Trasformazione Digitale

Cybersecurity per PMI: le 5 cose da fare subito

Cybersecurity per PMI: le 5 cose da fare subito

Foto su Unsplash

Nel 2026 il 68% degli attacchi informatici in Italia colpisce aziende con meno di 250 dipendenti. Non perchè le PMI siano più interessanti dei grandi gruppi, ma perchè sono molto più facili da violare. I criminali informatici sono razionali: vanno dove la resistenza è minore.

La buona notizia è che le misure più efficaci non richiedono budget enormi nè team IT dedicati. Richiedono consapevolezza e un po’ di disciplina operativa. Ecco le cinque cose che puoi — e devi — fare subito.

1. Attiva l’autenticazione a due fattori su tutto

L’autenticazione a due fattori (2FA o MFA) è la misura singola con il miglior rapporto costo/efficacia in cybersecurity. Microsoft stima che blocchi il 99,9% degli attacchi basati su credenziali rubate.

Il funzionamento è semplice: oltre alla password, l’accesso richiede un secondo fattore — un codice OTP su smartphone, una notifica push, una chiave hardware. Anche se un attaccante ruba la password, senza il secondo fattore non entra.

Dove attivarlo subito

  • Email aziendale (Google Workspace, Microsoft 365): priorità massima. L’email è la chiave di accesso a quasi tutti gli altri servizi
  • Gestionale e CRM: dati clienti e fatture sono bersagli primari
  • Banca online e servizi di pagamento: rischio finanziario diretto
  • Account cloud (AWS, Google Cloud, Azure): una breccia qui può costare migliaia di euro in risorse consumate dall’attaccante
  • Social media aziendali: il furto di un account Meta o LinkedIn causa danni reputazionali seri

Usa un’app authenticator come Google Authenticator, Authy o Microsoft Authenticator. Evita l’SMS come secondo fattore quando possibile: è vulnerabile al SIM swapping.

2. Gestisci le password in modo professionale

La password “Teknology2024!” usata su dieci servizi diversi è una catastrofe annunciata. Se uno di quei servizi viene violato — e succede continuamente — le credenziali finiscono in database venduti nel dark web, e gli attaccanti le provano automaticamente su tutti gli altri servizi.

Il password manager: non è optional

Un password manager aziendale risolve tre problemi insieme:

  • Genera password uniche e complesse per ogni account
  • Le memorizza in modo cifrato
  • Le condivide in modo sicuro tra i membri del team

Le soluzioni più adatte alle PMI italiane nel 2026:

  • 1Password Business: ottimo per team, 4€/utente/mese
  • Bitwarden: open source, piano gratuito per usi base, 3€/utente/mese per il piano business
  • NordPass Business: interfaccia semplice, buona per team non tecnici

Costo totale per un team di 5 persone: meno di 20€/mese. Il costo di una violazione: in media 120.000€ per una PMI italiana (fonte: Clusit 2026).

La regola delle password

Con un password manager in uso, le regole sono semplici: ogni account ha la sua password, generata automaticamente, di almeno 16 caratteri. Non la conosci a memoria, non devi farlo.

3. Tieni tutto aggiornato (senza eccezioni)

Il 60% degli attacchi sfrutta vulnerabilità note per cui esisteva già una patch. Gli aggiornamenti di sicurezza sono fastidiosi, ma il motivo per cui esistono è sempre lo stesso: qualcuno ha trovato una falla prima che lo facessero i criminali.

Sistema operativo e software

Windows e macOS hanno l’aggiornamento automatico: attivalo e non disabilitarlo. Per i server, definisci una finestra di manutenzione mensile in cui applicare gli aggiornamenti — idealmente fuori orario lavorativo.

Sito web e CMS

WordPress, WooCommerce, Prestashop e tutti i CMS sono bersagli costanti. Attiva gli aggiornamenti automatici per il core e i plugin critici. Esegui un controllo manuale mensile per plugin e temi che non si aggiornano automaticamente.

Rimuovi i plugin che non usi: ogni plugin inattivo è una superficie di attacco inutile.

Firmware di router e dispositivi di rete

Il router è il punto di ingresso della tua rete. Aggiorna il firmware con cadenza trimestrale e cambia le credenziali di accesso all’interfaccia di amministrazione (non usare mai admin/admin o le credenziali di default).

4. Fai backup regolari con la regola 3-2-1

Un backup recente trasforma un attacco ransomware — che altrimenti costerebbe decine di migliaia di euro di riscatto — in un problema risolvibile in poche ore.

La regola 3-2-1 è lo standard del settore:

  • 3 copie dei dati (originale + 2 backup)
  • 2 supporti diversi (es. NAS locale + cloud)
  • 1 copia offsite (non nella stessa sede fisica)

In pratica per una PMI

  • File aziendali: Google Drive o Microsoft 365 con backup abilitato coprono il requisito cloud. Aggiungi un backup settimanale su hard disk esterno conservato fuori sede (a casa tua, in un’altra filiale)
  • Database del gestionale: verifica che il tuo fornitore faccia backup giornalieri e che tu possa esportare i dati in autonomia
  • Sito web: configura backup giornalieri automatici su hosting separato. Plugin come UpdraftPlus (WordPress) o le funzioni native del tuo provider coprono questo

Il test del ripristino

Un backup non testato è un backup di cui non ti puoi fidare. Ogni tre mesi, prova a ripristinare almeno un file o un database di test. Solo così sai che funziona davvero.

5. Forma il team: l’anello più debole siete voi

L’85% degli incidenti di cybersecurity coinvolge un errore umano. Non perchè le persone siano stupide, ma perchè gli attacchi di phishing e social engineering sono diventati molto sofisticati.

Una email “dalla banca” che chiede di verificare le credenziali, una telefonata dal “supporto Microsoft” che chiede accesso remoto, un allegato PDF da un “fornitore” — sono scenari reali che capitano alle PMI ogni giorno.

Cosa insegnare al team

Riconoscere il phishing: controlla sempre l’indirizzo email del mittente (non solo il nome visualizzato), diffida degli allegati non attesi, non cliccare link nelle email senza verificare il dominio di destinazione.

Non condividere credenziali: il supporto IT legittimo non chiede mai la password. Mai.

Segnalare i sospetti: crea una procedura semplice per segnalare email o richieste sospette senza vergognarsi di averci quasi creduto. La cultura della segnalazione è più importante della formazione tecnica.

Simulazioni di phishing: strumenti come KnowBe4 o Proofpoint Security Awareness permettono di inviare email di phishing simulate ai tuoi dipendenti per misurare chi ci casca e formare chi ne ha bisogno. Una sessione ogni 6 mesi è sufficiente per una PMI.

Il quadro normativo: GDPR e NIS2

Dal 2025 la direttiva NIS2 si applica a molte PMI italiane che operano in settori considerati “importanti” — tra cui servizi digitali, manifattura, distribuzione alimentare, trasporti. Le sanzioni per inadempienza arrivano all’1,4% del fatturato globale.

Le misure descritte in questa guida sono sostanzialmente allineate con i requisiti NIS2 per le PMI. Non è una scusa per non approfondire, ma è un buon punto di partenza.

Per il GDPR, assicurati di avere un registro dei trattamenti aggiornato e una procedura documentata per la gestione delle violazioni dei dati (da notificare al Garante entro 72 ore dalla scoperta).

Piano d’azione in 30 giorni

SettimanaAzione
1Attiva 2FA su email, banca e gestionale
1Scegli e attiva un password manager per il team
2Verifica gli aggiornamenti di sistema e CMS
2Configura backup automatici su cloud + verifica copia offsite
3Sessione di formazione phishing con il team (anche solo 1 ora)
4Test di ripristino backup e revisione delle procedure

Trenta giorni, sei azioni concrete. Non servono consulenti costosi nè tecnologie complesse per iniziare. Servono priorità e un po’ di tempo.


Hai bisogno di una valutazione del tuo livello di sicurezza attuale o di supporto nell’implementazione? Contatta Teknology — analizziamo la tua situazione e definiamo un piano pratico su misura per la tua azienda.

Digitalizzazione

Pronto a fare il salto?

Ti guidiamo passo per passo nel percorso di trasformazione digitale.