Sicurezza informatica per PMI: i 10 errori che ti espongono agli attacchi

"Siamo troppo piccoli per essere attaccati"

È la convinzione più diffusa e più pericolosa. Gli attaccanti non selezionano le vittime per fatturato: usano strumenti automatici che scansionano Internet alla ricerca di vulnerabilità note e le sfruttano in massa. Essere una PMI non ti protegge — al contrario, ti rende un bersaglio più facile rispetto a una grande azienda difesa.

Cambia prospettiva: non chiederti se sei abbastanza importante da essere attaccato, ma se sei abbastanza protetto da resistere. Un attaccante non ti sceglie — trova la porta aperta.

Nessun backup — o backup non testato

Molte PMI credono di avere un backup perché i file vengono copiati su un secondo disco collegato allo stesso PC o su un NAS in rete. Quando arriva un ransomware, quello stesso backup viene cifrato insieme a tutto il resto. Un backup utile è offline (fisicamente disconnesso dalla rete) e testato (ripristino verificato almeno ogni trimestre).

La regola è 3-2-1: tre copie dei dati, su due supporti diversi, con una copia offline. Aggiungi la "1" del backup immutabile (WORM) se tratti dati particolarmente critici.

Implementa una copia offline su dispositivo disconnesso, schedulata automaticamente. Testa il ripristino ogni 3 mesi — un backup non testato è un backup di cui non puoi fidarti. Scopri il nostro approccio al Backup & Recovery per PMI italiane.

Nessuna autenticazione a più fattori (MFA)

Email aziendale, VPN, gestionale, banca online: se accedi con solo username e password, sei esposto. Le credenziali vengono rubate continuamente — tramite phishing, data breach di servizi terzi, malware. L'MFA (un secondo fattore: codice SMS, app authenticator, token fisico) blocca il 99,9% degli accessi non autorizzati anche quando la password è compromessa.

È il controllo di sicurezza informatica con il miglior rapporto costo/beneficio che esiste. Eppure nelle PMI italiane l'adozione è ancora sotto il 40%.

Attiva l'MFA su tutti gli accessi remoti partendo dalle priorità: email aziendale, VPN, pannelli di amministrazione, sistema gestionale. Il nostro servizio di Identità & MFA copre il rollout completo con Conditional Access e RBAC.

Antivirus tradizionale invece di EDR

L'antivirus tradizionale funziona con firme: riconosce i malware già conosciuti e li blocca. Il problema è che il 60% degli attacchi avanzati usa tecniche di living-off-the-land (LOTL) — strumenti legittimi del sistema operativo come PowerShell, WMI e RDP — che l'antivirus classico non rileva.

Un EDR (Endpoint Detection and Response) analizza il comportamento dei processi in tempo reale: se PowerShell tenta di scaricare un payload da Internet e poi cifrare file, l'EDR lo blocca anche se non ha mai visto quella specifica firma di malware.

Sostituisci l'antivirus tradizionale con una soluzione EDR su tutti gli endpoint (PC, laptop, server). Valuta la nostra offerta di Endpoint Security EDR/XDR con threat hunting proattivo.

Patch critiche posticipate sine die

Il 60% degli attacchi informatici sfrutta vulnerabilità per cui la patch era già disponibile da più di 30 giorni. Il motivo per cui le patch vengono ritardate è quasi sempre lo stesso: "non vogliamo bloccare la produzione", "aspettiamo di testarlo", "lo facciamo il mese prossimo". Il mese prossimo diventa mai.

Le vulnerabilità critiche — quelle con CVSS sopra 9.0 e sfruttamento attivo in natura — devono essere patched entro 72 ore sui sistemi esposti. Non è perfezionismo: è igiene informatica di base.

Implementa un processo di patch management con SLA definiti: critiche entro 72 ore, importanti entro 30 giorni. Un sistema di Vulnerability Management con prioritizzazione CVSS/EPSS automatizza questa prioritizzazione.

Dipendenti non formati sul phishing

Il phishing è il vettore d'ingresso del 60% degli attacchi. Un'email che sembra provenire dal CEO, dal fornitore o dalla banca — con un link o un allegato malevolo — basta a compromettere l'intera rete aziendale se chi la riceve non sa riconoscerla.

La formazione anti-phishing non è una sessione PowerPoint annuale da 30 minuti: sono simulazioni di phishing realistiche, feedback immediato a chi ci casca, training personalizzato per ruolo. La ricerca dimostra che le simulazioni trimestrali riducono il click rate del 60-80% in 12 mesi.

Implementa un programma di Security Awareness con simulazioni di phishing trimestrali e training per ruolo. Affiancalo a un servizio di Mail Security con sandboxing e protezione anti-BEC.

Accessi non revocati a ex-dipendenti

Nella nostra pratica di assessment, troviamo regolarmente account attivi di persone che lavorano altrove da mesi o anni. Account email, VPN, gestionali, repository di codice. Un ex-dipendente scontento — o le sue credenziali rubate nel frattempo — può accedere liberamente.

L'offboarding di sicurezza è un processo, non un'azione singola: revocare tutti gli accessi, invalidare le sessioni attive, recuperare i dispositivi aziendali, cambiare le password condivise che il dipendente conosceva.

Definisci una checklist di offboarding obbligatoria per le risorse umane e l'IT. La prima azione quando un dipendente lascia deve essere la revoca immediata di tutti gli accessi — non il giorno dopo, il giorno stesso.

Nessun piano di risposta agli incidenti

Quando arriva un attacco, i primi 30 minuti sono i più critici. Chi chiami? Cosa spegni? Cosa preservi per le indagini forensi? Chi autorizza lo shutdown dei server? Se queste risposte non sono scritte e condivise in anticipo, le prime ore di un incidente vengono sprecate in caos organizzativo — e ogni ora di ritardo aumenta il danno.

Un piano di risposta agli incidenti non deve essere un documento complesso: basta una procedura chiara di 2 pagine con i contatti di emergenza, le azioni immediate e i criteri di escalation.

Redigi un Incident Response Plan minimo e fai un esercizio simulato ogni 6 mesi. Un servizio MDR esterno come il nostro MDR / SOC 24/7 include la gestione dell'incident response con MTTR inferiore a 60 minuti.

IT esternalizzato senza SLA di sicurezza

Avere un fornitore IT esterno non è un errore — anzi, per molte PMI è la scelta giusta. L'errore è non definire contrattualmente le responsabilità di sicurezza. Il fornitore gestisce i server: ma chi è responsabile degli aggiornamenti di sicurezza? Chi monitora i log? Chi risponde a un incidente? Senza SLA chiari, in caso di attacco scoprirai che la risposta è "non era nei nostri accordi".

Rivedi i contratti con i fornitori IT: aggiungi SLA specifici per patching (critici entro X ore), monitoring, incident response e reporting mensile sulla sicurezza. Se il tuo fornitore non può o non vuole impegnarsi su questi punti, valuta di affiancarlo con un MSSP specializzato.

Non aver mai fatto un penetration test

Puoi implementare tutti i controlli sopra elencati e avere comunque vulnerabilità critiche che non conosci. Un penetration test è l'unico modo per verificare che le tue difese funzionino davvero — non in teoria, ma contro tecniche di attacco reali. Senza un test periodico, stai difendendo la tua azienda alla cieca.

Questo vale anche se usi fornitori cloud o SaaS: la responsabilità condivisa significa che la sicurezza della tua configurazione, dei tuoi dati e dei tuoi utenti è sempre in capo a te.

Commissiona un penetration test esterno base come primo passo: ti dà una fotografia realistica dell'esposizione perimetrale. Leggi la nostra guida al penetration test per imprenditori per capire cosa aspettarti e come scegliere il fornitore.