Defensive Security 30 Giugno 2026 · 10 min di lettura · Team FrameSec

MDR services: cosa includono e come valutare un fornitore

Scegliere un servizio MDR è una decisione che influenza la sicurezza della tua azienda per almeno 12-24 mesi. Una guida pratica per capire cosa devono includere i MDR services, quali domande fare prima di firmare il contratto e come riconoscere i provider che offrono protezione reale da quelli che vendono solo un dashboard con tanti alert.

MDR services managed detection response valutazione fornitore SLA sicurezza PMI

Cosa devono includere i MDR services

I MDR services (Managed Detection and Response) sono servizi gestiti di cybersecurity che combinano tecnologia avanzata e analisti umani per rilevare e rispondere alle minacce in tempo reale. Ma non tutti i provider offrono lo stesso livello di servizio: il termine "MDR" è usato da player molto diversi, dai provider con SOC reale 24/7 a rivenditori che si limitano a consegnare un SIEM con alert non gestiti.

Un MDR service completo deve includere queste componenti:

Tecnologia di detection

Personale e processi

Reporting e governance

I livelli di MDR service: cosa distingue i tier

TierCoperturaIR inclusaThreat huntingCosto indicativo PMI/mese
EssentialEndpoint onlyNotificaNo300–600 €
StandardEndpoint + logContainment baseMensile600–1.200 €
AdvancedMulti-layer (XDR)IR completaSettimanale1.200–2.500 €
EnterpriseCustom + OT/IoTIR + forensicsContinuo2.500 €+

Per la maggior parte delle PMI italiane con 20-100 dipendenti, il tier Standard o Advanced offre il miglior rapporto costo/protezione. Il tier Essential è insufficiente se la "risposta" si limita a un'email notifica: nel tempo tra la notifica e la tua reazione, l'attaccante ha già avuto ore per diffondersi.

Red flag

Diffida dei provider MDR che: usano vague come "monitoraggio continuo" senza specificare gli SLA; non menzionano mai il numero di analisti SOC; non possono mostrare un caso studio di incident response; hanno SLA "best effort" invece di SLA contrattualizzati; non offrono un periodo di prova o PoC prima della firma.

Le domande da fare prima di firmare

Prima di scegliere un provider MDR, queste sono le domande che devi fare — e le risposte che devi ottenere:

Sulla detection

Sugli SLA e la risposta

Sul contratto

Checklist di valutazione MDR per PMI

Usa questa checklist quando confronti più provider MDR:

Tecnologia (must-have)

Personale e processi (must-have)

Contratto (nice-to-have ma importante)

Il processo di onboarding: cosa aspettarsi

Un onboarding MDR professionale dura 2-4 settimane e include:

  1. Discovery dell'infrastruttura — inventario degli asset, mappatura delle sorgenti di log disponibili, identificazione dei sistemi critici
  2. Deployment degli agent — installazione dell'EDR/XDR su tutti gli endpoint, spesso automatizzata via GPO o SCCM
  3. Configurazione del SIEM — connettori per Active Directory, firewall, Office 365, VPN, applicazioni critiche
  4. Tuning delle detection rule — personalizzazione delle regole sull'ambiente specifico per ridurre i false positive
  5. Definizione delle escalation procedure — chi contattare, con quale numero, per quali tipi di incidente
  6. Test di incident response — simulazione di un incidente per verificare che i flussi di comunicazione funzionino correttamente
Consiglio

Chiedi sempre al provider un piano di onboarding scritto con milestone, deliverable e responsabilità chiare. Un provider che non ha un piano strutturato di onboarding quasi certamente non ha processi SOC strutturati. La qualità dell'onboarding è uno dei migliori indicatori della qualità del servizio complessivo.

Domande frequenti

Cosa includono i MDR services?
Monitoraggio 24/7, tecnologia EDR/XDR su tutti gli endpoint, SIEM gestito dal provider, threat intelligence integrata, triage degli alert con analisti umani, notifica degli incidenti in tempo reale, azioni di containment attive (isolamento endpoint, blocco account) e report mensili. La qualità varia molto tra provider.

Come si valuta un provider di MDR services?
I criteri chiave: SLA documentati (MTTD ≤ 15 min, MTTR ≤ 30 min per incidenti critici), copertura 24/7 reale con analisti in turno, capacità di incident response attiva, tecnologia propria o vendor lock-in, dati in UE, referenze verificabili nel tuo settore e clausole di exit chiare nel contratto.

Quanto dura tipicamente un contratto MDR?
Solitamente annuale con rinnovo automatico. I contratti mensili offrono più flessibilità. Attenzione ai contratti pluriennali (2-3 anni) senza clausole di uscita anticipata in caso di inadempimento degli SLA: vincolano l'azienda anche se il servizio risulta insoddisfacente.