Zero trust security per PMI 2021: principi e implementazione

Il 12 maggio 2021 il presidente USA Joe Biden firma l’Executive Order 14028 “Improving the Nation’s Cybersecurity”: un atto che, tra le altre cose, ordina a tutte le agenzie federali statunitensi di adottare un’architettura Zero Trust entro tempi definiti. Non è una mossa accademica. Negli stessi mesi gli Stati Uniti subiscono il ransomware su Colonial Pipeline (7 maggio 2021, riscatto da 4,4 milioni di dollari) e l’attacco supply-chain a Kaseya VSA (luglio 2021), che paralizza migliaia di MSP e clienti finali in tutto il mondo.

L’Italia non è da meno. Il 31 luglio 2021 il CED della Regione Lazio viene crittografato da un attacco ransomware che blocca il portale vaccinale Covid per giorni. Il 1 settembre 2021 tocca al gruppo San Carlo, e nello stesso periodo finiscono sotto attacco anche Geox, Engineering e numerose PMI manifatturiere lombarde e venete. Il pattern è ricorrente: un dipendente in smart working, una credenziale rubata o un dispositivo non aggiornato sono sufficienti per bucare il perimetro tradizionale e arrivare al cuore del gestionale.

Il problema è chiaro: il perimetro non esiste più. Con il lavoro ibrido stabilizzatosi dopo i lockdown del 2020-2021, gli applicativi spostati su SaaS (Microsoft 365, Google Workspace, Salesforce) e i dispositivi BYOD sempre più diffusi, il vecchio modello “castello con mura e fossato” (firewall perimetrale + VPN per gli interni) non protegge più nulla. Serve un approccio nuovo, e quel nuovo approccio si chiama Zero Trust.

Cosa significa davvero Zero Trust: never trust, always verify

La definizione del NIST: “Zero Trust è una raccolta di concetti e idee progettati per minimizzare l’incertezza nell’applicare decisioni di accesso accurate, per richiesta, in sistemi e servizi informativi visti come compromessi”. In parole povere: non fidarti di nessuno per default, nemmeno di chi è “dentro” la rete aziendale. Tre concetti chiave lo distinguono dal modello tradizionale:

• Assume breach: parti dal presupposto che la rete sia già compromessa. Non è paranoia: nel 2020-2021 il dwell time medio degli attaccanti prima della scoperta è di 21 giorni (Mandiant M-Trends 2021) — più che sufficiente per esfiltrare dati o muoversi lateralmente.
• Verifica esplicita ogni richiesta: ogni accesso è autenticato, autorizzato e cifrato su più segnali (identità, postura device, geolocalizzazione, orario, anomalie comportamentali). Niente “una volta dentro, accesso libero”.
• Minimi privilegi (least privilege): l’utente ottiene il minimo accesso necessario. Sessioni a scadenza breve, escalation just-in-time, revoca immediata su anomalia.

La differenza con la VPN tradizionale è netta: con la VPN, una volta connesso, l’utente ha accesso “di rete” a un’intera subnet — un attaccante con credenziali rubate si muove lateralmente. Con Zero Trust ogni applicazione è esposta singolarmente attraverso un broker (PEP), e l’utente vede solo le app autorizzate in quel momento, su quel device.

Da Kindervag 2010 a NIST SP 800-207: la genealogia del concetto

Il termine “Zero Trust” è stato coniato nel 2010 da John Kindervag, allora analista Forrester Research, in una serie di paper che criticavano il modello “trust but verify” delle reti enterprise. La sua idea iniziale era radicale: eliminare il concetto di rete “trusted”. Per anni il concetto rimane teorico, ostacolato dall’inerzia delle architetture esistenti.

Il primo grande caso di implementazione concreta arriva nel 2014 con BeyondCorp di Google, in risposta all’attacco “Operation Aurora” del 2009. Google pubblica una serie di paper dal 2014 al 2017 in cui descrive come ha rimosso la VPN aziendale e spostato autenticazione + autorizzazione a livello applicativo, basandosi su identità utente + stato del dispositivo. BeyondCorp diventa il riferimento de facto.

Il vero salto di qualità arriva ad agosto 2020: il NIST pubblica la Special Publication 800-207 “Zero Trust Architecture”, il primo standard normativo internazionale sull’argomento. Codifica principi, componenti logici e varianti architetturali. Nel maggio 2021 l’Executive Order 14028 di Biden trasforma Zero Trust in obbligo normativo per le agenzie federali USA, portando il termine nel lessico mainstream anche delle PMI europee.

I 7 principi tenet del NIST SP 800-207

Il NIST SP 800-207 elenca 7 tenet che un’architettura Zero Trust deve rispettare. Sono il setaccio per valutare qualsiasi prodotto o consulenza che si dichiari “Zero Trust”:

1. Ogni sorgente dati e servizio di calcolo è una risorsa. Non solo server: anche IoT, container Kubernetes, funzioni serverless e SaaS sono “risorse” da proteggere singolarmente.
2. Tutte le comunicazioni sono protette indipendentemente dalla posizione di rete. Cifratura end-to-end e autenticazione sempre — la rete “interna” non è automaticamente più sicura.
3. Accesso concesso per singola sessione. Niente trust persistente; ogni sessione è rivalutabile e terminabile.
4. Policy dinamica: include identità client, applicazione, stato device, attributi comportamentali e ambientali. Non binaria “sì/no” al login: se in sessione il device cambia geolocalizzazione, viene flaggato dall’EDR o l’utente esegue azioni anomale, la policy riduce privilegi, forza nuovo MFA o termina.
5. Integrità e postura sicurezza monitorata su tutti gli asset. Patching, configurazione, EDR attivo, encryption a riposo — tutto telemetricamente verificabile.
6. Autenticazione e autorizzazione dinamiche, applicate prima dell’accesso. Loop continuo auth → authz → verifica → rivalutazione.
7. Raccolta massiva di telemetria su asset, infrastruttura e comunicazioni, usata per migliorare la postura. Telemetria e analytics sono parte integrante, non accessori.

I 5 pilastri Zero Trust: Identity, Devices, Network, Apps, Data

Mentre il NIST si concentra sui principi astratti, molti framework operativi (tra cui quello della CISA americana, 2021) raggruppano le tecnologie in 5 pilastri: Identity (chi accede — IAM, MFA, SSO, autenticazione adattiva); Devices (da quale dispositivo — MDM/UEM, EDR/XDR, certificato device, controllo postura); Network (attraverso quale rete — micro-segmentation, SASE, SWG, ZTNA al posto della VPN); Applications (verso quale app — CASB per SaaS, broker proxy applicativi, SAML/OIDC federato); Data (quali dati — classificazione automatica, DLP, IRM/labeling, encryption granulare).

Per ogni pilastro esistono livelli di maturità (tradizionale → avanzato → ottimale). Una PMI matura raggiunge “avanzato” su Identity e Devices entro 6-9 mesi; Data resta il pilastro più complesso e l’ultimo a maturare.

PEP, PDP e micro-segmentation: i componenti logici

Tradurre i principi NIST in architettura concreta significa identificare alcuni componenti logici ricorrenti:

• PEP — Policy Enforcement Point: il “buttafuori” che intercetta ogni richiesta e applica la decisione. Proxy applicativo, broker ZTNA, agent sul dispositivo. In Cloudflare Access il PEP è il reverse proxy edge interposto tra utente e applicazione interna.
• PDP — Policy Decision Point: il “giudice” che decide accesso sulla base di policy aziendali e segnali (identità, postura device, rischio sessione). In un setup Okta + Cloudflare Access Okta è PDP per identità, Cloudflare per rete.
• Trust Engine: motore che calcola il “trust score” della sessione in tempo reale aggregando i segnali. Score basso → re-auth, MFA aggiuntiva, sessione downgrade o blocco.

A questi si aggiunge la micro-segmentation: invece di una LAN piatta dove tutto comunica con tutto, la rete è segmentata in micro-zone con policy granulari. I movimenti laterali diventano molto più difficili. In ambienti cloud-native si implementa con Kubernetes NetworkPolicy, service mesh (Istio, Linkerd), o agenti host-based come Illumio, Guardicore (acquisita Akamai nel 2021), Tufin.

Il mercato IAM 2021: Okta, Azure AD, Ping, OneLogin, JumpCloud

Il pilastro Identity è quello da cui partire — tutto il resto si aggancia. Il mercato IAM nel 2021 è dominato da pochi player:

• Okta: leader puro-play indipendente. Catalogo OIN oltre 7.000 integrazioni SaaS, federazione SAML/OIDC, adaptive MFA. Nel maggio 2021 Okta completa l’acquisizione di Auth0 per 6,5 miliardi di dollari. Prezzo SSO + MFA: ~6-9 €/utente/mese.
• Azure AD (Microsoft): IAM nativo M365. Per PMI già su M365 è la scelta immediata: Azure AD Premium P1 (incluso in E3) abilita MFA condizionale, Conditional Access, SSO verso SaaS terze. P2 aggiunge Identity Protection. Nel 2021 il prodotto si chiama ancora “Azure AD”; il rebrand a Microsoft Entra ID arriverà solo nel luglio 2023.
• Ping Identity: forte su federazione enterprise e CIAM. Setup complesso ma potente su workflow personalizzati.
• OneLogin: alternativa più economica di Okta per fascia SMB. Acquisita da One Identity nell’ottobre 2021.
• JumpCloud: “Directory-as-a-Service” che combina IAM + MDM + RADIUS + LDAP. Interessante per PMI senza Active Directory legacy.
• Auth0 (ora Okta): orientata sviluppatori, ottima per applicazioni custom e CIAM B2C. Free tier fino a 7.000 active users.

Per una PMI italiana 50-500 utenti già su Microsoft 365, la combinazione più pragmatica è Azure AD P1 + Conditional Access + MFA nativo, eventualmente integrato con SAML verso SaaS critiche e gestionali on-prem via Azure AD Application Proxy.

ZTNA: la VPN è morta, lunga vita a Cloudflare, Zscaler, Twingate, Cato

Lo Zero Trust Network Access (ZTNA) è la categoria che sostituisce la VPN tradizionale: invece di concedere accesso “di rete” a una subnet, pubblica le singole applicazioni interne tramite un broker con policy granulari. I principali player 2021:

• Zscaler: leader puro-play. Due prodotti — Zscaler Internet Access (ZIA), secure web gateway cloud, e Zscaler Private Access (ZPA), ZTNA. Architettura globale, sovradimensionato per PMI <100 utenti.
• Cloudflare Access: parte di Cloudflare for Teams lanciato fine 2018. Reverse proxy ZTNA su rete edge Cloudflare. Setup in minuti, integrazione con qualunque IdP SAML/OIDC, free tier fino a 50 utenti. Default per PMI italiana 2021.
• Cato Networks: pioniere SASE che unisce SD-WAN + ZTNA + SWG + firewall su rete privata globale. Ottimo per multi-sito che vogliono dismettere MPLS.
• Perimeter 81: ZTNA + Business VPN focus PMI. Pricing trasparente, UI semplice.
• Twingate: ZTNA lightweight (connector + agent). Free tier 5 utenti, pricing aggressivo.
• Tailscale: VPN mesh su WireGuard con autenticazione delegata all’IdP. Per PMI piccole e team distribuiti.
• NetMotion: acquisita da Absolute nel 2021, storica suite mobile VPN/ZTNA per roaming.

La differenza chiave: lo ZTNA non espone la rete interna. L’utente non vede subnet, vede solo le app autorizzate raggiunte tramite broker. La policy di accesso è rivalutata continuamente su postura device e segnali di rischio.

MFA, passwordless e FIDO2: l’autenticazione del 2021

L’MFA è il singolo controllo con miglior rapporto costo/beneficio in cybersecurity. Microsoft pubblica nel 2020 il dato che l’MFA blocca oltre il 99,9% degli attacchi automatizzati di credenziale. Eppure nel 2021 l’adozione MFA nelle PMI italiane è ferma al 30-40%. Tipologie, in ordine crescente di robustezza:

• SMS OTP: il più debole, vulnerabile a SIM swapping e SS7. Nel 2021 il NIST SP 800-63B sconsiglia attivamente SMS per MFA in alto rischio.
• TOTP app: Google Authenticator, Microsoft Authenticator, Authy. Adeguato per la maggior parte degli scenari PMI. Costo zero.
• Push approval con number matching: l’utente conferma digitando 2 cifre mostrate sul PC. Mitiga il rischio “MFA fatigue” (utente che approva per errore).
• FIDO2 / WebAuthn: lo standard FIDO2 (2018, FIDO Alliance + W3C) + WebAuthn consente autenticazione phishing-resistant via security key (YubiKey 5, Google Titan) o platform authenticator (Windows Hello, Touch ID).

Il passwordless con FIDO2 e YubiKey è la frontiera 2021. Phishing-resistant per costruzione: anche se l’utente abbocca a un sito clone, la chiave non firmerà la challenge perché il dominio non corrisponde. Pattern raccomandato PMI 50-500 utenti: YubiKey 5C NFC per IT admin e ruoli alto rischio (~10-15% dei dipendenti, ~50 €/chiave una tantum), push MFA con number matching per tutti gli altri.

EDR e XDR per il device trust: CrowdStrike, SentinelOne, Defender, Cybereason

Zero Trust richiede che ogni dispositivo sia fidato e verificabile. L’antivirus tradizionale basato su firma non basta — i ransomware moderni usano tecniche fileless, living-off-the-land, polimorfismo. La categoria EDR (Endpoint Detection and Response) è la risposta, evoluta nel 2020-2021 verso XDR (correlazione endpoint + email + identità + cloud). I player principali 2021:

• CrowdStrike Falcon: il riferimento. Agent leggero (~25 MB), telemetria cloud-native, threat hunting (Falcon OverWatch nei tier alti). Pricing ~6-12 €/endpoint/mese. “Gold standard” EDR.
• SentinelOne: principale challenger, IPO al NYSE il 30 giugno 2021. Motore comportamentale on-device anche offline, rollback automatico delle modifiche ransomware ai file.
• Microsoft Defender for Endpoint: incluso in Microsoft 365 E5 (o standalone ~5 €/mese). Integrazione nativa con Azure AD Conditional Access: macchina con segnale di rischio elevato esclusa automaticamente dall’accesso M365. Forrester Wave Q1 2021 Leader.
• Cybereason: focus operation-centric detection (“MalOp” — catena di attività malicious correlate). Pricing aggressivo, alternativa per PMI fuori listini enterprise CrowdStrike.
• Carbon Black (VMware): ora integrato in VMware. Adatto a chi è già in ecosistema vSphere.
• Sophos Intercept X: SMB-friendly, anti-ransomware CryptoGuard rodato.

L’EDR è il punto di telemetria sullo stato device che il PDP usa per decidere l’accesso. Un dispositivo flaggato come compromesso deve, in un’architettura Zero Trust matura, perdere automaticamente l’accesso alle risorse aziendali fino a remediation.

DLP e data classification: Microsoft Compliance Center, Forcepoint, Symantec

Il pilastro Data è storicamente il più trascurato. La DLP classifica i dati sensibili e impedisce l’esfiltrazione non autorizzata (email, USB, cloud storage, copia-incolla, screenshot). Player principali 2021:

• Microsoft Compliance Center: incluso in M365 E5 o add-on Compliance. Include Sensitivity Labels, Microsoft Information Protection, Endpoint DLP, Communication Compliance. Il rebrand a “Microsoft Purview” arriverà solo nel marzo 2022; nel 2021 il portale si chiama ancora Microsoft 365 Compliance Center.
• Forcepoint DLP: leader Gartner per anni, forte su classificazione automatica e fingerprinting documenti, copertura cross-channel (email + endpoint + cloud + network).
• Symantec DLP (Broadcom): storico riferimento enterprise, post-acquisizione focus su grandi clienti. Maturo ma complesso.
• Digital Guardian: focus protezione proprietà intellettuale, telemetria fine-grained.
• Netskope: CASB + DLP cloud-native. Scelta se la priorità è proteggere dati in SaaS (M365, Workspace, Salesforce, Box, Dropbox).

Per PMI in ecosistema M365 il percorso DLP pragmatico: Sensitivity Labels + Endpoint DLP via Microsoft 365 Compliance Center, policy iniziali su categorie standard (PII, codici fiscali, IBAN, dati sanitari ex GDPR Art. 9), raffinamento iterativo sui 6-12 mesi successivi sugli alert raccolti.

Errori comuni: compliance washing, no roadmap, friction utente

Tre errori ricorrenti nelle implementazioni Zero Trust in PMI italiane:

1. Compliance washing: trattare Zero Trust come check-list di prodotti per “spuntare” GDPR, ISO 27001 o polizza cyber. Installare CrowdStrike e dichiarare “siamo Zero Trust” è marketing, non sicurezza. Il NIST SP 800-207 §6.3 avverte: serve un percorso pluriennale.
2. Assenza di roadmap multi-anno: tipico errore è iniziare dal pilastro più “interessante” (micro-segmentation) saltando Identity e Devices. Senza un IAM + MFA pulito, qualunque controllo a valle ha un buco. Sequenza corretta: Identity → Devices → Network → Apps → Data.
3. Sottostimare la friction utente: ogni controllo aggiuntivo (MFA push, riautenticazione, blocchi) genera frizione. Senza change management gli utenti aggirano il sistema (credenziali condivise, account secondari, shadow IT). Dedicare almeno il 20% del budget a formazione + ottimizzazione UX (SSO per ridurre login, FIDO2 per sostituire OTP).

Un quarto errore critico è l’ingestione carente di telemetria. Zero Trust è data-driven: senza SIEM che aggrega log da IAM + EDR + ZTNA + DLP, manca contesto per decisioni dinamiche e threat hunting. La triade SIEM + SOAR + telemetria centralizzata è il vero abilitatore.

Caso reale: PMI fintech 80 utenti, da 14 ore a 8 minuti di MTTD

Un caso operativo concreto chiarisce l’impatto. Una società fintech italiana con 80 dipendenti ha avviato il programma Zero Trust a inizio 2021, dopo un near-miss di phishing che aveva portato a esfiltrazione di credenziali di un commerciale. Situazione pre-progetto: VPN Fortinet per accesso remoto, antivirus tradizionale, AD on-premise + M365 in federazione, MFA solo su ~5% utenti admin. MTTD su attacco red team simulato: 14 ore.

Roadmap eseguita in 9 mesi: Fase 1 Identity con Okta + SAML/OIDC su 32 applicazioni (gestionale on-prem via Okta Access Gateway), MFA push 100% utenti, YubiKey 5 per 12 ruoli critici; Fase 2 Devices + ZTNA con CrowdStrike Falcon su 78 device, dismissione VPN e deploy Cloudflare Access, policy condizionale “accesso solo con Falcon attivo”; Fase 3 Apps + Data con Microsoft 365 Compliance Center, Sensitivity Labels su categorie GDPR, Endpoint DLP su pattern IBAN + codice fiscale; Fase 4 Telemetria con SIEM Sumo Logic Cloud, ingestione da Okta + CrowdStrike + Cloudflare + M365.

Risultati a 9 mesi: MTTD da 14 ore a 8 minuti; MTTR da 4 ore a 22 minuti; phishing andato a buon fine -92% rispetto baseline 2020; ticket help-desk per password e VPN -67%; audit ISO 27001 superato con osservazioni minori. Costo licenze stack: ~62 €/utente/mese (Okta 7 + Cloudflare Access 7 + CrowdStrike Falcon Pro 8 + M365 E5 38 + Sumo Logic 2). Una tantum YubiKey + consulenza: ~18.000 €. ROI a 12 mesi grazie a dismissione hardware VPN, riduzione downtime, premio polizza cyber-risk negoziato al ribasso, certificazione ISO.

Roadmap 12 mesi step-by-step per PMI 50-500 utenti

Una roadmap pragmatica per PMI italiana che parte da zero (AD + VPN + antivirus + M365 base):

Note critiche: l’ordine conta (mai Network senza Identity, mai DLP senza EDR); il buy-in C-level è non-negoziabile; pianifica OpEx recurring, non solo CapEx; coinvolgi HR e Legal per policy lato persone (BYOD, GDPR Art. 32, accordi MDM); misurare KPI baseline prima/dopo per dimostrare ROI.

Quadro normativo italiano ed europeo 2021

Zero Trust non è obbligatorio per legge in Italia nel 2021, ma molti dei suoi controlli sono richiamati dalle normative vigenti: GDPR Art. 32 “Sicurezza del trattamento” (cifratura, autenticazione forte, monitoraggio accessi); Direttiva NIS (UE 2016/1148, D.Lgs 65/2018) per operatori essenziali — nel 2021 si discute NIS2 ma è ancora proposta UE; ISO/IEC 27001:2013 con Annex A che si allinea ai pilastri Zero Trust (A.9 Access Control, A.12 Operations, A.13 Communications); Misure Minime AgID per fornitori PA; Provvedimento Garante 27 nov 2008 Amministratori di Sistema (log accessi privilegiati 6 mesi). Per PMI in settori regolati (finanza, sanità, energia) il quadro è più stringente: EBA Guidelines ICT per banche, provvedimenti IVASS per assicurazioni.

Budget e costo realistico per PMI

Numeri orientativi per PMI 100 utenti, prezzi 2021 a listino (le scontistiche reali variano dal 15 al 40%):

A questi vanno sommati: hardware key YubiKey (~50 €/chiave una tantum, da prevedere su 10-20% utenti); consulenza implementazione (15.000-60.000 € una tantum a seconda della complessità); training utenti e tabletop exercise (5.000-15.000 €/anno).

Il punto importante è che lo stack Zero Trust spesso sostituisce costi esistenti (VPN hardware, antivirus tradizionale, costi di breach evitati, premio polizza cyber-risk negoziato al ribasso). Il calcolo non va fatto in valore assoluto ma incrementale rispetto al baseline.

FAQ — Domande frequenti su Zero Trust

Zero Trust significa dismettere firewall e VPN?
Non subito. Il firewall perimetrale resta utile per segmentazione macro e per device non pubblicabili via ZTNA (printer, smart TV, OT). La VPN si dismette tipicamente a fine migrazione ZTNA, mantenendola per use case specifici (admin server, accesso emergenza).

Zero Trust è compatibile con il GDPR?
Sì, è un alleato. GDPR Art. 32 chiede misure tecniche adeguate al rischio: autenticazione forte, cifratura, controllo accessi, monitoraggio. L’accortezza è documentare le decisioni nel registro dei trattamenti e fare DPIA sui controlli più intrusivi (DLP contenuto email, MDM su BYOD).

Quanto tempo serve in una PMI?
Per PMI 50-500 utenti, roadmap realistica 12-18 mesi per maturità “avanzata” su Identity, Devices, Network. Livello “ottimale” su Data richiede altri 12 mesi. Chi promette “Zero Trust in 3 mesi” ha implementato solo MFA + EDR — buon inizio ma non è Zero Trust.

Posso fare Zero Trust senza Microsoft 365?
Sì. Okta, Cloudflare Access, CrowdStrike e JumpCloud sono best-of-breed indipendenti e funzionano in Google Workspace, mix M365/Workspace o open source.

L’EDR sostituisce l’antivirus tradizionale?
Sì. Le suite EDR moderne (CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint) includono protezione next-gen antimalware basata su ML e comportamento, oltre alle firme. Due antivirus in parallelo creano conflitti driver: si sceglie uno.

Cosa significa SASE e che differenza ha con Zero Trust?
SASE (Secure Access Service Edge, Gartner 2019) convoglia SD-WAN + SWG + CASB + ZTNA + firewall come servizio cloud unificato. Zero Trust è la filosofia; SASE il modello di delivery infrastruttura che la implementa nella parte network. Player 2021: Cato Networks, Zscaler, Netskope, Cisco Umbrella, Palo Alto Prisma Access.

Le PMI sotto i 50 utenti hanno bisogno di Zero Trust?
Servono i controlli essenziali, non lo stack enterprise. Pacchetto minimo: Microsoft 365 Business Premium (include Azure AD P1, MFA, Intune base, Defender for Business) + Twingate o Cloudflare Access tier free. Costo ~22 €/utente/mese, copre l’80% del beneficio.

Conclusioni e prossimi passi

Zero Trust nel 2021 non è più ricerca accademica o moda da conferenza, ma un’architettura di sicurezza solidamente codificata (NIST SP 800-207), con prodotti maturi disponibili a costi accessibili anche per PMI italiane. La pressione normativa (GDPR Art. 32), il quadro internazionale (Executive Order 14028) e la realtà operativa (ransomware Regione Lazio, San Carlo, attacchi supply chain) la rendono una scelta non più rinviabile.

Per una PMI italiana 50-500 utenti l’approccio raccomandato è una roadmap di 12-18 mesi che parte da Identity e MFA, prosegue con EDR e ZTNA, e termina con DLP e telemetria centralizzata. Lo stack tipico costa 30-55 €/utente/mese, sostituibile parzialmente con costi esistenti (VPN, antivirus, polizze cyber). Il ROI a 12 mesi si misura su MTTD, MTTR, riduzione phishing-rate e ticket di help-desk.

Il fattore di successo critico non è tecnologico ma organizzativo: sponsor C-level, governance multi-anno, change management e formazione utenti. Senza queste tre dimensioni, qualunque investimento tecnologico Zero Trust diventa un costo senza ritorno.