WhatsApp

info@brentasoft.com

WhatsApp

Richiedi Preventivo

Sicurezza informatica per PMI: la guida 2021

Tabella dei Contenuti

Sicurezza informatica per PMI: laptop con lucchetto

La sicurezza informatica per le PMI italiane non e’ piu’ un argomento da delegare al “ragazzo dell’IT” o da rimandare quando ci sara’ tempo. Nel 2020 Clusit ha registrato il numero piu’ alto di attacchi informatici gravi mai documentato in Italia, e le piccole e medie imprese sono ormai bersaglio sistematico di ransomware, phishing e furto di dati. Questa guida 2021 spiega in modo concreto cosa significa fare cybersecurity in una PMI: i rischi reali, le misure di base che ogni azienda dovrebbe adottare, gli errori piu’ comuni e come costruire una strategia sostenibile, anche con budget contenuti.

L’obiettivo non e’ trasformare la tua azienda in una fortezza digitale, ma alzare il costo dell’attacco abbastanza da rendere la tua PMI un bersaglio poco interessante. La maggior parte degli attacchi che colpiscono le piccole imprese italiane sfrutta vulnerabilita’ banali: password deboli, mancato aggiornamento dei software, dipendenti non formati, backup assenti o non testati. Affrontare questi punti significa proteggere il 90% del perimetro reale.

Cybersecurity per PMI italiane: lo stato 2021

Il Clusit Report 2021 fotografa una situazione critica: il 2020 e’ stato l’anno peggiore di sempre per la cybersecurity italiana, con un incremento a doppia cifra degli attacchi gravi rispetto al 2019. La pandemia ha accelerato la digitalizzazione delle PMI, spesso senza un’adeguata pianificazione della sicurezza: smart working improvvisato, VPN configurate in fretta, dispositivi personali usati per accedere a dati aziendali, cloud adottati senza policy chiare.

Secondo i dati della Polizia Postale, in Italia nel 2020 sono stati denunciati circa 50.000 reati informatici, con un’esplosione di frodi online, ransomware e attacchi a infrastrutture critiche. Le PMI rappresentano il bersaglio ideale per i criminali informatici per tre motivi:

  • Difese inferiori rispetto alle grandi aziende, che dispongono di SOC interni e budget dedicati
  • Dati di valore (clienti, fornitori, brevetti, contratti) che possono essere monetizzati o usati come leva di ricatto
  • Catena di fornitura: una PMI compromessa puo’ diventare il vettore per attaccare un cliente piu’ grande (supply chain attack)

L’ENISA, l’agenzia europea per la cybersecurity, ha pubblicato linee guida specifiche per le PMI proprio nel 2021, riconoscendo che il rischio non e’ piu’ “se” ma “quando” si verifichera’ un incidente. Per chi gestisce dati personali, la compliance GDPR e’ un requisito non negoziabile, e include obblighi precisi sulla sicurezza dei trattamenti.

I 7 rischi piu’ comuni per una PMI italiana

Conoscere i rischi e’ il primo passo per difendersi. Ecco i sette scenari di minaccia che, secondo i dati Clusit e Polizia Postale, colpiscono piu’ frequentemente le piccole e medie imprese italiane.

1. Phishing

L’email di phishing resta il vettore d’attacco numero uno. Nel 2021 abbiamo visto campagne mirate contro PMI italiane che imitano fatture elettroniche, comunicazioni bancarie, PEC, pacchi in giacenza. Il spear phishing usa informazioni pubbliche (LinkedIn, sito aziendale) per personalizzare il messaggio e renderlo credibile. Una variante crescente e’ il BEC (Business Email Compromise): l’attaccante si finge l’amministratore e richiede un bonifico urgente al CFO.

2. Ransomware

Famiglie come REvil, Maze, Conti, Ryuk hanno colpito decine di PMI italiane nel 2020-2021. Il modello e’ evoluto: oltre a cifrare i file, gli attaccanti esfiltrano i dati e minacciano la pubblicazione (double extortion). Il riscatto medio richiesto a una PMI italiana nel 2021 oscilla tra 20.000 e 200.000 euro.

3. Social engineering

Telefonate a centralino fingendosi tecnici Microsoft, finti corrieri che chiedono accesso fisico, profili LinkedIn falsi che contattano il responsabile acquisti. Le persone restano l’anello debole: nessun firewall protegge da un dipendente che fornisce volontariamente le credenziali.

4. Insider threat

Dipendenti scontenti, ex collaboratori con accessi non revocati, terzi (consulenti, fornitori IT) con permessi eccessivi. La maggior parte degli incidenti “interni” non e’ dolosa ma colposa: file condivisi per errore, email inviate al destinatario sbagliato, USB perse.

5. Malware

Trojan bancari, keylogger, miner di criptovalute. L’infezione avviene tipicamente via allegato email, software craccato scaricato da un dipendente, o aggiornamento finto. Il caso SolarWinds (2020) ha mostrato come anche software legittimi possano essere compromessi a monte.

6. Password deboli

“Azienda2021”, “Mario1980”, “123456”: password che resistono pochi secondi a un attacco brute force. Senza un password manager e l’autenticazione a due fattori, la sicurezza degli account e’ un’illusione.

7. Configurazioni errate

Database MongoDB esposti su internet senza autenticazione, bucket S3 pubblici, RDP aperto sulla porta 3389, condivisioni SMB accessibili dall’esterno. Ogni anno migliaia di PMI italiane scoprono che i loro dati erano accessibili a chiunque per mesi.

Attacco informatico contro PMI italiana
Gli attacchi informatici contro le PMI italiane sono cresciuti del 60% nel 2020

Gli attacchi piu’ frequenti contro le PMI italiane

I dati 2020-2021 mostrano un pattern ricorrente di attacchi alle PMI italiane. Vediamo i piu’ diffusi e come si manifestano nella pratica.

Ransomware via RDP esposto: l’attaccante scansiona internet alla ricerca di porte 3389 aperte, esegue brute force sulle credenziali, accede al server, disabilita antivirus e backup, lancia il payload. Tempo medio dall’accesso al riscatto: 24-72 ore. Soluzione: chiudere RDP da internet, esporre solo via VPN con 2FA.

Phishing con macro malevole: arriva un’email con una “fattura” Word o Excel. All’apertura, una macro scarica il malware vero e proprio. Soluzione: disabilitare macro per default, formare il personale, usare gateway email con sandbox.

Furto di credenziali via fake login: pagine clone di Office 365, Google Workspace, banche. Soluzione: 2FA obbligatoria su tutti gli account critici, formazione anti-phishing, password manager con auto-fill (riempie solo sui domini reali).

Attacchi alla supply chain: l’attaccante non ti colpisce direttamente, ma compromette un fornitore (gestionale, antivirus, software contabile) e usa l’aggiornamento legittimo come trojan horse. Il caso CCleaner e poi SolarWinds hanno reso questa minaccia centrale.

Esfiltrazione dati senza ransomware: a volte l’attaccante non cifra nulla, copia silenziosamente database clienti, brevetti, listini, e li rivende sul dark web o li usa per estorsione. Il danno reputazionale e GDPR puo’ essere superiore al ransomware.

Le 8 misure di base che ogni PMI dovrebbe applicare

Nessuna strategia di sicurezza e’ completa senza queste otto misure di base. Sono il minimo sindacale per una PMI italiana nel 2021, e coprono la maggior parte degli scenari realistici.

  1. Inventario degli asset: sai esattamente quanti server, PC, telefoni, account cloud ha la tua azienda? Senza inventario non c’e’ protezione possibile. Anche un foglio Excel ben mantenuto e’ meglio di niente.
  2. Aggiornamenti automatici: Windows, Office, browser, antivirus, firmware router. Il 60% delle vulnerabilita’ sfruttate nel 2021 aveva una patch disponibile da mesi.
  3. Antivirus EDR: gli antivirus tradizionali non bastano piu’. Soluzioni EDR (Endpoint Detection and Response) come SentinelOne, CrowdStrike, Microsoft Defender for Business rilevano comportamenti anomali, non solo signature.
  4. Backup 3-2-1: tre copie dei dati, su due supporti diversi, una off-site (cloud o nastro fuori sede). E testare i ripristini almeno trimestralmente.
  5. Password manager aziendale: 1Password Business, Bitwarden, LastPass Business. Ogni account un password unica e robusta, condivisione sicura con i collaboratori.
  6. 2FA ovunque: email, gestionali, banche, VPN, social aziendali. App TOTP (Google Authenticator, Authy, Microsoft Authenticator) o chiavi hardware (YubiKey).
  7. Firewall configurato correttamente: Cisco, Fortinet, SonicWall, pfSense. Regole di default deny, segmentazione rete, log abilitato e monitorato.
  8. Formazione del personale: corsi anti-phishing trimestrali, simulazioni di attacco, policy chiare su uso di USB, password, dispositivi personali.

Queste misure non richiedono budget enormi: con 50-150 euro per dipendente all’anno una PMI puo’ coprire l’80% del rischio. Per chi cerca soluzioni cloud sicure, il vantaggio e’ che molti di questi controlli sono gia’ integrati nei servizi gestiti.

Formazione cybersecurity per dipendenti PMI
La formazione del personale e’ la misura piu’ efficace contro phishing e social engineering

Backup, password manager, 2FA: le basi spesso ignorate

Su queste tre misure si gioca la differenza tra una PMI che si rialza dopo un incidente e una che chiude i battenti. Nel 60% dei casi di ransomware analizzati nel 2020, le aziende non avevano backup utilizzabili: o non li facevano, o erano sulla stessa rete e venivano cifrati anche loro, o non erano mai stati testati.

Backup 3-2-1 in pratica: la regola classica prevede tre copie totali, su almeno due tipologie di supporto (es. disco e cloud), con una copia fisicamente o logicamente isolata. Per una PMI tipica significa: backup giornaliero su NAS interno, replica notturna su cloud (Backblaze, Wasabi, AWS S3 Glacier), snapshot settimanali immutabili. Il backup va testato: un ripristino non testato e’ un backup che non esiste. Pianifica un test di disaster recovery almeno una volta l’anno.

Password manager: nel 2021 le opzioni serie per PMI italiane sono 1Password Business (4-8 dollari/utente/mese, ottima UX), Bitwarden (open source, da 3 dollari/utente/mese, self-hostable), LastPass Business (storico, ma con problemi di sicurezza nel 2022). La regola: ogni account un password unica generata, niente riutilizzi, niente post-it, condivisione tramite vault (mai via email o chat).

Autenticazione a due fattori: l’ordine di preferenza nel 2021 e’:

  1. Chiave hardware FIDO2/U2F (YubiKey, Feitian): massima sicurezza, immune a phishing
  2. App TOTP (Authy, Google Authenticator): buon compromesso, gratis
  3. SMS: meglio di niente, ma vulnerabile a SIM swap, da evitare per account critici

Una buona pratica e’ implementare 2FA con backup codes stampati in cassaforte, per evitare lockout in caso di smartphone perso o rubato.

Email security: phishing, MX records, DMARC/SPF/DKIM

L’email resta il vettore numero uno. Proteggerla significa lavorare su due fronti: filtri in ingresso (gateway anti-phishing, sandbox allegati) e autenticazione del proprio dominio in uscita (per evitare che gli attaccanti spedicano email a tuo nome).

I tre record DNS fondamentali sono:

  • SPF (Sender Policy Framework): dichiara quali server sono autorizzati a inviare email per il tuo dominio. Esempio: v=spf1 include:_spf.google.com -all
  • DKIM (DomainKeys Identified Mail): firma crittografica delle email in uscita, verificabile dal destinatario tramite DNS
  • DMARC (Domain-based Message Authentication, Reporting & Conformance): policy che dice ai server riceventi cosa fare con email che falliscono SPF/DKIM (none, quarantine, reject) e dove inviare i report

Una PMI senza DMARC in policy reject consente a chiunque di spedire email finte a nome del suo dominio, danneggiando reputazione e clienti. La configurazione corretta richiede 1-2 giorni di lavoro e un periodo di monitoraggio dei report (4-8 settimane in policy none) prima di passare a quarantine e poi a reject.

Sul fronte gateway, soluzioni come Proofpoint, Mimecast, Barracuda filtrano email malevole prima che raggiungano la casella. In alternativa, le suite Microsoft 365 Business Premium e Google Workspace Business Plus includono filtri avanzati nativi.

Firewall e VPN aziendale

Il perimetro di rete tradizionale (LAN dietro firewall) si e’ frammentato con lo smart working. Oggi una PMI deve proteggere tre fronti: la sede fisica, gli accessi remoti, i servizi cloud.

Firewall: i leader 2021 per PMI italiane sono Cisco Meraki MX, Fortinet FortiGate, SonicWall, WatchGuard. Le funzionalita’ minime da pretendere sono: stateful inspection, IPS/IDS, web filtering, application control, log centralizzato, supporto VPN site-to-site e client. Per piccole sedi (5-20 PC) un firewall di fascia entry-level con licenza annuale (200-800 euro/anno) e’ sufficiente.

VPN aziendale: per smart working e accessi remoti la VPN e’ obbligatoria. Le opzioni sono:

  • VPN client classica (IPSec, OpenVPN, WireGuard): connette il PC del dipendente alla rete aziendale
  • SASE / ZTNA (Zero Trust Network Access): approccio moderno dove ogni accesso e’ verificato per utente, dispositivo, applicazione. Soluzioni: Cloudflare Access, Zscaler, Cisco Duo

Per PMI con 10-50 dipendenti, una VPN WireGuard self-hosted o un OpenVPN su firewall e’ il punto di partenza piu’ economico. Per crescere e gestire decine di accessi, ZTNA e’ la direzione del futuro.

Sicurezza del personale: formazione e cultura

La tecnologia da sola non basta. Il 90% degli incidenti analizzati da Clusit ha una componente umana: qualcuno ha cliccato un link, aperto un allegato, fornito una password, lasciato un PC sbloccato. La cultura della sicurezza in azienda e’ il moltiplicatore di tutte le altre misure.

Una strategia di security awareness per PMI include:

  1. Onboarding: ogni nuovo assunto riceve formazione di base (1-2 ore) su phishing, password, dati personali, GDPR, policy aziendali
  2. Corsi annuali obbligatori: 30-60 minuti di e-learning aggiornato sulle minacce dell’anno
  3. Phishing simulato: campagne trimestrali (KnowBe4, Cofense, Hoxhunt) misurano il tasso di click e identificano chi ha bisogno di formazione mirata
  4. Policy scritte e firmate: uso accettabile, password, dispositivi personali (BYOD), gestione incidenti
  5. Cultura dell’errore: incoraggiare i dipendenti a segnalare email sospette o errori commessi senza paura di sanzioni. Un click segnalato in 5 minuti puo’ evitare un incidente da 50.000 euro

Non sottovalutare la gestione utenti e permessi: il principio del minimo privilegio (least privilege) richiede che ogni utente abbia solo gli accessi strettamente necessari al suo ruolo, e che gli accessi siano revisionati almeno semestralmente.

Disaster recovery e business continuity

Quando l’incidente accade, la differenza tra una PMI che riprende le operazioni in 4 ore e una che resta ferma 4 settimane sta nel piano di disaster recovery. Non serve un manuale di 200 pagine: bastano alcune risposte chiare scritte e testate.

Le domande fondamentali sono:

  • RTO (Recovery Time Objective): in quante ore devi tornare operativo? 1 ora? 24 ore? 1 settimana?
  • RPO (Recovery Point Objective): quanti dati puoi permetterti di perdere? Le ultime 24 ore? Le ultime 4 ore? L’ultima ora?
  • Chi attiva il piano? Chi sostituisce il responsabile IT se non e’ raggiungibile?
  • Come comunichi con clienti, fornitori, dipendenti se l’email e’ giu’?
  • Dove ripristini se la sede fisica non e’ accessibile?

Un piano DR realistico per PMI prevede: backup cloud immutabile, infrastruttura ridondata in cloud (anche solo come “bare bone” attivabile in caso di disastro), procedure scritte di failover, test annuale completo. Il costo per una PMI media (20 dipendenti, 1 server) si aggira sui 300-1000 euro al mese, una frazione del costo di una settimana di fermo.

Backup dati aziendali in data center sicuro
Backup 3-2-1 con copia off-site immutabile: il salvavita contro il ransomware

Sicurezza nel software gestionale e CRM

Il gestionale aziendale e il CRM sono il cuore digitale della PMI: contengono dati di clienti, fornitori, fatture, contratti, anagrafiche dipendenti. Una compromissione qui equivale alla paralisi totale. Le caratteristiche di sicurezza che dovresti pretendere da qualunque gestionale moderno sono:

  • Autenticazione a due fattori nativa: non opzionale, non a pagamento aggiuntivo. Disponibile per tutti gli utenti.
  • Ruoli e permessi granulari: l’addetto magazzino non deve vedere il listino acquisti, il commerciale non deve modificare le fatture passive.
  • Log accessi e operazioni: chi ha visualizzato cosa, chi ha modificato cosa, quando. Conservazione log minimo 6-12 mesi.
  • Backup automatici cifrati: con retention configurabile e ripristino self-service.
  • Crittografia in transito (TLS 1.2+) e a riposo: dati sempre cifrati, anche nei backup.
  • Conformita’ GDPR: registro trattamenti integrato, gestione consensi, export dati per richieste di portabilita’, cancellazione automatizzata.
  • Aggiornamenti di sicurezza tempestivi: patch per vulnerabilita’ note rilasciate entro 30-90 giorni dalla scoperta.
  • Audit trail immutabile per le operazioni critiche (modifica fatture, cancellazione anagrafiche).

Per PMI italiane, il consiglio e’ privilegiare gestionali progettati con security by design e gia’ conformi alle normative italiane ed europee. Per un approfondimento sulla compliance, leggi la nostra guida GDPR aziendale per PMI 2021 nel pillar dedicato.

Errori frequenti e come evitarli

Ecco gli errori che vediamo ripetersi nelle PMI italiane, con il rispettivo correttivo.

Errore 1: “Siamo troppo piccoli per essere attaccati”. Falso: il 43% degli attacchi colpisce piccole imprese, proprio perche’ sono meno protette. Correttivo: applica le 8 misure di base, non aspettare l’incidente.

Errore 2: Backup sulla stessa rete. Il ransomware cifra anche i NAS condivisi. Correttivo: backup off-site cifrato, immutabile, testato.

Errore 3: Stesso amministratore per tutto. Account “Administrator” usato per email, RDP, gestionale. Correttivo: account separati per uso quotidiano e amministrazione, just-in-time admin.

Errore 4: VPN senza 2FA. Una credenziale rubata = accesso completo alla rete. Correttivo: 2FA obbligatoria su VPN.

Errore 5: “Ci pensa il consulente IT”. Il consulente esterno ha mille clienti, la sicurezza non e’ la sua priorita’ principale. Correttivo: contratto SLA scritto, controlli periodici, audit indipendente annuale.

Errore 6: Niente formazione. “I miei dipendenti sono svegli”. I phishing del 2021 ingannerebbero chiunque senza training. Correttivo: formazione strutturata, simulazioni trimestrali.

Errore 7: Polizza assicurativa come unica difesa. La cyber insurance copre i danni economici, non riporta in vita un’azienda chiusa per 3 mesi. Correttivo: l’assicurazione integra le misure tecniche, non le sostituisce.

Errore 8: Rimandare. “Ci pensiamo il prossimo trimestre”. Il prossimo trimestre puo’ essere troppo tardi. Correttivo: definisci una roadmap a 90 giorni e parti dalle priorita’ (backup, 2FA, formazione).

Domande frequenti

Quanto deve investire una PMI in cybersecurity?
Una stima ragionevole e’ il 5-10% del budget IT complessivo, o 50-150 euro per dipendente all’anno per le misure di base. Le PMI che gestiscono dati sensibili (sanitario, finanziario, legale) dovrebbero investire di piu’, fino al 15-20% del budget IT.

Serve un CISO interno?
Per PMI sotto i 50 dipendenti normalmente no. Sufficienti un responsabile IT formato sulla sicurezza e un consulente esterno (vCISO) per audit e strategia. Oltre i 100 dipendenti o in settori regolamentati, un CISO part-time o full-time diventa giustificato.

Cosa fare in caso di attacco ransomware?
Non pagare immediatamente, isolare i sistemi infetti, contattare la Polizia Postale (denuncia obbligatoria entro 72h se ci sono dati personali coinvolti, per GDPR), attivare il piano DR, valutare con esperti forensi se i backup sono utilizzabili. Pagare il riscatto e’ spesso una scommessa: nel 30% dei casi i decryptor non funzionano o sono parziali.

La certificazione ISO 27001 e’ utile per una PMI?
ISO 27001 e’ utile se hai clienti enterprise che la richiedono o se operi in settori regolamentati. Per altre PMI, e’ meglio partire da framework piu’ agili come CIS Controls o NIST CSF, che indicano le priorita’ senza richiedere il rigore documentale ISO.

Cloud o on-premise: cosa e’ piu’ sicuro?
Dipende. I grandi cloud (AWS, Azure, Google Cloud) sono mediamente piu’ sicuri di un server in cantina, ma richiedono competenze specifiche per essere configurati correttamente. Un server on-premise gestito da un IT competente puo’ essere altrettanto sicuro. Il problema non e’ “dove” stanno i dati, ma “come” sono protetti.

Quanto spesso fare un penetration test?
Per PMI con esposizione internet (e-commerce, portali clienti, applicazioni web): annualmente. Per PMI senza servizi pubblici esposti: ogni 2-3 anni o dopo modifiche significative all’infrastruttura. Un vulnerability assessment automatico (Nessus, Qualys) andrebbe fatto trimestralmente.

Come scelgo un fornitore IT affidabile?
Verifica certificazioni (ISO 27001, partnership Microsoft/Cisco/Fortinet), chiedi referenze di altri clienti PMI, pretendi un contratto scritto con SLA chiari, retention dei log, procedure di gestione incidenti. Diffida di chi promette “sicurezza totale”: non esiste.

Vuoi un sistema gestionale gia a norma di sicurezza?

Brentasoft sviluppa software con security by design: log accessi, ruoli granulari, 2FA, backup automatici, conformita GDPR e ISO 27001 per PMI italiane.

Scopri ERP Brenta →

La sicurezza informatica per le PMI italiane nel 2021 non e’ un costo opzionale, e’ un investimento sulla continuita’ del business. Le misure di base, applicate con metodo, riducono drasticamente il rischio senza richiedere budget enterprise. Inizia da backup, 2FA e formazione: e’ il modo piu’ rapido per alzare il livello di protezione e dormire piu’ tranquilli.