Cybersecurity per PMI italiane 2022: 6 errori comuni e come evitarli

Il 2022 sarà ricordato come uno degli anni più duri di sempre per la sicurezza informatica delle aziende italiane. Tra l’ondata di ransomware che ha colpito le PMI della penisola, gli attacchi DDoS rivendicati dal collettivo filo-russo Killnet contro Senato, Ministero della Difesa ed Esteri, le ricadute della cyberwar Russia-Ucraina con wiper come HermeticWiper e CaddyWiper, e il ritorno in grande stile di gruppi come LockBit (versione 3.0 lanciata a giugno) e BlackCat/ALPHV, il panorama è cambiato in modo strutturale. Lo stato di emergenza cyber dichiarato dal Governo Draghi il 4 maggio scorso non era retorica: era la presa d’atto di una guerra digitale che si combatte anche dentro le piccole e medie imprese.

Il problema è che le PMI italiane sono diventate il bersaglio preferito di queste campagne. Non perché abbiano dati più preziosi, ma perché hanno difese più morbide: budget cyber inesistente, nessun team IT senior, antivirus tradizionali al posto di EDR moderni, backup non testati, password riutilizzate. Negli ultimi mesi abbiamo visto ricorrere sempre gli stessi sei errori nei clienti che ci hanno chiamato dopo un incidente. Sei errori prevenibili, che raccontiamo qui con la soluzione concreta applicata nei progetti reali.

Il contesto 2022: perché le PMI italiane sono sotto assedio

Per capire la gravità della situazione bisogna guardare ai numeri. Secondo il rapporto Clusit della prima metà del 2022, gli attacchi gravi rilevati in Italia sono cresciuti di oltre il 50% rispetto allo stesso periodo del 2021, e il ransomware rappresenta da solo circa un terzo del totale. La chiusura della gang Conti a maggio non ha alleggerito la pressione: i suoi affiliati si sono ridistribuiti su Hive, BlackCat, LockBit, Vice Society e Babuk, moltiplicando le campagne. LockBit 3.0, lanciato a fine giugno con un programma bug bounty da 1.000 a 1 milione di dollari, ha alzato l’asticella tecnica.

A questo si sono aggiunti i raid di Killnet, che da maggio prendono di mira la PA italiana con DDoS rivendicati sui canali Telegram: Senato, MISE, Ministero della Difesa, Esteri e ACI sono stati tutti colpiti. Il segnale politico è chiaro: l’Italia è target, e le PMI fornitrici vengono trascinate dentro come anelli deboli della supply chain. Sul fronte Russia-Ucraina la prima ondata di wiper distruttivi davvero efficaci (HermeticWiper, IsaacWiper, CaddyWiper) ha mostrato che esiste malware progettato per cancellare, non per cifrare in cambio di riscatto, e alcuni sample sono finiti anche in reti europee per propagazione laterale.

Infine, due eventi sottovalutati: il leak della chat interna di Conti a febbraio (un manuale operativo del ransomware regalato al mondo) e la campagna pubblica di Lapsus$ a marzo contro Nvidia, Samsung, Microsoft, Okta. Lapsus$ ha mostrato che basta un dipendente convinto a vendere le sue credenziali su Telegram per bucare aziende da decine di miliardi. Per una PMI il messaggio è chiaro: non serve essere strategici per essere colpiti. Basta essere raggiungibili.

Errore 1: password riutilizzate e nessuna MFA

Cominciamo dall’errore più banale, e anche dal più letale. Circa il 60% delle violazioni inizia da credenziali compromesse: combo di email e password sottratte a servizi terzi (LinkedIn, Dropbox, decine di forum), rivendute su mercati come Genesis o RaidForums e provate massivamente contro la posta aziendale, la VPN, il portale del gestionale. Se l’utente ha riutilizzato la stessa password tra Facebook e la mail aziendale, il gioco è fatto.

La soluzione esiste da anni e non costa quasi nulla. Punto uno: imporre un password manager aziendale. 1Password Business e Bitwarden Teams (anche nella variante self-hosted open source) costano dai 3 ai 7 euro per utente al mese e risolvono il problema alla radice: password generate, uniche, lunghe, condivise via vault. Su LastPass, citato come alternativa, preferiamo essere prudenti dopo l’annuncio di intrusione nel loro ambiente di sviluppo di pochi giorni fa: principio di precauzione.

Punto due, non negoziabile: MFA su tutto quello che si affaccia su internet. Posta, VPN, gestionale cloud, RDP, console di amministrazione. Lo studio Microsoft del 2019 mostra che la MFA blocca il 99.9% dei tentativi di account takeover. Da preferire: app TOTP (Microsoft Authenticator, Aegis, 2FAS) o token hardware FIDO2 come YubiKey o SoloKey. Da evitare l’SMS, vulnerabile a SIM swap. Su Microsoft 365 si abilitano le Security Default in pochi click; con Business Premium conviene impostare le Conditional Access policy. Costo per una PMI da 30 persone: circa 1.500 euro all’anno per il password manager, più 800-1.500 euro una tantum per i token hardware degli utenti privilegiati.

Errore 2: backup esistenti ma mai testati, e nessuna copia immutabile

Quando chiediamo a una PMI se ha il backup, la risposta è quasi sempre sì. Quando chiediamo quando è stato testato l’ultimo restore completo, cala il silenzio. Le indagini di settore raccontano che il 60% delle PMI ha un piano backup inadeguato e che, in caso di incidente, circa il 30% non riesce a ripristinare almeno parte dei dati. Le ragioni sono sempre le stesse: la copia è sullo stesso NAS cifrato dal ransomware, le credenziali del backup erano sull’AD compromesso, il file di restore è corrotto e nessuno se n’è mai accorto.

Lo standard che raccomandiamo è il 3-2-1 modernizzato con immutabilità: tre copie dei dati, su due tipologie di supporto diverse, di cui almeno una off-site, e almeno una copia immutabile o air-gapped. L’immutabilità è la chiave del 2022: LockBit e BlackCat cercano e cancellano attivamente i backup prima di cifrare. Opzioni concrete: Amazon S3 con Object Lock in Compliance, Wasabi o Backblaze B2 con immutable retention, oppure hardened repository di Veeam su Linux con XFS. Su Microsoft 365 ricordiamo che la retention nativa non è un backup: serve Veeam Backup for M365 o equivalente.

Il test conta quanto la tecnologia. Inseriamo nei piani dei clienti un restore drill trimestrale documentato: si sceglie a sorte una VM, un volume o una casella, si ripristina in ambiente isolato e si misura il tempo. Il dato che ne esce diventa il vero RTO aziendale. Per approfondire abbiamo dedicato un articolo intero alla strategia 3-2-1 e all’immutabilità.

Errore 3: patch management cronicamente in ritardo

Log4Shell è stato divulgato a dicembre 2021 e a metà 2022, durante gli audit, lo troviamo ancora vivo su server applicativi Java di clienti che pensavano di non avere Log4j. ProxyShell è ancora il vettore principale su Exchange on-premise non aggiornati. E poi c’è la vera novità del 2022: CVE-2022-30190, alias Follina, vulnerabilità in Microsoft Diagnostic Tool divulgata a maggio, sfruttata da APT e affiliati ransomware, patchata da Microsoft a giugno. A tre mesi dalla patch la troviamo ancora aperta su decine di workstation.

Il problema non è la mancanza di patch ma il processo. Tre punti operativi:

• Patch Tuesday come ritmo base: workstation e server aggiornati entro 7-14 giorni dal rilascio mensile; entro 48 ore per le CVE in active exploitation.
• Vulnerability scanning ricorrente: Tenable Nessus, Qualys VMDR o Rapid7 InsightVM per scansioni autenticate e prioritizzazione su CVSS e EPSS. Per le PMI piccole anche OpenVAS gratuito.
• Prioritizzazione su EPSS oltre il CVSS: CVSS dice quanto è grave, EPSS dice quanto è probabile che venga sfruttata nei prossimi 30 giorni.

Per parchi eterogenei aiuta un sistema centralizzato (WSUS, Microsoft Intune, ManageEngine Patch Manager Plus). Regola d’oro: ogni macchina con vulnerabilità nota e non patchata è un invito aperto.

Errore 4: antivirus tradizionale al posto di un EDR

Se il vostro antivirus lavora ancora solo per firma, nel 2022 siete in ritardo di almeno cinque anni. I ransomware moderni sono polimorfi, ricompilati per ogni vittima, usano LOLBins (PowerShell, certutil, mshta, rundll32) e si nascondono in memoria senza scrivere quasi nulla a disco. La rilevazione signature-based ha tassi di detection ridicoli.

La risposta industriale è l’EDR, Endpoint Detection and Response: osserva il comportamento dei processi, correla gli eventi e blocca le catene di attacco anche con payload sconosciuto. Sopra l’EDR molti vendor offrono il servizio MDR (Managed Detection and Response): un SOC esterno 24/7. Soluzioni mature per la fascia PMI:

• Microsoft Defender for Endpoint: incluso in M365 E5 o standalone (Plan 1/2), nativo con Azure AD.
• CrowdStrike Falcon: leader di mercato, agente leggero, prezzo premium.
• SentinelOne Singularity: ottima copertura macOS e Linux.
• Sophos Intercept X with XDR: scelta tipica PMI italiana per rapporto qualità/prezzo e rete partner locale.
• Carbon Black (VMware): soluzione enterprise consolidata.

Costo medio per endpoint: 30-80 euro all’anno. Per 50 macchine fa 1.500-4.000 euro all’anno. È circa quello che costa una consulenza di un weekend per ripristinare l’AD dopo un attacco.

Errore 5: email security gateway insufficiente

Oltre il 90% delle violazioni inizia con una mail: allegato malevolo, link a credential page fasulla, business email compromise con bonifico dirottato. L’anti-spam del dominio non basta: serve un email security gateway moderno che ispezioni allegati in sandbox, riscriva i link per analizzarli al click e usi machine learning sul testo per riconoscere il BEC.

Le opzioni:

• Microsoft Defender for Office 365: integrato in M365, Safe Links e Safe Attachments coprono molti scenari (piani E5 o standalone).
• Proofpoint: gold standard storico, ottimo motore di rilevazione BEC.
• Mimecast: forte sul mercato europeo.
• Avanan: API-based, si installa in 15 minuti su M365 o Google Workspace con post-delivery scanning.

Sopra al gateway servono i tre record che mettono in sicurezza il dominio: SPF (chi può mandare per voi), DKIM (firma crittografica) e DMARC (policy quando SPF o DKIM falliscono). Partire con DMARC in p=none per audit, salire a p=quarantine e poi p=reject. Un dominio senza DMARC reject è facilmente spoofabile da chiunque voglia impersonare il vostro CEO.

Ultimo tassello non opzionale: la formazione del personale. Piattaforme come KnowBe4, Proofpoint Security Awareness o Cofense PhishMe erogano moduli brevi (5-10 minuti al mese) e simulazioni di phishing con metriche per dipartimento. Costo: 10-20 euro per utente all’anno. Il tasso di click passa dal 25-30% del primo mese al 5-8% dopo sei mesi di formazione continua. Approfondimento dedicato sul blog.

Errore 6: nessun piano di incident response né disaster recovery

La differenza, sul campo, tra una PMI che ha un piano e una che non ce l’ha è impressionante. Con un runbook di incident response pronto e provato — chi chiamare, in quale ordine, chi isola la rete, chi alza il telefono con il CSIRT, chi comunica con la stampa — il tempo medio di rimessa in funzione si misura in ore. Senza, si misura in settimane. Abbiamo gestito casi reali di clienti rimasti fermi sei settimane dopo un ransomware, con perdite operative ben superiori al riscatto richiesto.

Il piano minimo che chiediamo a ogni cliente PMI è composto da quattro elementi:

1. Runbook IR: documento di 5-10 pagine con la catena di chiamate (responsabile IT, fornitore, consulente legale, assicurazione cyber, CSIRT, Garante per la Privacy se serve), la procedura di isolamento di rete, le credenziali break-glass per accedere all’AD anche se è compromesso, e i contatti aggiornati con numero personale.
2. Piano di DR cloud: replica regolare delle VM critiche su un secondo sito o sul cloud pubblico (Azure Site Recovery, AWS DRS, Veeam Cloud Connect), con RPO e RTO definiti per applicazione e provati almeno semestralmente. Dell’argomento parliamo nel dettaglio in un articolo dedicato al disaster recovery cloud per PMI.
3. Comunicazione interna ed esterna: chi parla con i dipendenti, chi con i clienti, chi con i media. Una comunicazione confusa moltiplica il danno reputazionale.
4. Tabletop exercise annuale: simulazione carta e penna di uno scenario (ransomware Cobalt Strike, BEC sul CFO, DDoS sul portale) che coinvolge IT, management e legale. È il modo migliore per accorgersi che il numero di telefono del fornitore di backup è obsoleto, prima che serva davvero.

Se siete una PMI senza personale dedicato, vale la pena valutare l’esternalizzazione del monitoring a un SOC o a un MSSP, argomento di un altro articolo del blog. La differenza tra rilevare un’intrusione in due ore o in due settimane spesso è proprio la differenza tra avere o non avere occhi sulla console.

GDPR e cybersecurity: l’Art.32 e la notifica entro 72 ore

Sul piano regolatorio italiano la cornice è il GDPR e la sua giurisprudenza ormai consolidata. L’Art.32 impone misure tecniche e organizzative adeguate al rischio: la parola chiave è “adeguate”, non “esistenti”. Un antivirus di sei anni fa, backup non testati e password riutilizzate non sono misure adeguate nel 2022, e il Garante per la Privacy lo ha già scritto in più provvedimenti sanzionatori.

L’Art.33 obbliga il titolare a notificare al Garante un data breach entro 72 ore dalla conoscenza, salvo che sia improbabile un rischio per i diritti degli interessati. L’Art.34 impone, nei casi di rischio elevato, anche la comunicazione agli interessati. Il conto medio delle sanzioni che vediamo per PMI italiane in caso di breach non gestito a regola d’arte oscilla tra i 5.000 e i 50.000 euro, a cui si sommano le possibili azioni risarcitorie e il danno reputazionale.

Sul piano della normativa cyber pura, l’Italia ha recepito la Direttiva NIS con il D.Lgs 65/2018, che ha istituito il CSIRT Italia presso ACN (Agenzia per la Cybersicurezza Nazionale). Per le PMI non OSE/FSD l’obbligo di notifica non è automatico, ma se siete fornitori di un’azienda regolamentata vi verrà chiesto comunque per contratto. Tenete sotto mano i framework di riferimento: ISO/IEC 27001:2013 per il sistema di gestione, NIST CSF come modello operativo, MITRE ATT&CK come lessico comune per descrivere le tecniche di attacco e mappare la difesa.

Cyber insurance in Italia: opportunità e trappole

Il mercato delle polizze cyber per PMI sta crescendo rapidamente in Italia, con prodotti di AXA, Generali, Lloyd’s e molti operatori più piccoli. Una polizza ben costruita può coprire perdita di profitti per fermo, ricostruzione dati, costi legali, gestione incidente, riscatto (con condizioni) e responsabilità verso terzi. È uno strumento utile, soprattutto per le PMI che non hanno cassa per fronteggiare uno scenario peggiore.

Due cautele importanti, però. Primo: l’assicurazione non sostituisce le misure di sicurezza, le presuppone. I questionari assuntivi sono diventati molto severi: senza MFA, EDR e backup testati la polizza non parte, oppure parte con franchigie altissime. Secondo: dopo le campagne di Killnet e i wiper russi del 2022, attenzione alla war exclusion clause dei Lloyd’s, formalizzata in modo più stringente nel 2021 e applicata dal 2022. Le polizze che escludono i cosiddetti “atti di guerra cyber” potrebbero non rispondere su un incidente attribuito a un attore statale o paraestatale, e gli attacchi rivendicati da Killnet entrano in questa zona grigia. Leggete con il vostro broker la clausola e fatevi spiegare i casi limite, con esempi concreti.

Chi chiamare in caso di incidente: CSIRT, CERT-AGID e Polizia Postale

Una delle domande che ci viene fatta più spesso a freddo, e mai a caldo, è “se mi succede a chi telefono?”. Memorizziamo qui i contatti utili:

• CSIRT Italia (ACN): punto di contatto nazionale per la segnalazione di incidenti rilevanti. Pubblica avvisi e alert tecnici, e coordina la risposta nei casi di interesse nazionale.
• CERT-AGID: si occupa della Pubblica Amministrazione, ma diffonde regolarmente bollettini settimanali sulle campagne malspam attive in Italia, utilissimi anche per i privati.
• Polizia Postale e delle Comunicazioni: per denuncia formale, indispensabile in caso di estorsione, frode o accessi abusivi. Esistono sezioni regionali con personale specializzato.
• Garante per la Privacy: per la notifica del data breach ai sensi dell’Art.33 GDPR entro 72 ore.

Aggiungete al runbook i numeri del vostro fornitore IT, del consulente legale e del broker assicurativo. Stamparli e tenerli anche in formato cartaceo: durante un ransomware grave il sistema di posta interna potrebbe essere il primo a saltare.

Gli errori “soft”: formazione, supervisione, audit

Oltre ai sei errori tecnici elencati, ne osserviamo regolarmente alcuni di tipo organizzativo. Il primo è la totale assenza di formazione strutturata del personale: la sicurezza viene affidata a una mail di Natale che ricorda di non aprire allegati sospetti. Non funziona. Servono moduli brevi, ricorrenti, integrati nei processi di onboarding e con metriche per dipartimento.

Il secondo è il “IT junior senza supervisione”: una persona sola, magari ottima ma con due anni di esperienza, che gestisce in autonomia 50 server, l’AD e il backup. Non è una critica alla persona, è un rischio di processo. Per le PMI conviene affiancare un consulente esterno senior in modalità fractional, che fa code review delle policy, audit trimestrali e mentoring sulle scelte architetturali.

Il terzo è la mancanza di un audit annuale di sicurezza indipendente. Un vulnerability assessment esterno con simulazione di phishing e revisione delle policy costa per una PMI tra i 3.000 e i 10.000 euro. Permette di scoprire ogni anno almeno 3-5 problemi seri che il team interno non vedeva perché ci convive da troppo tempo.

I 5 step minimi per partire: il “minimum vital cyber” per PMI

Se dovessimo riassumere il pacchetto minimo da implementare entro il prossimo trimestre, lo presenteremmo così, in ordine di priorità decrescente:

1. MFA su tutti gli accessi esterni + password manager aziendale (posta, VPN, gestionale, RDP). Implementazione 2-4 settimane.
2. EDR su tutti gli endpoint, server inclusi. Implementazione 2-3 settimane.
3. Backup 3-2-1 con copia immutabile e restore drill trimestrale documentato. Implementazione 3-6 settimane.
4. Patch management mensile su workstation e server, vulnerability scanning ricorrente. Implementazione 2 settimane più ritmo continuo.
5. Email security gateway moderno + DMARC reject + formazione mensile del personale. Implementazione 3-4 settimane.

Budget tipico: quanto costa partire

I numeri che vediamo nei progetti reali per una PMI italiana da 50 dipendenti, configurazione mista on-premise e cloud, sono questi:

• Password manager aziendale: 1.500-2.500 €/anno
• EDR 50 endpoint: 1.500-4.000 €/anno
• Backup cloud con immutabilità: 1.500-4.000 €/anno (in base a TB)
• Vulnerability scanning: 2.000-4.000 €/anno (o 0 con OpenVAS se gestito internamente)
• Email security gateway: 1.000-3.000 €/anno
• Formazione personale (KnowBe4 o equivalente): 500-1.500 €/anno
• Audit annuale esterno: 3.000-10.000 €/anno

Totale orientativo: 11.000-29.000 euro all’anno, cioè in media tra l’1% e il 3% del budget IT complessivo della PMI. È meno del costo medio di un giorno di fermo produzione su un ransomware riuscito. La nostra esperienza dice che il ritorno dell’investimento si misura a quattro cifre.

Roadmap di implementazione a 90 giorni

Una proposta operativa, da mettere subito in agenda:

• Settimane 1-2: assessment dello stato attuale, inventario asset, classificazione dati, gap analysis su NIST CSF.
• Settimane 3-4: deploy password manager + abilitazione MFA su posta e VPN, comunicazione interna ai dipendenti.
• Settimane 5-8: rollout EDR su tutti gli endpoint e server, configurazione policy, primo tuning.
• Settimane 6-10: revisione architettura backup, attivazione copia immutabile, primo restore drill.
• Settimane 8-10: deploy email security gateway, set DMARC in p=none, raccolta report.
• Settimane 10-12: vulnerability scanning ricorrente, piano patch mensile, prima campagna di formazione e phishing simulato, prima stesura del runbook IR.
• Settimana 13: tabletop exercise, lessons learned, ciclo successivo di 90 giorni.

FAQ

Qual è l’errore cyber più frequente nelle PMI italiane nel 2022?
La combinazione di password riutilizzate e assenza di MFA. Circa il 60% delle violazioni inizia da credenziali compromesse e l’MFA, secondo il dato Microsoft, blocca il 99.9% dei tentativi di account takeover.

Quanto costa proteggere una PMI da 50 dipendenti?
Indicativamente tra 11.000 e 29.000 euro all’anno, distribuiti su MFA + password manager, EDR, backup immutabili, vulnerability scanning, email security, formazione e audit. Tra l’1% e il 3% del budget IT.

L’antivirus tradizionale basta nel 2022?
No. I ransomware moderni sono polimorfi, fileless, e usano binari legittimi di Windows. Serve un EDR comportamentale come Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne o Sophos Intercept X.

Quali backup sono considerati adeguati oggi?
Lo standard è 3-2-1 con almeno una copia immutabile o air-gapped, e restore drill documentati almeno trimestrali. Senza test di restore il backup esiste solo sulla carta.

Quanto tempo ho per notificare un data breach al Garante?
72 ore dalla conoscenza ai sensi dell’Art.33 GDPR, salvo che il rischio per gli interessati sia improbabile. Se il rischio è elevato, l’Art.34 impone anche la comunicazione agli interessati.

La polizza cyber copre attacchi rivendicati da Killnet?
Va letta con attenzione la war exclusion clause, in particolare nelle polizze Lloyd’s: dal 2022 alcuni “atti di guerra cyber” attribuibili ad attori statali o paraestatali potrebbero essere esclusi. Confronto preventivo con il broker indispensabile.

Chi devo chiamare se subisco un incidente cyber?
In ordine: il vostro fornitore IT o consulente di sicurezza, il broker della polizza cyber, il CSIRT Italia per la segnalazione tecnica, la Polizia Postale per la denuncia formale, il Garante Privacy entro 72 ore se c’è data breach.