Cybersecurity PMI: il kit minimo per non bloccarti

Un’azienda di Biella si ferma per due giorni perché un dipendente ha cliccato su una falsa fattura e il gestionale è criptato. Non è uno scenario da film: è il tipo di chiamata che riceviamo. La buona notizia è che la maggior parte dei blocchi si evita con poche misure di base, non con un budget enterprise.

Questo articolo è il kit minimo di cybersecurity per una PMI: cosa serve davvero, in che ordine, e dove ha senso NON spendere.

Kit minimo cybersecurity PMI — definizione

Il kit minimo di cybersecurity per una PMI sono 5 pilastri:

• Firewall: filtra il traffico in ingresso e blocca i tentativi automatizzati.
• MFA (autenticazione a due fattori): blocca la quasi totalità degli accessi rubati via phishing ed è spesso già incluso in Microsoft 365 o Google Workspace.
• Endpoint protection: antivirus business centralizzato su tutti i PC.
• Backup testato (regola 3-2-1): non previene l’attacco, è la rete di sicurezza per ripartire. Va combinato con le altre misure e testato periodicamente.
• Formazione del personale: l’anello debole più frequente non è la tecnologia ma la persona; la formazione sul phishing ha il miglior ritorno a costo quasi zero.

Una PMI di 5-10 persone non ha bisogno di SOC h24 o appliance enterprise: meglio mettere a terra bene le basi.

Perché una PMI è un bersaglio (anche se piccola)

Gli attacchi automatizzati non scelgono la vittima: scansionano internet alla ricerca di porte aperte e credenziali deboli. Una PMI con email senza MFA e nessun firewall configurato è più esposta di una grande azienda con un reparto IT dedicato — non perché qualcuno la prenda di mira, ma perché è facile.

Il danno raramente è il furto di dati di per sé. È il blocco operativo: gestionale criptato, fatture ferme, produzione bloccata. Per chi lavora nel tessile, in uno studio o in un negozio biellese, due giorni di fermo macchina o di sistema bloccato sono un costo molto concreto.

I 5 pilastri del kit minimo

Pilastro	A cosa serve	Tipo di spesa
Firewall	Filtra il traffico in ingresso/uscita, blocca tentativi automatizzati	Hardware una tantum + licenze
MFA	Impedisce l’accesso anche se la password viene rubata	Spesso incluso/gratuito
Endpoint protection	Antivirus business centralizzato su tutti i PC	Per postazione/anno
Backup testato	Ripartire dopo ransomware o guasto	Per postazione/anno
Formazione	Riduce il rischio che qualcuno clicchi	Tempo, poco budget

1. Firewall: il portone

Un router consumer del provider non basta per un’azienda. Serve un firewall business (es. con funzioni UTM) che separi la rete aziendale da internet, segmenti il Wi-Fi ospiti da quello interno e blocchi le porte non usate. È la base su cui si appoggiano server e postazioni — ne parliamo nella pagina dedicata a server e rete aziendale.

2. MFA: la misura con il miglior rapporto costo/efficacia

L’autenticazione a due fattori chiede un secondo elemento oltre alla password: un codice da app o un SMS. Se attivi una sola cosa quest’anno, attiva questa. Su email aziendale, gestionale e accessi remoti. È spesso già compresa in Microsoft 365 e Google Workspace: va solo abilitata. Costo quasi zero, beneficio enorme.

3. Endpoint protection centralizzato

Non l’antivirus gratuito su ogni PC, ma una soluzione business gestita centralmente (es. Bitdefender GravityZone, ESET PROTECT): vedi lo stato di tutte le macchine da un’unica console, applichi le policy, ricevi gli alert. In uno scenario tipo, indicativamente 30–50 € per postazione/anno (esempio illustrativo, non un listino).

4. Backup testato (regola 3-2-1)

Il backup è la tua assicurazione contro il ransomware: se tutto viene criptato, ripristini e riparti. La regola è 3 copie, 2 supporti diversi, 1 fuori sede. Il costo dipende dalla quantità di dati e dalla modalità (locale o cloud) e va sempre dimensionato sul caso reale. Ma il punto critico è il test: un backup mai verificato è un backup che potrebbe non ripristinare. Abbiamo dedicato un approfondimento alla strategia di backup 3-2-1.

5. Formazione del personale

L’anello debole più frequente non è il firewall: è la persona che clicca. Mezza giornata di formazione sul phishing, una policy chiara sulle password e una procedura su “a chi segnalo un’email sospetta” valgono più di molti strumenti costosi. Costo quasi nullo, ritorno alto.

In che ordine partire

Se non hai nulla in piedi, l’ordine pratico è:

1. MFA su email e accessi critici (immediato, spesso gratis).
2. Backup testato sui dati che ti fermerebbero (gestionale, fascicoli, fatture).
3. Endpoint protection centralizzato su tutte le postazioni.
4. Firewall business configurato bene.
5. Formazione del team, da ripetere almeno una volta l’anno.

Non serve fare tutto in un mese. Ma MFA e backup andrebbero sistemati subito.

Quando NON ti serve di più

Una PMI di 5-15 persone non ha bisogno di un SOC esterno h24, di un SIEM complesso o di appliance enterprise da decine di migliaia di euro. Sono strumenti pensati per organizzazioni con un team di sicurezza dedicato; in una piccola azienda generano costi e allarmi che nessuno presidia. Meglio coprire bene i 5 pilastri e rivalutare quando cresci. Spendere di più senza presidiare non aumenta la sicurezza.

Il vantaggio del referente unico

La cybersecurity di una PMI tocca rete, PC, email, gestionale e stampanti (anche le multifunzione sono nodi di rete da proteggere, vedi GDPR sui dati che transitano in scansione). Avere un referente unico che vede tutto l’insieme — e che interviene direttamente, senza call center, entro 24 ore lavorative (8 per i blocchi totali) — evita il rimpallo tra fornitori quando qualcosa va storto. È così che gestiamo l’IT delle aziende biellesi da oltre 40 anni.

Il passo successivo

Non sai a che punto sei? Facciamo un check gratuito delle tue postazioni e della tua rete: vediamo insieme cosa è già coperto e cosa manca, senza venderti strumenti inutili. Scopri il nostro approccio alle postazioni IT o scrivici per un sopralluogo. Nessuna pressione: prima capiamo i tuoi rischi reali, poi proponiamo.