Molte PMI pensano: “Non abbiamo niente di interessante, non attaccheranno mai noi”. Poi basta un ransomware per bloccare fatturazione, produzione e clienti per giorni. La buona notizia? Non devi diventare una banca per migliorare di molto la tua sicurezza: ti servono alcuni controlli fondamentali.
Perché le PMI sono nel mirino (anche se non se ne accorgono)
Attacchi automatizzati, non “su misura”
Quando si parla di cyber attacchi, molti immaginano un gruppo di hacker che studia per mesi l’azienda bersaglio, come in un film. Nella realtà, soprattutto per le PMI, funziona in modo molto più “banale”: gran parte degli attacchi sono automatizzati.
Esistono software, chiamati bot o scanner automatici, che passano le giornate a cercare su internet sistemi non aggiornati, server esposti e password deboli. Non cercano “la tua azienda Rossi Srl”, cercano “qualunque azienda con questa falla aperta”. Se la tua infrastruttura ha quella falla, entri automaticamente nella lista dei candidati, che tu sia una multinazionale o una carpenteria da dieci dipendenti.
In pratica significa che non vieni colpito perché sei famoso, ma perché sei vulnerabile. E se hai un server esposto con un sistema operativo vecchio, una VPN non aggiornata o un gestionale raggiungibile da internet senza protezioni moderne, rientri esattamente nel profilo che questi attacchi amano.
In breve: non sei troppo piccolo per essere attaccato; puoi solo essere troppo piccolo per permetterti di ignorare il problema.
Il costo potenziale di uno stop operativo
Immagina di arrivare in azienda una mattina e trovare i sistemi bloccati. Il gestionale non parte, la posta non si apre, i file sul server mostrano nomi strani e non sono più leggibili. Sullo schermo, una richiesta di riscatto.
Non è solo “un problema IT”. È produzione che si ferma, ordini che non si possono evadere, fatture che non escono, clienti che non ricevono risposte. Ogni giorno di fermo è fatto di costi che continuano a correre e ricavi che si fermano. E anche dopo il ripristino, ci sono tempi da recuperare, incomprensioni con i clienti, possibili penali contrattuali.
Per una PMI, uno stop di qualche giorno può equivalere a un mese intero di fatica buttata via. E se il danno colpisce anche i dati dei clienti, entra in gioco la reputazione: spiegare perché i loro dati sono finiti in un attacco non è mai piacevole.
In breve: il costo di un incidente grave non è solo “sistemare i PC”, ma tutto ciò che ruota attorno al fatto che l’azienda non può lavorare normalmente.
Come usare questa Checklist
Priorità (base, intermedio, avanzato)
Pensa a questa checklist come a un tagliando auto. Se non lo fai, magari l’auto continua a muoversi, finché un giorno si ferma nel momento peggiore. La differenza è che, nel mondo cyber, il momento peggiore spesso arriva quando sei più carico di lavoro.
Per rendere il tutto gestibile, conviene dividere mentalmente i controlli in tre livelli. I controlli base sono quelli che ogni PMI dovrebbe avere, a prescindere dal settore: backup decenti, sistemi aggiornati, protezioni minime sugli accessi, un po’ di formazione alle persone. È il livello che riduce già una grossa fetta del rischio, senza stravolgere l’organizzazione.
I controlli intermedi riguardano aziende che hanno già messo in piedi i fondamentali e vogliono strutturarsi meglio: gestione centralizzata degli aggiornamenti, segmentazione di rete, log monitorati, procedure più rigide sugli accessi. È il livello del “non siamo più improvvisati”.
I controlli avanzati sono per chi vuole andare oltre, magari perché tratta dati particolarmente sensibili o perché la sicurezza è richiesta dai clienti o dalle certificazioni. Qui entrano in gioco strumenti più evoluti, come soluzioni avanzate di monitoraggio, test di sicurezza periodici, simulazioni di attacco e procedure di incident response più mature.
Da ricordare: non devi fare tutto in una volta; partire dal livello base e completarlo bene è già un enorme passo avanti rispetto alla media.
Chi dovrebbe compilarla
Nelle PMI la figura che “si occupa di IT” spesso è una sola persona o addirittura mezza persona, magari divisa tra amministrazione e tecnologia. A volte c’è un fornitore esterno che gestisce server, PC e connessioni. In altri casi ancora, è direttamente il titolare a occuparsi di tutto quello che è tecnologico.
L’ideale sarebbe che questa checklist fosse compilata a quattro mani. Chi vive l’IT tutti i giorni vede i dettagli tecnici, sa dove sono i server, quali software girano, come sono configurate le reti. Il titolare o la direzione, invece, ha chiaro quali sono i processi critici, quali linee di business non possono fermarsi, quali obblighi contrattuali esistono verso i clienti.
Se hai un consulente esterno di fiducia, può essere utile coinvolgerlo per una sessione dedicata proprio alla checklist. Non per trasformarla in un documento “per ispettori”, ma per capire insieme dove siete messi bene e dove, invece, state andando avanti solo “perché finora è andata”.
In breve: la checklist funziona davvero solo se incrocia due sguardi, quello tecnico e quello del business.
Check fondamentali lato tecnologia
Backup testati
Il primo controllo tecnologico è sempre lo stesso: se qualcosa va storto, possiamo riprenderci in tempi accettabili? La risposta passa dai backup. Avere dei backup significa che i dati critici vengono copiati periodicamente in un luogo diverso dall’originale. Ma non basta sapere che “c’è un disco di backup da qualche parte”.
Un controllo serio sui backup guarda almeno tre cose. La frequenza: ogni quanto vengono salvati i dati e quanto lavoro potenzialmente perderesti tra un backup e l’altro. La separazione: le copie sono abbastanza isolate dai sistemi di produzione da non essere cifrate anch’esse in caso di ransomware. Il test: avete mai provato davvero a ripristinare tutto da zero, simulando un incidente?
In pratica significa chiedersi: se il server principale sparisse oggi, quanto tempo mi servirebbe per rimettere in piedi i sistemi? E quanti dati perderei?
In breve: un backup di cui nessuno sa esattamente come ripristinare i dati non è una vera protezione, è una falsa sicurezza.
Aggiornamenti / patch
Molti attacchi sfruttano falle di sicurezza già note, per le quali esistono aggiornamenti correttivi, chiamati patch. Il problema è che, nelle PMI, l’aggiornamento viene spesso percepito come un fastidio: “non tocchiamo niente, che tanto funziona”. È comprensibile, ma rischioso.
Un buon controllo riguarda il modo in cui vengono gestiti gli aggiornamenti di sistemi operativi, applicazioni, dispositivi di rete e software esposti su internet. È previsto un calendario? Qualcuno ha il compito preciso di verificare che tutto sia aggiornato? Si testano gli aggiornamenti più delicati in un ambiente di prova, prima di portarli in produzione?
Aggiornare non significa lanciarsi nel vuoto. Significa pianificare finestre di manutenzione, avere un piano B nel caso qualcosa vada storto e non lasciare sistemi esposti su internet con falle vecchie di anni, solo perché “nessuno ha trovato il tempo”.
In breve: le patch non sono un capriccio dei produttori; sono il modo in cui chiude le porte che gli attaccanti conoscono già.
Antivirus / antimalware
L’antivirus non è la soluzione magica alla sicurezza, ma resta uno dei mattoni di base. Oggi spesso si parla di antimalware o soluzioni di endpoint protection: in pratica significa software che monitorano ciò che accade su PC e server, alla ricerca di comportamenti sospetti, non solo di firme note.
Il controllo qui è duplice. Da un lato, verificare che tutti i dispositivi aziendali abbiano una protezione installata, aggiornata e gestita in modo centralizzato, non un antivirus gratuito e abbandonato. Dall’altro, assicurarsi che qualcuno guardi i log e gli avvisi: se il sistema segnala un problema ma nessuno lo controlla mai, il valore si azzera.
In breve: un buon antimalware è come un allarme in azienda; ma se nessuno guarda mai il pannello, non ti protegge davvero.
Accessi amministrativi
Gli accessi amministrativi sono quelli che possono “fare tutto”: installare software, cambiare configurazioni, leggere dati sensibili, creare o cancellare utenti. Se questi accessi sono troppo diffusi o poco controllati, una singola credenziale rubata può aprire all’attaccante l’intera infrastruttura.
Un controllo fondamentale è capire chi ha diritti amministrativi, su quali sistemi e perché. Spesso si scopre che account generici sono condivisi da più persone, che ex dipendenti hanno ancora credenziali attive o che per comodità tutti lavorano come amministratori anche per attività quotidiane.
È qui che entrano in gioco concetti come “principio del privilegio minimo”: in pratica significa dare a ciascuno solo i permessi necessari per il suo ruolo, niente di più. Richiede un po’ di organizzazione, ma riduce moltissimo l’impatto di una singola credenziale compromessa.
In breve: meno persone hanno le “chiavi di tutto”, più è difficile per un attaccante usarle contro di te.
Check fondamentali lato persone e processi
Formazione base sul phishing
Una gran parte degli incidenti nasce da mail di phishing ben scritte. Il phishing è quella tecnica in cui l’attaccante si finge qualcun altro, di solito una figura credibile come un fornitore, una banca o l’IT interno, per spingerti a cliccare su un link o aprire un allegato.
La formazione base sul phishing non deve essere un corso universitario. Deve essere pratica, breve, ripetuta nel tempo. Deve mostrare esempi reali di mail sospette, spiegare cosa controllare in un mittente, come riconoscere urgenze artificiali, cosa fare quando si ha il dubbio di essere davanti a una trappola.
Un buon segnale è quando le persone iniziano a chiedere: “Questa mail è legittima?” invece di cliccare automaticamente. Significa che la formazione ha cambiato il comportamento, non solo aggiunto nozioni.
In breve: la prima linea di difesa non è il firewall, sono le persone che usano la posta ogni giorno.
Policy password e 2FA
Le password restano un punto debole enorme, soprattutto nelle PMI dove è ancora comune condividere la stessa password tra più colleghi o riutilizzarla su servizi diversi. Una policy password non è un documento complicato: è un insieme di regole chiare su come vanno create, gestite e cambiate le password aziendali.
In pratica può significare obbligare all’uso di password più lunghe e meno prevedibili, vietare il riutilizzo della stessa password su sistemi diversi, introdurre password manager per evitare fogli Excel e post-it sotto la tastiera.
Accanto alle password entra in gioco l’autenticazione a due fattori, o 2FA. Vuol dire aggiungere un secondo passaggio al login, come un codice temporaneo sul telefono o una notifica su un’app. Così, anche se qualcuno indovina o ruba la password, non può entrare senza il secondo fattore.
Da ricordare: password robuste e 2FA sugli account critici sono tra i controlli base con il miglior rapporto sforzo–beneficio.
Gestione onboarding/offboarding
Onboarding e offboarding sono due parole eleganti per indicare l’ingresso e l’uscita delle persone dall’azienda. Dal punto di vista della sicurezza, ogni nuovo ingresso dovrebbe seguire un percorso standard, e ogni uscita dovrebbe chiudere in modo completo tutti gli accessi.
Il controllo qui consiste nel verificare se esiste una lista chiara di cosa va fatto quando arriva un nuovo dipendente: quali account creare, quali permessi dare, quali strumenti consegnare. E, allo stesso modo, cosa va fatto quando qualcuno se ne va: disattivare account, recuperare dispositivi, rimuovere accessi a software esterni.
Troppo spesso, nelle PMI, ci si accorge mesi dopo che un ex collaboratore ha ancora accesso a caselle email, VPN o sistemi gestionali. Non sempre c’è malafede; ma è una porta aperta che resta lì, pronta a essere usata da chiunque intercetti quelle credenziali.
In breve: gestire bene ingressi e uscite non è burocrazia, è ridurre la superficie di attacco in modo silenzioso ma efficace.
Check fondamentali lato dati e compliance
Dove sono i dati critici?
Prima di parlare di sicurezza e compliance, c’è una domanda semplice che molte aziende non sanno davvero rispondere: dove sono i dati critici? Critici significa quelli senza i quali non potresti lavorare: dati dei clienti, contratti, progetti, documentazione tecnica, contabilità.
Un controllo serio parte da una mappatura minima. Non serve un atlante perfetto, ma almeno capire se i dati stanno su un server interno, in un cloud, su PC sparsi, in chiavette USB, in cartelle condivise senza controllo. Più sono dispersi, più è difficile proteggerli in modo coerente.
In pratica, se non sai dove sono i tuoi dati più importanti, stai lasciando la loro sicurezza al caso.
In breve: la sicurezza dei dati comincia dal sapere esattamente dove vivono.
Chi vi accede?
Una volta capito dove sono i dati, la domanda successiva è: chi può accedervi? E, ancora più importante, chi dovrebbe poterlo fare davvero? È normale che nel tempo i permessi si accumulino: qualcuno passa di ruolo, qualcuno cambia mansione, qualcuno chiede un accesso “temporaneo” che poi non viene mai revocato.
Il controllo consiste nel rivedere periodicamente gli accessi ai dati critici, incrociandoli con l’organigramma reale. Non si tratta di “spiare” le persone, ma di verificare che chi oggi ha le chiavi dei dati sia effettivamente chi ne ha bisogno per lavorare.
L’obiettivo è ridurre il numero di persone e sistemi che possono toccare i dati sensibili, perché ogni accesso in più è un potenziale punto di ingresso per un attaccante o per un errore umano.
In breve: meno accessi inutili hai, meno è probabile che qualcosa vada storto.
Elementi minimi richiesti dal GDPR (vista pratica)
Il GDPR non è solo una legge “per giuristi”, è il contesto in cui ti muovi ogni volta che tratti dati personali di clienti, dipendenti o fornitori. La buona notizia è che molti controlli tecnici di buon senso vanno automaticamente nella direzione giusta anche dal punto di vista GDPR.
Da una prospettiva pratica, alcuni elementi minimi da verificare sono la presenza di un’informativa chiara per i clienti su come vengono trattati i loro dati, la definizione di chi è responsabile di cosa all’interno dell’azienda, l’esistenza di misure tecniche e organizzative proporzionate ai rischi (quello che la norma chiama “misure adeguate”).
Non serve riempire scaffali di carta, ma serve evitare situazioni palesemente rischiose, come dati sensibili lasciati in chiaro su sistemi non protetti, accessi condivisi, assenza totale di controlli sugli accessi. Un confronto periodico con il proprio consulente legale o privacy aiuta a verificare di non trascurare obblighi importanti.
Dopo la checklist: cosa fare se scopri dei buchi grossi
È molto probabile che, compilando questa checklist con onestà, emergano lacune evidenti. Magari scopri che il tuo “server principale” non è aggiornato da anni, che i backup non sono mai stati testati o che mezza azienda condivide la stessa password di amministrazione.
La reazione naturale è un misto di ansia e voglia di cambiare tutto subito. Ma, proprio come per il tagliando dell’auto, l’importante è intervenire con metodo e priorità, non nel panico.
Il primo passo è identificare ciò che è davvero critico. Un server non aggiornato ma isolato da internet è un problema diverso da un server esposto direttamente sulla rete pubblica. Una password condivisa per un account non critico è diversa da una password condivisa per l’accesso remoto all’infrastruttura. Qui è utile il confronto tra chi conosce la tecnologia e chi conosce il business.
Il secondo passo è definire un piano di intervento realistico. Meglio decidere di risolvere pochi problemi nelle prossime settimane, ma davvero, piuttosto che scrivere un documento di azioni impossibili che resterà nel cassetto. Alcuni interventi saranno gestibili internamente, altri richiederanno il supporto di un fornitore o di un consulente.
Da ricordare: l’obiettivo non è diventare invulnerabili, ma essere molto meno vulnerabili di ieri, con scelte concrete e sostenibili.
