{"id":2296,"date":"2022-08-11T16:42:00","date_gmt":"2022-08-11T14:42:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/cybersecurity-pmi-italiane-6-errori-comuni-evitare-2022\/"},"modified":"2026-06-08T08:34:45","modified_gmt":"2026-06-08T06:34:45","slug":"cybersecurity-pmi-italiane-6-errori-comuni-evitare-2022","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/cybersecurity-pmi-italiane-6-errori-comuni-evitare-2022\/","title":{"rendered":"Cybersecurity per PMI italiane 2022: 6 errori comuni e come evitarli"},"content":{"rendered":"

Il 2022 sar\u00e0 ricordato come uno degli anni pi\u00f9 duri di sempre per la sicurezza informatica delle aziende italiane. Tra l’ondata di ransomware che ha colpito le PMI della penisola, gli attacchi DDoS rivendicati dal collettivo filo-russo Killnet contro Senato, Ministero della Difesa ed Esteri, le ricadute della cyberwar Russia-Ucraina con wiper come HermeticWiper e CaddyWiper, e il ritorno in grande stile di gruppi come LockBit (versione 3.0 lanciata a giugno) e BlackCat\/ALPHV, il panorama \u00e8 cambiato in modo strutturale. Lo stato di emergenza cyber dichiarato dal Governo Draghi il 4 maggio scorso non era retorica: era la presa d’atto di una guerra digitale che si combatte anche dentro le piccole e medie imprese.<\/p>\n

Il problema \u00e8 che le PMI italiane sono diventate il bersaglio preferito di queste campagne. Non perch\u00e9 abbiano dati pi\u00f9 preziosi, ma perch\u00e9 hanno difese pi\u00f9 morbide: budget cyber inesistente, nessun team IT senior, antivirus tradizionali al posto di EDR moderni, backup non testati, password riutilizzate. Negli ultimi mesi abbiamo visto ricorrere sempre gli stessi sei errori nei clienti che ci hanno chiamato dopo un incidente. Sei errori prevenibili, che raccontiamo qui con la soluzione concreta applicata nei progetti reali.<\/p>\n

\n

TL;DR \u2014 I 6 errori cyber pi\u00f9 frequenti nelle PMI italiane nel 2022<\/p>\n

    \n
  1. Password riutilizzate e nessuna autenticazione multi-fattore (MFA)<\/li>\n
  2. Backup esistenti ma non testati e senza copia immutabile<\/li>\n
  3. Patch management cronicamente in ritardo (Log4Shell, Follina, ProxyShell ancora vivi)<\/li>\n
  4. Antivirus tradizionale signature-based al posto di un EDR<\/li>\n
  5. Email security gateway insufficiente e nessun DMARC\/DKIM\/SPF<\/li>\n
  6. Nessun piano di incident response n\u00e9 disaster recovery testato<\/li>\n<\/ol>\n<\/div>\n

    Il contesto 2022: perch\u00e9 le PMI italiane sono sotto assedio<\/h2>\n

    Per capire la gravit\u00e0 della situazione bisogna guardare ai numeri. Secondo il rapporto Clusit della prima met\u00e0 del 2022, gli attacchi gravi rilevati in Italia sono cresciuti di oltre il 50% rispetto allo stesso periodo del 2021, e il ransomware rappresenta da solo circa un terzo del totale. La chiusura della gang Conti a maggio non ha alleggerito la pressione: i suoi affiliati si sono ridistribuiti su Hive, BlackCat, LockBit, Vice Society e Babuk, moltiplicando le campagne. LockBit 3.0, lanciato a fine giugno con un programma bug bounty da 1.000 a 1 milione di dollari, ha alzato l’asticella tecnica.<\/p>\n

    A questo si sono aggiunti i raid di Killnet, che da maggio prendono di mira la PA italiana con DDoS rivendicati sui canali Telegram: Senato, MISE, Ministero della Difesa, Esteri e ACI sono stati tutti colpiti. Il segnale politico \u00e8 chiaro: l’Italia \u00e8 target, e le PMI fornitrici vengono trascinate dentro come anelli deboli della supply chain. Sul fronte Russia-Ucraina la prima ondata di wiper distruttivi davvero efficaci (HermeticWiper, IsaacWiper, CaddyWiper) ha mostrato che esiste malware progettato per cancellare, non per cifrare in cambio di riscatto, e alcuni sample sono finiti anche in reti europee per propagazione laterale.<\/p>\n

    Infine, due eventi sottovalutati: il leak della chat interna di Conti a febbraio (un manuale operativo del ransomware regalato al mondo) e la campagna pubblica di Lapsus$ a marzo contro Nvidia, Samsung, Microsoft, Okta. Lapsus$ ha mostrato che basta un dipendente convinto a vendere le sue credenziali su Telegram per bucare aziende da decine di miliardi. Per una PMI il messaggio \u00e8 chiaro: non serve essere strategici per essere colpiti. Basta essere raggiungibili.<\/p>\n

    \"Team<\/p>\n

    Errore 1: password riutilizzate e nessuna MFA<\/h2>\n

    Cominciamo dall’errore pi\u00f9 banale, e anche dal pi\u00f9 letale. Circa il 60% delle violazioni inizia da credenziali compromesse: combo di email e password sottratte a servizi terzi (LinkedIn, Dropbox, decine di forum), rivendute su mercati come Genesis o RaidForums e provate massivamente contro la posta aziendale, la VPN, il portale del gestionale. Se l’utente ha riutilizzato la stessa password tra Facebook e la mail aziendale, il gioco \u00e8 fatto.<\/p>\n

    La soluzione esiste da anni e non costa quasi nulla. Punto uno: imporre un password manager aziendale. 1Password Business<\/strong> e Bitwarden Teams<\/strong> (anche nella variante self-hosted open source) costano dai 3 ai 7 euro per utente al mese e risolvono il problema alla radice: password generate, uniche, lunghe, condivise via vault. Su LastPass, citato come alternativa, preferiamo essere prudenti dopo l’annuncio di intrusione nel loro ambiente di sviluppo di pochi giorni fa: principio di precauzione.<\/p>\n

    Punto due, non negoziabile: MFA su tutto quello che si affaccia su internet<\/strong>. Posta, VPN, gestionale cloud, RDP, console di amministrazione. Lo studio Microsoft del 2019 mostra che la MFA blocca il 99.9% dei tentativi di account takeover. Da preferire: app TOTP (Microsoft Authenticator, Aegis, 2FAS) o token hardware FIDO2 come YubiKey o SoloKey. Da evitare l’SMS, vulnerabile a SIM swap. Su Microsoft 365 si abilitano le Security Default in pochi click; con Business Premium conviene impostare le Conditional Access policy. Costo per una PMI da 30 persone: circa 1.500 euro all’anno per il password manager, pi\u00f9 800-1.500 euro una tantum per i token hardware degli utenti privilegiati.<\/p>\n

    Errore 2: backup esistenti ma mai testati, e nessuna copia immutabile<\/h2>\n

    Quando chiediamo a una PMI se ha il backup, la risposta \u00e8 quasi sempre s\u00ec. Quando chiediamo quando \u00e8 stato testato l’ultimo restore completo, cala il silenzio. Le indagini di settore raccontano che il 60% delle PMI ha un piano backup inadeguato e che, in caso di incidente, circa il 30% non riesce a ripristinare almeno parte dei dati. Le ragioni sono sempre le stesse: la copia \u00e8 sullo stesso NAS cifrato dal ransomware, le credenziali del backup erano sull’AD compromesso, il file di restore \u00e8 corrotto e nessuno se n’\u00e8 mai accorto.<\/p>\n

    Lo standard che raccomandiamo \u00e8 il 3-2-1 modernizzato con immutabilit\u00e0<\/strong>: tre copie dei dati, su due tipologie di supporto diverse, di cui almeno una off-site, e almeno una copia immutabile o air-gapped. L’immutabilit\u00e0 \u00e8 la chiave del 2022: LockBit e BlackCat cercano e cancellano attivamente i backup prima di cifrare. Opzioni concrete: Amazon S3 con Object Lock<\/strong> in Compliance, Wasabi<\/strong> o Backblaze B2<\/strong> con immutable retention, oppure hardened repository di Veeam<\/strong> su Linux con XFS. Su Microsoft 365 ricordiamo che la retention nativa non \u00e8 un backup: serve Veeam Backup for M365 o equivalente.<\/p>\n

    Il test conta quanto la tecnologia. Inseriamo nei piani dei clienti un restore drill trimestrale documentato: si sceglie a sorte una VM, un volume o una casella, si ripristina in ambiente isolato e si misura il tempo. Il dato che ne esce diventa il vero RTO aziendale. Per approfondire abbiamo dedicato un articolo intero alla strategia 3-2-1 e all’immutabilit\u00e0.<\/p>\n

    Errore 3: patch management cronicamente in ritardo<\/h2>\n

    Log4Shell \u00e8 stato divulgato a dicembre 2021 e a met\u00e0 2022, durante gli audit, lo troviamo ancora vivo su server applicativi Java di clienti che pensavano di non avere Log4j. ProxyShell \u00e8 ancora il vettore principale su Exchange on-premise non aggiornati. E poi c’\u00e8 la vera novit\u00e0 del 2022: CVE-2022-30190, alias Follina<\/strong>, vulnerabilit\u00e0 in Microsoft Diagnostic Tool divulgata a maggio, sfruttata da APT e affiliati ransomware, patchata da Microsoft a giugno. A tre mesi dalla patch la troviamo ancora aperta su decine di workstation.<\/p>\n

    Il problema non \u00e8 la mancanza di patch ma il processo. Tre punti operativi:<\/p>\n

      \n
    • Patch Tuesday come ritmo base<\/strong>: workstation e server aggiornati entro 7-14 giorni dal rilascio mensile; entro 48 ore per le CVE in active exploitation.<\/li>\n
    • Vulnerability scanning ricorrente<\/strong>: Tenable Nessus<\/strong>, Qualys VMDR<\/strong> o Rapid7 InsightVM<\/strong> per scansioni autenticate e prioritizzazione su CVSS e EPSS. Per le PMI piccole anche OpenVAS gratuito.<\/li>\n
    • Prioritizzazione su EPSS oltre il CVSS<\/strong>: CVSS dice quanto \u00e8 grave, EPSS dice quanto \u00e8 probabile che venga sfruttata nei prossimi 30 giorni.<\/li>\n<\/ul>\n

      Per parchi eterogenei aiuta un sistema centralizzato (WSUS<\/strong>, Microsoft Intune<\/strong>, ManageEngine Patch Manager Plus<\/strong>). Regola d’oro: ogni macchina con vulnerabilit\u00e0 nota e non patchata \u00e8 un invito aperto.<\/p>\n

      \"Server<\/p>\n

      Errore 4: antivirus tradizionale al posto di un EDR<\/h2>\n

      Se il vostro antivirus lavora ancora solo per firma, nel 2022 siete in ritardo di almeno cinque anni. I ransomware moderni sono polimorfi, ricompilati per ogni vittima, usano LOLBins (PowerShell, certutil, mshta, rundll32) e si nascondono in memoria senza scrivere quasi nulla a disco. La rilevazione signature-based ha tassi di detection ridicoli.<\/p>\n

      La risposta industriale \u00e8 l’EDR<\/strong>, Endpoint Detection and Response: osserva il comportamento dei processi, correla gli eventi e blocca le catene di attacco anche con payload sconosciuto. Sopra l’EDR molti vendor offrono il servizio MDR (Managed Detection and Response): un SOC esterno 24\/7. Soluzioni mature per la fascia PMI:<\/p>\n

        \n
      • Microsoft Defender for Endpoint<\/strong>: incluso in M365 E5 o standalone (Plan 1\/2), nativo con Azure AD.<\/li>\n
      • CrowdStrike Falcon<\/strong>: leader di mercato, agente leggero, prezzo premium.<\/li>\n
      • SentinelOne Singularity<\/strong>: ottima copertura macOS e Linux.<\/li>\n
      • Sophos Intercept X with XDR<\/strong>: scelta tipica PMI italiana per rapporto qualit\u00e0\/prezzo e rete partner locale.<\/li>\n
      • Carbon Black<\/strong> (VMware): soluzione enterprise consolidata.<\/li>\n<\/ul>\n

        Costo medio per endpoint: 30-80 euro all’anno. Per 50 macchine fa 1.500-4.000 euro all’anno. \u00c8 circa quello che costa una consulenza di un weekend per ripristinare l’AD dopo un attacco.<\/p>\n

        Errore 5: email security gateway insufficiente<\/h2>\n

        Oltre il 90% delle violazioni inizia con una mail: allegato malevolo, link a credential page fasulla, business email compromise con bonifico dirottato. L’anti-spam del dominio non basta: serve un email security gateway moderno che ispezioni allegati in sandbox, riscriva i link per analizzarli al click e usi machine learning sul testo per riconoscere il BEC.<\/p>\n

        Le opzioni:<\/p>\n

          \n
        • Microsoft Defender for Office 365<\/strong>: integrato in M365, Safe Links e Safe Attachments coprono molti scenari (piani E5 o standalone).<\/li>\n
        • Proofpoint<\/strong>: gold standard storico, ottimo motore di rilevazione BEC.<\/li>\n
        • Mimecast<\/strong>: forte sul mercato europeo.<\/li>\n
        • Avanan<\/strong>: API-based, si installa in 15 minuti su M365 o Google Workspace con post-delivery scanning.<\/li>\n<\/ul>\n

          Sopra al gateway servono i tre record che mettono in sicurezza il dominio: SPF<\/strong> (chi pu\u00f2 mandare per voi), DKIM<\/strong> (firma crittografica) e DMARC<\/strong> (policy quando SPF o DKIM falliscono). Partire con DMARC in p=none per audit, salire a p=quarantine e poi p=reject. Un dominio senza DMARC reject \u00e8 facilmente spoofabile da chiunque voglia impersonare il vostro CEO.<\/p>\n

          Ultimo tassello non opzionale: la formazione del personale. Piattaforme come KnowBe4<\/strong>, Proofpoint Security Awareness<\/strong> o Cofense PhishMe<\/strong> erogano moduli brevi (5-10 minuti al mese) e simulazioni di phishing con metriche per dipartimento. Costo: 10-20 euro per utente all’anno. Il tasso di click passa dal 25-30% del primo mese al 5-8% dopo sei mesi di formazione continua. Approfondimento dedicato sul blog.<\/p>\n

          \"Avviso<\/p>\n

          Errore 6: nessun piano di incident response n\u00e9 disaster recovery<\/h2>\n

          La differenza, sul campo, tra una PMI che ha un piano e una che non ce l’ha \u00e8 impressionante. Con un runbook di incident response pronto e provato \u2014 chi chiamare, in quale ordine, chi isola la rete, chi alza il telefono con il CSIRT, chi comunica con la stampa \u2014 il tempo medio di rimessa in funzione si misura in ore. Senza, si misura in settimane. Abbiamo gestito casi reali di clienti rimasti fermi sei settimane dopo un ransomware, con perdite operative ben superiori al riscatto richiesto.<\/p>\n

          Il piano minimo che chiediamo a ogni cliente PMI \u00e8 composto da quattro elementi:<\/p>\n

            \n
          1. Runbook IR<\/strong>: documento di 5-10 pagine con la catena di chiamate (responsabile IT, fornitore, consulente legale, assicurazione cyber, CSIRT, Garante per la Privacy se serve), la procedura di isolamento di rete, le credenziali break-glass per accedere all’AD anche se \u00e8 compromesso, e i contatti aggiornati con numero personale.<\/li>\n
          2. Piano di DR cloud<\/strong>: replica regolare delle VM critiche su un secondo sito o sul cloud pubblico (Azure Site Recovery, AWS DRS, Veeam Cloud Connect), con RPO e RTO definiti per applicazione e provati almeno semestralmente. Dell’argomento parliamo nel dettaglio in un articolo dedicato al disaster recovery cloud per PMI.<\/li>\n
          3. Comunicazione interna ed esterna<\/strong>: chi parla con i dipendenti, chi con i clienti, chi con i media. Una comunicazione confusa moltiplica il danno reputazionale.<\/li>\n
          4. Tabletop exercise annuale<\/strong>: simulazione carta e penna di uno scenario (ransomware Cobalt Strike, BEC sul CFO, DDoS sul portale) che coinvolge IT, management e legale. \u00c8 il modo migliore per accorgersi che il numero di telefono del fornitore di backup \u00e8 obsoleto, prima che serva davvero.<\/li>\n<\/ol>\n

            Se siete una PMI senza personale dedicato, vale la pena valutare l’esternalizzazione del monitoring a un SOC o a un MSSP, argomento di un altro articolo del blog. La differenza tra rilevare un’intrusione in due ore o in due settimane spesso \u00e8 proprio la differenza tra avere o non avere occhi sulla console.<\/p>\n

            GDPR e cybersecurity: l’Art.32 e la notifica entro 72 ore<\/h2>\n

            Sul piano regolatorio italiano la cornice \u00e8 il GDPR e la sua giurisprudenza ormai consolidata. L’Art.32<\/strong> impone misure tecniche e organizzative adeguate al rischio: la parola chiave \u00e8 “adeguate”, non “esistenti”. Un antivirus di sei anni fa, backup non testati e password riutilizzate non sono misure adeguate nel 2022, e il Garante per la Privacy lo ha gi\u00e0 scritto in pi\u00f9 provvedimenti sanzionatori.<\/p>\n

            L’Art.33<\/strong> obbliga il titolare a notificare al Garante un data breach entro 72 ore dalla conoscenza, salvo che sia improbabile un rischio per i diritti degli interessati. L’Art.34<\/strong> impone, nei casi di rischio elevato, anche la comunicazione agli interessati. Il conto medio delle sanzioni che vediamo per PMI italiane in caso di breach non gestito a regola d’arte oscilla tra i 5.000 e i 50.000 euro, a cui si sommano le possibili azioni risarcitorie e il danno reputazionale.<\/p>\n

            Sul piano della normativa cyber pura, l’Italia ha recepito la Direttiva NIS con il D.Lgs 65\/2018<\/strong>, che ha istituito il CSIRT Italia<\/strong> presso ACN (Agenzia per la Cybersicurezza Nazionale). Per le PMI non OSE\/FSD l’obbligo di notifica non \u00e8 automatico, ma se siete fornitori di un’azienda regolamentata vi verr\u00e0 chiesto comunque per contratto. Tenete sotto mano i framework di riferimento: ISO\/IEC 27001:2013<\/strong> per il sistema di gestione, NIST CSF<\/strong> come modello operativo, MITRE ATT&CK<\/strong> come lessico comune per descrivere le tecniche di attacco e mappare la difesa.<\/p>\n

            Cyber insurance in Italia: opportunit\u00e0 e trappole<\/h2>\n

            Il mercato delle polizze cyber per PMI sta crescendo rapidamente in Italia, con prodotti di AXA<\/strong>, Generali<\/strong>, Lloyd’s<\/strong> e molti operatori pi\u00f9 piccoli. Una polizza ben costruita pu\u00f2 coprire perdita di profitti per fermo, ricostruzione dati, costi legali, gestione incidente, riscatto (con condizioni) e responsabilit\u00e0 verso terzi. \u00c8 uno strumento utile, soprattutto per le PMI che non hanno cassa per fronteggiare uno scenario peggiore.<\/p>\n

            Due cautele importanti, per\u00f2. Primo: l’assicurazione non sostituisce le misure di sicurezza, le presuppone. I questionari assuntivi sono diventati molto severi: senza MFA, EDR e backup testati la polizza non parte, oppure parte con franchigie altissime. Secondo: dopo le campagne di Killnet e i wiper russi del 2022, attenzione alla war exclusion clause<\/strong> dei Lloyd’s, formalizzata in modo pi\u00f9 stringente nel 2021 e applicata dal 2022. Le polizze che escludono i cosiddetti “atti di guerra cyber” potrebbero non rispondere su un incidente attribuito a un attore statale o paraestatale, e gli attacchi rivendicati da Killnet entrano in questa zona grigia. Leggete con il vostro broker la clausola e fatevi spiegare i casi limite, con esempi concreti.<\/p>\n

            Chi chiamare in caso di incidente: CSIRT, CERT-AGID e Polizia Postale<\/h2>\n

            Una delle domande che ci viene fatta pi\u00f9 spesso a freddo, e mai a caldo, \u00e8 “se mi succede a chi telefono?”. Memorizziamo qui i contatti utili:<\/p>\n

              \n
            • CSIRT Italia (ACN)<\/strong>: punto di contatto nazionale per la segnalazione di incidenti rilevanti. Pubblica avvisi e alert tecnici, e coordina la risposta nei casi di interesse nazionale.<\/li>\n
            • CERT-AGID<\/strong>: si occupa della Pubblica Amministrazione, ma diffonde regolarmente bollettini settimanali sulle campagne malspam attive in Italia, utilissimi anche per i privati.<\/li>\n
            • Polizia Postale e delle Comunicazioni<\/strong>: per denuncia formale, indispensabile in caso di estorsione, frode o accessi abusivi. Esistono sezioni regionali con personale specializzato.<\/li>\n
            • Garante per la Privacy<\/strong>: per la notifica del data breach ai sensi dell’Art.33 GDPR entro 72 ore.<\/li>\n<\/ul>\n

              Aggiungete al runbook i numeri del vostro fornitore IT, del consulente legale e del broker assicurativo. Stamparli e tenerli anche in formato cartaceo: durante un ransomware grave il sistema di posta interna potrebbe essere il primo a saltare.<\/p>\n

              Gli errori “soft”: formazione, supervisione, audit<\/h2>\n

              Oltre ai sei errori tecnici elencati, ne osserviamo regolarmente alcuni di tipo organizzativo. Il primo \u00e8 la totale assenza di formazione strutturata del personale: la sicurezza viene affidata a una mail di Natale che ricorda di non aprire allegati sospetti. Non funziona. Servono moduli brevi, ricorrenti, integrati nei processi di onboarding e con metriche per dipartimento.<\/p>\n

              Il secondo \u00e8 il “IT junior senza supervisione”<\/strong>: una persona sola, magari ottima ma con due anni di esperienza, che gestisce in autonomia 50 server, l’AD e il backup. Non \u00e8 una critica alla persona, \u00e8 un rischio di processo. Per le PMI conviene affiancare un consulente esterno senior in modalit\u00e0 fractional, che fa code review delle policy, audit trimestrali e mentoring sulle scelte architetturali.<\/p>\n

              Il terzo \u00e8 la mancanza di un audit annuale di sicurezza<\/strong> indipendente. Un vulnerability assessment esterno con simulazione di phishing e revisione delle policy costa per una PMI tra i 3.000 e i 10.000 euro. Permette di scoprire ogni anno almeno 3-5 problemi seri che il team interno non vedeva perch\u00e9 ci convive da troppo tempo.<\/p>\n

              I 5 step minimi per partire: il “minimum vital cyber” per PMI<\/h2>\n

              Se dovessimo riassumere il pacchetto minimo da implementare entro il prossimo trimestre, lo presenteremmo cos\u00ec, in ordine di priorit\u00e0 decrescente:<\/p>\n

                \n
              1. MFA su tutti gli accessi esterni + password manager aziendale<\/strong> (posta, VPN, gestionale, RDP). Implementazione 2-4 settimane.<\/li>\n
              2. EDR su tutti gli endpoint<\/strong>, server inclusi. Implementazione 2-3 settimane.<\/li>\n
              3. Backup 3-2-1 con copia immutabile e restore drill trimestrale documentato<\/strong>. Implementazione 3-6 settimane.<\/li>\n
              4. Patch management mensile su workstation e server<\/strong>, vulnerability scanning ricorrente. Implementazione 2 settimane pi\u00f9 ritmo continuo.<\/li>\n
              5. Email security gateway moderno + DMARC reject + formazione mensile del personale<\/strong>. Implementazione 3-4 settimane.<\/li>\n<\/ol>\n

                Budget tipico: quanto costa partire<\/h2>\n

                I numeri che vediamo nei progetti reali per una PMI italiana da 50 dipendenti, configurazione mista on-premise e cloud, sono questi:<\/p>\n

                  \n
                • Password manager aziendale: 1.500-2.500 \u20ac\/anno<\/li>\n
                • EDR 50 endpoint: 1.500-4.000 \u20ac\/anno<\/li>\n
                • Backup cloud con immutabilit\u00e0: 1.500-4.000 \u20ac\/anno (in base a TB)<\/li>\n
                • Vulnerability scanning: 2.000-4.000 \u20ac\/anno (o 0 con OpenVAS se gestito internamente)<\/li>\n
                • Email security gateway: 1.000-3.000 \u20ac\/anno<\/li>\n
                • Formazione personale (KnowBe4 o equivalente): 500-1.500 \u20ac\/anno<\/li>\n
                • Audit annuale esterno: 3.000-10.000 \u20ac\/anno<\/li>\n<\/ul>\n

                  Totale orientativo: 11.000-29.000 euro all’anno<\/strong>, cio\u00e8 in media tra l’1% e il 3% del budget IT complessivo della PMI. \u00c8 meno del costo medio di un giorno di fermo produzione su un ransomware riuscito. La nostra esperienza dice che il ritorno dell’investimento si misura a quattro cifre.<\/p>\n

                  Roadmap di implementazione a 90 giorni<\/h2>\n

                  Una proposta operativa, da mettere subito in agenda:<\/p>\n

                    \n
                  • Settimane 1-2<\/strong>: assessment dello stato attuale, inventario asset, classificazione dati, gap analysis su NIST CSF.<\/li>\n
                  • Settimane 3-4<\/strong>: deploy password manager + abilitazione MFA su posta e VPN, comunicazione interna ai dipendenti.<\/li>\n
                  • Settimane 5-8<\/strong>: rollout EDR su tutti gli endpoint e server, configurazione policy, primo tuning.<\/li>\n
                  • Settimane 6-10<\/strong>: revisione architettura backup, attivazione copia immutabile, primo restore drill.<\/li>\n
                  • Settimane 8-10<\/strong>: deploy email security gateway, set DMARC in p=none, raccolta report.<\/li>\n
                  • Settimane 10-12<\/strong>: vulnerability scanning ricorrente, piano patch mensile, prima campagna di formazione e phishing simulato, prima stesura del runbook IR.<\/li>\n
                  • Settimana 13<\/strong>: tabletop exercise, lessons learned, ciclo successivo di 90 giorni.<\/li>\n<\/ul>\n

                    FAQ<\/h2>\n

                    Qual \u00e8 l’errore cyber pi\u00f9 frequente nelle PMI italiane nel 2022?<\/strong>
                    \nLa combinazione di password riutilizzate e assenza di MFA. Circa il 60% delle violazioni inizia da credenziali compromesse e l’MFA, secondo il dato Microsoft, blocca il 99.9% dei tentativi di account takeover.<\/p>\n

                    Quanto costa proteggere una PMI da 50 dipendenti?<\/strong>
                    \nIndicativamente tra 11.000 e 29.000 euro all’anno, distribuiti su MFA + password manager, EDR, backup immutabili, vulnerability scanning, email security, formazione e audit. Tra l’1% e il 3% del budget IT.<\/p>\n

                    L’antivirus tradizionale basta nel 2022?<\/strong>
                    \nNo. I ransomware moderni sono polimorfi, fileless, e usano binari legittimi di Windows. Serve un EDR comportamentale come Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne o Sophos Intercept X.<\/p>\n

                    Quali backup sono considerati adeguati oggi?<\/strong>
                    \nLo standard \u00e8 3-2-1 con almeno una copia immutabile o air-gapped, e restore drill documentati almeno trimestrali. Senza test di restore il backup esiste solo sulla carta.<\/p>\n

                    Quanto tempo ho per notificare un data breach al Garante?<\/strong>
                    \n72 ore dalla conoscenza ai sensi dell’Art.33 GDPR, salvo che il rischio per gli interessati sia improbabile. Se il rischio \u00e8 elevato, l’Art.34 impone anche la comunicazione agli interessati.<\/p>\n

                    La polizza cyber copre attacchi rivendicati da Killnet?<\/strong>
                    \nVa letta con attenzione la war exclusion clause, in particolare nelle polizze Lloyd’s: dal 2022 alcuni “atti di guerra cyber” attribuibili ad attori statali o paraestatali potrebbero essere esclusi. Confronto preventivo con il broker indispensabile.<\/p>\n

                    Chi devo chiamare se subisco un incidente cyber?<\/strong>
                    \nIn ordine: il vostro fornitore IT o consulente di sicurezza, il broker della polizza cyber, il CSIRT Italia per la segnalazione tecnica, la Polizia Postale per la denuncia formale, il Garante Privacy entro 72 ore se c’\u00e8 data breach.<\/p>\n

                    \n

                    Vuoi capire da dove partire nella vostra PMI?<\/h3>\n

                    Configura il pacchetto di sicurezza adatto alla tua azienda e ricevi un preventivo trasparente, senza impegno.<\/p>\n

                    Apri il preventivatore<\/a><\/p>\n<\/div>\n