows Server, Exchange, VPN e gestionali esposti questa è la finestra che separa il “abbiamo fatto il possibile” dal “siamo stati superficiali”.
• Regola 3-2-1 per i backup: tre copie dei dati, su due supporti diversi, una offsite. Almeno una copia offline o immutabile (Veeam Hardened Repository, Wasabi object lock, nastro LTO). Il ransomware moderno cerca i backup connessi alla rete e li cifra per primi.
• Segmentazione di rete con VLAN separate: amministrazione, produzione, ospiti, IoT. Se la stampante in reception viene compromessa, non deve raggiungere il server di contabilità.
• EDR endpoint su tutti i client e server: Microsoft Defender for Business (€3 per utente/mese), CrowdStrike Falcon Go (€6-7), SentinelOne, Bitdefender GravityZone Business Security. L’antivirus tradizionale non rileva il ransomware moderno.
• Disabilitare RDP esposto su internet. Se serve l’accesso remoto, deve passare da VPN con MFA o da un sistema ZTNA come Cloudflare Access.

Risposta: le prime 60 ore

Quando l’attacco è già in corso, l’ordine delle azioni cambia tutto.

1. Isolare. Stacca il cavo di rete, spegni il Wi-Fi, segrega la VLAN compromessa. Non spegnere i PC infetti: la memoria volatile contiene indizi forensi.
2. Non pagare in prima battuta. Lo studio Sophos State of Ransomware 2022 mostra che il sessantacinque per cento di chi paga riceve dati corrotti o parzialmente recuperabili, e il quarantasei per cento subisce un secondo attacco entro un anno. Pagare può anche violare le sanzioni internazionali se il gruppo è collegato a entità sanzionate.
3. Notificare al Garante Privacy entro 72 ore (art. 33 GDPR), quando l’attacco coinvolge dati personali. La notifica è obbligatoria anche quando non sei sicuro al cento per cento: è meglio inviare una notifica preliminare integrabile entro 72 ore che ritardare. Il portale è servizi.gpdp.it.
4. Coinvolgere ACN tramite il CSIRT Italia (csirt.gov.it) se gestisci infrastruttura critica o vuoi assistenza nella gestione dell’incidente. La segnalazione è volontaria per i soggetti non perimetro ma ti dà accesso a indicatori di compromissione aggiornati.
5. Analisi forense prima del ripristino. Capire come sono entrati è obbligatorio per non rifarsi colpire la settimana dopo. Conserva immagini disco dei sistemi compromessi.
6. Ripristino da backup pulito, mai dai dati cifrati. Verifica l’integrità del backup con checksum prima di rimetterlo in produzione.
7. Comunicazione verso dipendenti, clienti coinvolti e (quando obbligatorio) interessati. Una comunicazione trasparente nelle prime 48 ore protegge la reputazione molto più del silenzio.

Per approfondire backup, ripristino e ridondanza geografica abbiamo dedicato due articoli specifici: la regola 3-2-1-1-0 contro il ransomware e disaster recovery in cloud con AWS, Azure e Veeam.

Le 8 difese di base che ogni PMI dovrebbe avere

Se hai un budget limitato, queste otto misure coprono oltre il novanta per cento dei rischi reali. Le elenchiamo nell’ordine di priorità che useremmo noi stessi su un’azienda da venti dipendenti senza protezioni.

1. Backup automatico cifrato off-site. Veeam Backup & Replication Essentials, Acronis Cyber Backup, oppure soluzioni cloud-native come AWS Backup. Budget: €30-€80 al mese per fino a un TB. Verifica mensile del ripristino effettivo.

2. EDR sugli endpoint. Microsoft Defender for Business, CrowdStrike Falcon Go, SentinelOne, Bitdefender GravityZone, Sophos Intercept X. Budget: da €4 a €12 per device/mese. Evita Kaspersky in contesti istituzionali per le note questioni di compliance.

3. Autenticazione a due fattori sugli account critici. TOTP con Authy o Google Authenticator a costo zero per la maggioranza degli account; chiave hardware YubiKey (€45 per utente, una tantum) per admin e contabilità. Da estendere a Microsoft 365, Google Workspace, VPN, gestionale, banca online, registrar di dominio.

4. Password manager aziendale. Bitwarden Business (€5 per utente/mese), 1Password Business (€7), LastPass Business (€6). Risolve il problema delle password riutilizzate, abilita il sharing sicuro tra reparti, registra chi accede a cosa.

5. Firewall perimetrale e DNS filtering. Cisco Umbrella, Cloudflare for Teams, NextDNS Business (€2-€8 per utente/mese). Blocca i domini malevoli prima che la connessione si stabilisca. Particolarmente utile contro phishing e command-and-control del malware.

6. Patch management. ManageEngine Patch Manager Plus, NinjaOne, Action1 (€3-€7 per device/mese). Per chi è già su Microsoft 365 Business Premium, Intune copre buona parte delle esigenze senza costi aggiuntivi.

7. Email security gateway. Microsoft Defender for Office 365, Proofpoint Essentials, Mimecast, Vade for Microsoft 365 (€4-€8 per casella/mese). Filtro avanzato contro phishing, BEC e malware.

8. Formazione utenti. KnowBe4 Security Awareness Training (€15 per utente/anno), Cyber Risk Aware, NINJIO. Una simulazione di phishing al mese più un modulo formativo di dieci minuti al trimestre. È la misura con il miglior rapporto investimento/risultato.

Il quadro normativo italiano nel 2023

La cybersecurity per una PMI italiana nel 2023 si muove dentro un perimetro normativo articolato che vale la pena conoscere prima di subire un incidente.

GDPR (Regolamento UE 2016/679). La notifica di data breach al Garante entro 72 ore (art. 33) è obbligatoria quando il rischio per i diritti degli interessati è “probabile”. Per le PMI questo significa quasi sempre, perché qualunque dato identificativo dei clienti rientra. La DPIA (valutazione d’impatto, art. 35) è obbligatoria per trattamenti su larga scala o con profilazione. Il DPO è obbligatorio se tratti dati sensibili in modo sistematico o se sei pubblica amministrazione.

ACN, Agenzia per la Cybersicurezza Nazionale. Istituita con DL 82/2021 e operativa dal 2022, riunisce le competenze cyber prima distribuite. È il punto di contatto nazionale per gli incidenti, ospita il CSIRT Italia e coordina il perimetro di sicurezza cibernetica nazionale.

Perimetro di sicurezza cibernetica nazionale (DL 105/2019 e decreti attuativi). Riguarda soggetti pubblici e privati che svolgono funzioni essenziali per lo Stato (energia, finanza, trasporti, telecomunicazioni, sanità). La maggioranza delle PMI è fuori dal perimetro: non c’è obbligo specifico per la piccola manifattura o lo studio commerciale.

Direttiva NIS2 (Direttiva UE 2022/2555). Pubblicata in Gazzetta Ufficiale dell’Unione il 27 dicembre 2022, il recepimento da parte degli Stati membri è atteso entro il 2024. Amplia notevolmente il perimetro rispetto alla precedente NIS: include settori come gestione rifiuti, alimentare, manifattura di dispositivi medici, fornitori di servizi digitali. Le aziende medie che operano in questi settori dovranno prepararsi a misure di sicurezza obbligatorie, valutazione dei rischi documentata e segnalazioni a 24/72/30 ore. Conviene seguire il processo di recepimento italiano nel corso del 2023.

ISO/IEC 27001:2022. Standard internazionale per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Volontario, certificabile da enti terzi accreditati Accredia. È sempre più richiesto come pre-requisito da grandi clienti, banche e committenti pubblici. Per una PMI di trenta persone, il percorso di certificazione richiede tipicamente da otto a dodici mesi e costi tra ventimila e quarantacinquemila euro tutto compreso (consulenza, formazione, ente certificatore, primo audit).

NIST Cybersecurity Framework (versione 1.1 del 2018, in evoluzione verso la 2.0). Framework volontario molto usato come riferimento per strutturare la propria sicurezza: identifica, proteggi, rileva, rispondi, recupera. Più operativo della ISO 27001 e adatto a essere usato come checklist anche senza certificazione formale.

Per il dettaglio della direttiva NIS originaria, dei cookie e della privacy by design abbiamo articoli dedicati: la direttiva NIS spiegata alle PMI, privacy by design come metodo e checklist GDPR e DPIA in 30 giorni.

Quanto investire in cybersecurity: benchmark realistici 2023

Una domanda che riceviamo settimanalmente: quanto dovrei spendere in sicurezza? Le cifre seguenti sono benchmark che vediamo applicare a PMI italiane con un mix coerente delle otto difese di base.

• PMI 10 dipendenti: €5.000-€12.000 all’anno, ovvero €420-€1.000 al mese. Tipicamente significa Microsoft 365 Business Premium (che include Defender for Business, Intune, Azure AD MFA) più backup cloud, password manager e una giornata di formazione annua.
• PMI 25 dipendenti: €15.000-€35.000 all’anno. Si aggiungono EDR su server fisici, email security gateway, simulazioni phishing trimestrali e un assessment annuo.
• PMI 100 dipendenti: €60.000-€140.000 all’anno. Include SOC gestito o XDR, SIEM, vulnerability management continuo, test di intrusione annuo, formazione strutturata.

Come percentuale del budget IT, le PMI italiane mature destinano alla cybersecurity tra l’uno e mezzo e il tre per cento del budget IT totale. Sotto l’uno per cento siamo nella zona del “speriamo bene”. Sopra il cinque per cento, di solito, l’azienda è in un settore regolato o ha già subito un incidente importante.

Voucher PNRR per la cybersecurity. Nel 2022-2023 sono attive misure regionali nell’ambito del Piano Nazionale di Ripresa e Resilienza: voucher fino a trentamila euro per misure di sicurezza informatica nelle PMI, con percentuali di copertura tra il quaranta e il settanta per cento. Le condizioni variano per regione: vale la pena chiedere alla Camera di Commercio locale o a Invitalia.

Per approfondire il calcolo del ROI di un investimento in software e sicurezza, abbiamo dedicato un articolo specifico a come calcolare il ROI di un software gestionale: la stessa logica si applica al budget cyber, con il costo evitato del breach come voce di beneficio.

Cosa fare la prossima settimana: piano operativo di 5 giorni

I framework sono utili, ma quello che davvero sposta l’ago è iniziare. Ecco un piano realistico che puoi eseguire la prossima settimana, senza budget aggiuntivo immediato e senza consulenti esterni.

Lunedì — Audit 2FA. Apri il pannello admin di Microsoft 365, Google Workspace, banca online, registrar di dominio, gestionale e VPN. Per ogni account, verifica se l’autenticazione a due fattori è attiva. Obiettivo realistico: cento per cento degli account amministratori entro venerdì. La parte tecnica costa zero, la parte difficile è convincere chi non l’ha mai usata.

Martedì — Test di ripristino backup. Scegli un file di ieri, eliminalo dal sistema produzione e prova a ripristinarlo dal backup. Se il ripristino funziona in meno di trenta minuti, sei a posto. Se ci vogliono ore, se la versione del backup è di tre giorni fa, se non sai chi conosce la password del NAS di backup, hai un problema serio da risolvere prima del prossimo lunedì.

Mercoledì — Simulazione phishing interna. Manda un’email a tutti i dipendenti che imita un fornitore noto e chiede di cliccare un link verso una pagina di “verifica fattura” (la pagina la crei tu, è un semplice form che registra chi ha cliccato). Il benchmark italiano per PMI senza formazione precedente è quindici-venticinque per cento di click-rate. Sopra il trenta per cento, organizza una formazione entro un mese.

Giovedì — Audit password. Quanti dipendenti riusano la stessa password tra sistema, posta e siti personali? Una rapida indagine con un questionario anonimo dà l’ordine di grandezza. Avvia subito il rollout di un password manager: i due-tre giorni di apprendimento sono compensati nel primo mese da tempo recuperato e attacchi evitati.

Venerdì — Piano di risposta incidente in una pagina. Una pagina A4, leggibile e stampabile, che contenga: (1) i numeri di chi chiamare per primo (IT manager, consulente esterno, DPO); (2) come isolare la rete; (3) chi notifica Garante e ACN; (4) modello di comunicazione interna; (5) checklist primi 60 minuti. Stampala, distribuiscila ai responsabili, mettine una copia fisica in ufficio. Il giorno che servirà non avrai accesso ai file.

Come Brenta ERP e Odoo supportano la sicurezza aziendale

Un gestionale che maneggia anagrafica clienti, fatture, IBAN, scheda dipendenti e dati di produzione è di per sé un asset critico. Quando affianchiamo le PMI con Brenta ERP (la nostra distribuzione di Odoo personalizzata per il mercato italiano) e con Perfex CRM, gli aspetti di sicurezza che teniamo sotto controllo includono:

• Hosting su Odoo.sh o private cloud europeo, con data center certificati ISO 27001 e ISO 27018. Backup automatici incrementali quotidiani, conservazione configurabile, ripristino point-in-time.
• Cifratura at-rest e in-transit, TLS 1.3 sulle connessioni, separazione database per tenant.
• Controllo accessi granulare per gruppo, ruolo e record con regole automatiche (un commerciale vede solo i suoi clienti, un magazziniere solo il suo magazzino).
• Audit log immutabili delle operazioni sensibili: modifiche bilancio, esportazioni anagrafica, accessi amministrativi.
• Autenticazione a due fattori per accessi amministrativi e SSO con Microsoft Entra ID o Google Workspace.
• Integrazione con SIEM (Splunk, Elastic, Wazuh) tramite webhook e log strutturati per chi ha già un monitoraggio centralizzato.

Per chi vuole approfondire l’ecosistema Odoo nel dettaglio, abbiamo dedicato due risorse: la pagina Odoo ERP per PMI italiane con i moduli e il pricing, e il confronto strutturato Odoo vs SAP Business One per PMI italiane.

Domande frequenti

Siamo piccoli, perché un cybercriminale dovrebbe attaccare proprio noi?

Perché gli attacchi del 2023 non sono mirati su un’azienda specifica: sono automatizzati e di massa. Bot scansionano continuamente internet alla ricerca di server con vulnerabilità note, VPN con credenziali deboli, mailbox esposte. Quando ne trovano una, il ricatto parte da lì. Il Sophos State of Ransomware 2022 mostra che la metà delle PMI colpite ha meno di centocinquanta dipendenti e nessuna era un target dichiarato: erano semplicemente le più facili. In più, le PMI italiane sono spesso fornitori di aziende più grandi: bucare uno studio di consulenza fiscale dà accesso ai dati di trecento clienti, alcuni dei quali sono il vero obiettivo. Essere piccoli oggi è un vantaggio competitivo per l’attaccante, non per voi.

Abbiamo un antivirus aggiornato, non basta?

No, non più dal 2020 circa. L’antivirus tradizionale basato su firme rileva malware noti, ma il ransomware moderno è polimorfico (cambia firma a ogni infezione) e usa tecniche living-off-the-land, ovvero strumenti legittimi di Windows come PowerShell e WMI per evitare il rilevamento. Quello che serve oggi è un EDR (Endpoint Detection and Response): analizza il comportamento del processo invece della firma, isola automaticamente la macchina sospetta, registra la timeline dell’attacco. Microsoft Defender for Business, CrowdStrike Falcon, SentinelOne sono tutti EDR. Il costo è di pochi euro per dispositivo al mese e fa la differenza tra un incidente bloccato in tre minuti e un’azienda ferma per dieci giorni. L’antivirus tradizionale serve ancora, ma come strato base, non come unica difesa.

Pagare il riscatto del ransomware è davvero così sbagliato?

Statisticamente sì, ed è anche legalmente problematico. Il Sophos State of Ransomware 2022 mostra che il sessantacinque per cento di chi paga riceve dati corrotti o parzialmente recuperabili e il quarantasei per cento subisce un secondo attacco entro un anno, spesso perché l’attaccante ha venduto l’accesso ad altri gruppi. C’è anche il rischio di violare sanzioni internazionali: alcuni gruppi ransomware (Conti, Evil Corp) sono collegati a entità sanzionate da OFAC, e il pagamento può configurare un reato. Il dubbio “pagare o non pagare” diventa tipicamente irrilevante se hai backup offline funzionanti e un piano di disaster recovery testato. Quando la decisione cade su un consiglio di amministrazione angosciato, il vero problema è che non si era investito prima nelle difese di base.

Il backup su NAS locale in azienda è sufficiente?

No, perché il ransomware moderno cerca attivamente i NAS sulla rete locale e li cifra come prima cosa. Synology, QNAP e simili sono target privilegiati: l’attaccante esegue una scansione SMB e, una volta trovato il dispositivo, ne cifra il contenuto con la stessa chiave usata sui PC. La regola operativa è 3-2-1: tre copie, due supporti, una offsite o offline. In pratica significa: backup su NAS (la copia “veloce” per il ripristino quotidiano) più backup in cloud cifrato e/o nastro LTO conservato in cassaforte. Servizi come Veeam Cloud Connect, AWS Backup, Wasabi con object lock implementano backup immutabili, che il ransomware non riesce a sovrascrivere. Aggiungete una verifica mensile del ripristino: un backup che non avete mai testato potrebbe non funzionare quando serve.

Cloud come Microsoft 365 e Google Workspace è più sicuro del nostro server in ufficio?

Tipicamente sì, ma con un asterisco importante. I data center Microsoft e Google hanno team di sicurezza di migliaia di persone, certificazioni ISO 27001 e SOC 2, monitoraggio continuo: difficile che una PMI possa eguagliarli con un server in armadio. Tuttavia il cloud sposta solo parte della responsabilità: i dati restano vostri, e le configurazioni di accesso, condivisione, autenticazione e backup sono compito vostro. La maggioranza degli incidenti su Microsoft 365 nasce da password riusate senza 2FA, condivisione file fuori dominio non controllata, o assenza di backup (Microsoft conserva i dati cancellati solo trenta giorni, poi sono persi). Migrare al cloud senza configurarlo bene può essere meno sicuro che restare on-premise. La soluzione è migrare al cloud con un’assistenza che curi MFA su tutti gli utenti, conditional access, backup Microsoft 365 terzo (Veeam Backup for Microsoft 365), DLP attivo.

Dobbiamo certificarci ISO 27001?

Dipende dal contesto commerciale, non solo da quello tecnico. Tecnicamente la ISO 27001:2022 è un investimento di otto-dodici mesi e venti-quarantacinquemila euro per una PMI di trenta persone, con costi di mantenimento di sei-dodicimila euro l’anno. Commercialmente diventa rilevante quando: state cercando di entrare in supply chain di grandi clienti (banche, pubblica amministrazione, sanità) che la richiedono come pre-requisito; lavorate con dati molto sensibili e volete dimostrare diligenza; volete differenziarvi in gare di appalto pubblico. Se non avete questi driver, vi conviene di più adottare il NIST Cybersecurity Framework come riferimento interno, applicare le otto difese di base e investire in formazione: i risultati sulla sicurezza reale sono simili, il costo è una frazione, ma sul mercato non potete vantare la certificazione. Molte PMI optano per ISO 27001 al secondo o terzo anno, dopo aver consolidato il livello base.

La direttiva NIS2 ci riguarda?

Forse, e conviene capirlo nel corso del 2023. La NIS2 è stata pubblicata sulla Gazzetta UE il 27 dicembre 2022 e il recepimento italiano è atteso entro il 2024. Il perimetro è significativamente più ampio della NIS originaria: include energia, trasporti, banche, infrastrutture digitali, gestione rifiuti, alimentare, manifattura di dispositivi medici, prodotti chimici, servizi digitali. Le aziende rientranti si dividono in essenziali e importanti, con obblighi specifici di gestione del rischio cyber, segnalazione incidenti entro 24/72 ore, formazione del management e sanzioni significative (fino a dieci milioni di euro o due per cento del fatturato). Se siete una PMI sotto i cinquanta dipendenti potreste essere esenti, ma con eccezioni per settori particolarmente critici. Il consiglio è seguire il processo di recepimento, fare una valutazione di applicabilità nel secondo semestre 2023, e in ogni caso allineare le proprie pratiche al livello di sicurezza richiesto, perché diventerà lo standard di mercato.

Da dove partire concretamente

Se la sensazione leggendo queste pagine è di essere vulnerabili, è normale: lo siamo tutti, ed è il motivo per cui la cybersecurity è diventata un investimento strutturale e non più un capitolo facoltativo. La buona notizia è che le difese di base coprono oltre il novanta per cento dei rischi reali, costano molto meno di un incidente e si possono implementare progressivamente.

Da Brentasoft seguiamo PMI italiane nella protezione dei dati gestiti dai loro ERP e CRM. Se vuoi capire il tuo livello di esposizione reale e definire un piano sostenibile sui prossimi dodici mesi, parti da una richiesta di valutazione: ti rispondiamo entro 24 ore lavorative con un primo riscontro operativo, senza impegno.

Per continuare l’approfondimento ti suggeriamo anche i sei errori cybersecurity più comuni nelle PMI italiane, l’anomaly detection applicata alle PMI e la guida generale alla sicurezza informatica per PMI.