Cybersecurity PMI Italia: dalla protezione perimetrale al real-time

Il perimetro è obsoleto: le vulnerabilità sono nel software, non nei firewall

Da decenni la difesa informatica delle aziende si basa su un concetto semplice: costruire un confine attorno alla rete aziendale — il "perimetro" — presidiato da firewall e sistemi di controllo accessi. Tutto quello che entra dall'esterno è considerato nemico; tutto quello che rimane dentro è presunto sicuro. Ma questo modello ha smesso di funzionare.

Anthropic ha reso disponibile Claude Mythos Preview — un modello AI per il security testing. Mozilla ha identificato 271 vulnerabilità in Firefox 150 durante questa valutazione iniziale. L'advisory ufficiale di sicurezza di Mozilla lista 41 CVE, di cui solo 3 attribuiti direttamente a Claude; i 271 rappresentano il totale di difetti discreti identificati, molti dei quali raggruppati sotto CVE bundles. Nessuna di queste falle era un "buco nel firewall". Molte sono classificate come problematiche di difesa in profondità, hardening e vulnerabilità in percorsi non sfruttabili.

Il problema è strutturale. Dispositivi edge non monitorati, appliance VPN e sistemi IoT vengono sempre più sfruttati come punti di ingresso silenziosi — un pattern che penalizza in particolare le PMI, dove inventario degli asset, segmentazione di rete e monitoraggio continuo risultano spesso incompleti o assenti. Una PMI italiana che gestisce la fatturazione in cloud, permette l'accesso VPN ai dipendenti in remoto e usa software SaaS non ha praticamente più un "perimetro" nel senso tradizionale.

L'AI accelera sia gli attacchi che le difese: il rischio reale per le PMI

La scoperta di Mythos non è solo buona notizia per i defender. Un gap tra vulnerabilità machine-discoverable e human-discoverable favorisce l'attaccante, che concentra mesi di costoso sforzo umano per trovare una falla. Chiudere questo gap erode il vantaggio dell'attaccante rendendo tutte le scoperte economiche. Ma nel breve termine, la diffusione dell'AI potrebbe accelerare anche gli attacchi.

In Italia la situazione è concreta e non è allarmismo. Da inizio 2026 il CSIRT italiano ha rilevato un aumento significativo di attacchi ransomware attribuibili al gruppo Akira Team, con 13 incidenti confermati, prevalentemente a danno di PMI. L'Italia è il quarto Paese al mondo più colpito da ransomware, con oltre 485.000 eventi rilevati, di cui il 30% ha comportato compromissioni reali.

Il vero costo però non è solo il riscatto. Il downtime medio delle aziende statunitensi dopo un attacco ransomware è di 24 giorni con un costo medio per organizzazione superiore a 1,8 milioni di dollari, considerando fermo operativo, perdita di produttività e attività di recovery. Per le PMI italiane, il danno economico medio per una PMI colpita da cyber attacco nel 2025 è di circa 59.000 euro, ma può salire drasticamente in caso di interruzione prolungata.

Dall'arcipelago di buchi al modello Zero Trust: cosa significa in pratica

Se il perimetro non basta più, qual è l'alternativa concreta? Un gap tra vulnerabilità machine-discoverable e human-discoverable favorisce l'attaccante. Chiudere questo gap erode il vantaggio dell'attaccante rendendo tutte le scoperte economiche. Emerge quindi la Zero Trust Security: il nuovo paradigma che ridefinisce completamente la difesa — non ci si fida di nessuno, mai.

Il cambio di prospettiva è radicale. La sicurezza non dipende più da un perimetro statico, ma da controlli continui e dinamici. Non "costruisci un muro robusto e stai tranquillo", ma "verifica ogni persona, ogni dispositivo, ogni richiesta, continuamente".

Per una PMI questo significa concretamente:

• Monitoraggio dei flussi di dati in uscita: quale software sta accedendo ai dati critici? Quanti dati stanno venendo copiati o esportati? Quando?
• Autenticazione multi-fattore su tutto: non solo su e-mail e admin, ma anche su VPN, database, servizi cloud critici
• Segmentazione della rete: il server di fatturazione non comunica direttamente con le workstation, i dispositivi mobili vivono in una zone separata
• Analisi continua del software in uso: identificare quali versioni di quale software sono in uso in azienda e quale ha vulnerabilità note
• Rilevamento comportamentale: un dipendente che accede ai dati di clienti a mezzanotte da un indirizzo IP in Romania quando la sua sede è a Milano attiva un allarme

Cosa possono fare subito le PMI italiane: operazioni concrete con budget reale

La domanda è sempre la stessa: quanto costa e posso permettermi di startare da zero? La risposta è sì, con un approccio per priorità. Non serve aspettare una consultazione strategica costosa.

Livello 1: Audit del software in uso (800-2.000 euro, una tantum)

Non puoi proteggere quello che non conosci. Un security audit basico identifica:

• Quale versione di quale software è installata su tutti i computer aziendali
• Quali di queste versioni hanno CVE (vulnerabilità note) pubblicamente divulgate
• Qual è il tempo medio tra quando una patch è disponibile e quando viene installata
• Quali software saranno dismessi dal supporto del vendor nei prossimi 12 mesi

Costo realistico: una PMI di 20-50 persone può fare questo con uno specialista esterno in 3-5 giorni di lavoro (800-2.000 euro). Per chi ha un IT interno, è un weekend di lavoro.

Livello 2: Governance dei dati critici (1.500-5.000 euro annuali)

Identificare dove vivono i dati veramente critici (clienti, fatturazione, segreti commerciali) e decidere chi può accedervi, da dove, quando, come. Non è IT pura, è anche processo.

• Chi ha accesso ai dati di clienti? Solo il reparto vendite, o anche l'amministrazione? Con quale justification?
• I dati di fatturazione possono uscire dalla rete aziendale? Se sì, in quale formato e protetti come?
• Backup e disaster recovery: quante copie, dove, quanto spesso testate

Il backup è la prima difesa concreta contro il ransomware. Prevedere almeno tre copie dei dati importanti: produzione, backup locale e backup off-site. Assicurarsi che almeno una copia sia non modificabile dall'utente normale. Pianificare test periodici di ripristino.

Livello 3: Email security e firewall con IPS (100-300 euro/mese)

Il filtraggio email blocca il 99% delle email di phishing prima che arrivino nella casella dell'utente. Soluzioni come Microsoft Defender for Office 365, Barracuda, Proofpoint hanno costi di 2-5 euro/utente/mese. Per una PMI di 30 persone, parliamo di 60-150 euro al mese.

Un firewall con IPS (Intrusion Prevention System) blocca exploit, traffico C2 e download malevoli al perimetro. Soluzioni come WatchGuard o Fortinet con tutte le licenze di sicurezza attive costano 500-1.200 euro/anno.

Attenzione: Un firewall senza IPS è quasi inutile. È come avere una porta antieffrazione ma nessun sensore di movimento dentro casa.

Livello 4: EDR e monitoraggio real-time degli endpoint (50-150 euro/mese per PC)

Un Endpoint Protection EDR rileva e blocca il ransomware sull'endpoint in tempo reale, anche i ceppi zero-day. Non è un antivirus tradizionale — è un sensore che monitora il comportamento del software in tempo reale e blocca attività sospette prima che diventino problemi.

Costo: 40-100 euro/PC/anno per soluzioni cloud-based come CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne. Per 20 PC, 800-2.000 euro/anno.

Livello 5: Patch management sistematico (tempo interno + 1.000-2.000 euro/anno per automazione)

Molti attacchi sfruttano vulnerabilità note per cui esiste già una patch. Mantenere aggiornati sistemi operativi, antivirus, firewall, router e access point. Per i siti web e gli applicativi in cloud, verificare che il fornitore applichi aggiornamenti di sicurezza regolari. Definire una finestra mensile di manutenzione in cui vengono installati gli update critici.

Questo non è una spesa IT aggiuntiva, è l'elemento più importante. Una vulnerabilità nota in un software non patchato è come lasciare la porta di casa aperta mentre dici di avere una security. Analisi confermano lo sfruttamento attivo di vulnerabilità n-day non patchate presenti su dispositivi perimetrali, con una particolare predilezione per i firewall SonicWall.

Livello 6: Formazione anti-phishing (500-1.500 euro/anno)

Nel 2025 le forme di minaccia si moltiplicano: oltre ai ransomware, emergono campagne di phishing evoluto, falsi CAPTCHA che nascondono malware e vishing. Non basta dire "state attenti alle email strane". Serve una formazione strutturata con simulazioni mensili di phishing.

Soluzione: piattaforme come KnowBe4, Infosec4TC, ESET. Costo: 15-50 euro/utente/anno. Per 30 persone, 450-1.500 euro/anno.

Vantaggi, limiti e costi veri della modernizzazione della difesa

Cosa guadagni:

• Riduzione dell'esposizione a zero-day e vulnerabilità note: non elimini il rischio, ma lo abbatti drammaticamente
• Rilevamento precoce: un attacco ransomware rilevato al giorno 1 (prima della crittografia) costa 10.000-20.000 euro in contenimento; rilevato al giorno 5 costa 200.000+ in perdita di dati, fermo e recovery
• Conformità normativa: la direttiva NIS2 alza l'asticella per le aziende in settori critici con nuovi obblighi di sicurezza entro il 2026
• Tranquillità operativa: un incident response plan documentato riduce il caos in caso di attacco

Cosa non fa (limiti reali):

• Non elimina lo zero-day: una vulnerabilità non ancora scoperta e non patchata può comunque colpirti. Quello che cambia è la velocità di rilevamento (da settimane a ore)
• Non è "set and forget": Zero Trust e EDR richiedono monitoraggio continuo, aggiornamenti frequenti, team che capisce cosa sta guardando. Se il tuo IT interno è una persona part-time, avrai bisogno di supporto esterno
• Non protegge completamente dal phishing umano: il filtro email blocca il 99%, ma l'1% passa. Un dipendente può comunque cliccare su un link malevolo in una piattaforma che non è email (WhatsApp Business, LinkedIn messaggi, ecc.)
• Costo iniziale e ricorrente: non è gratis, ma non è nemmeno impossibile per una PMI

Il costo della non-azione vs. il costo della modernizzazione

Scenario 1: PMI senza protezione moderna

• Firewall base: 300-500 euro/anno
• Antivirus datato: 50-100 euro/anno
• Totale: ~600 euro/anno
• Rischio: attacco ransomware che costa 59.000+ euro e interruzioni operative significative

Scenario 2: PMI con protezione moderna (base)

• Email security: 1.200 euro/anno (40 utenti)
• Firewall con IPS: 1.000 euro/anno
• EDR per endpoint: 1.500 euro/anno (20 PC)
• Patch management automazione: 1.500 euro/anno
• Formazione anti-phishing: 600 euro/anno (20 persone)
• Audit annuale: 2.000 euro (una tantum primo anno, poi 1.000 euro/anno)
• Totale primo anno: ~7.800 euro; anni successivi: ~5.400 euro/anno
• Rischio: attacco rilevato a giorno 1, contenuto prima della crittografia. Costo contenimento: 10.000-20.000 euro. Fermo: 0-2 giorni invece di 24+

ROI realistico: In caso di un solo attacco evitato in 5 anni, avrai risparmiato oltre 50.000 euro rispetto al costo di non fare nulla. Il danno economico medio per ogni attacco informatico ha un impatto diretto/indiretto superiore a 100.000 euro per PMI.

Il ruolo degli ISP e provider TLC italiani: dalla banda al monitoraggio della sicurezza

Gli ISP italiani non sono più semplici fornitori di connettività. Un ISP con DPI (Deep Packet Inspection) e WAF (Web Application Firewall) integrati nella fibra aziendale può offrire:

• Monitoraggio della rete applicativo: non solo "è passato traffico", ma "è stato rilevato traffic pattern anomalo da server X a destinazione sconosciuta"
• WAF in cloud: protezione dagli attacchi a siti web aziendali prima che raggiungano il server
• DDoS mitigation: se un attacco massiccio arriva in fibra, l'ISP lo filtra prima ancora che entri nella rete aziendale
• Integrazione con la governance cloud: monitoraggio degli accessi ai servizi SaaS, rilevamento di data exfiltration
• SOC managed: un Security Operations Center che monitora 24/7 la rete della PMI, gestisce gli alert, coordina l'incident response

Per una PMI con una fibra dedicata da 100 Mbps, aggiungere monitoraggio DPI + WAF costa tipicamente 300-800 euro/mese in più alla connettività. A volte è gratis se la PMI ha un pacchetto di connettività aziendale.

Il primo passo concreto: domani

Non serve aspettare una consultazione strategica costosa. I passi immediati per una PMI sono:

1. Domani mattina: fare una lista di tutto il software che girava in azienda 12 mesi fa e il software di oggi. Identificare cosa è stato dismesso e cosa è nuovo. Che versioni corrono?
2. Questa settimana: verificare quando è stata fatta l'ultima patch di sistema operativo su tutti i PC. Se la risposta è "non ricordo" o "più di un mese fa", c'è un problema
3. Questo mese: fare una simulazione di phishing interno (molti servizi online lo offrono gratis). Vedere chi clicca. Poi formare solo chi ha cliccato
4. Entro fine mese: contattare il tuo ISP e chiedere cosa offre per il monitoraggio di sicurezza della rete aziendale. Spesso è una cosa che non sai già di avere
5. Entro tre mesi: implementare MFA su almeno VPN, e-mail e admin accounts

Non è costoso iniziare. È costoso non fare nulla e scoprire il danno solo quando è troppo tardi.

Il vero cambio: dal "perimetro sicuro" al "verifica continua"

Che l'AI possa scoprire vulnerabilità machine-discoverable può sembrare terrificante, ma è in realtà una buona notizia per i defender. Un gap tra machine-discoverable e human-discoverable bugs favorisce l'attaccante. Chiudere questo gap erode il vantaggio dell'attaccante rendendo tutte le scoperte economiche. Mythos e strumenti simili non cambiano solo il panorama della sicurezza — lo rovesciano.

Per le PMI italiane, questo non significa "comprate Mythos" o "aspettate che l'AI vi difenda". Significa abbandonare il mito del "perimetro sicuro" e adottare un approccio dove il monitoraggio, l'aggiornamento e la verifica continua di accessi e flussi di dati diventano l'operazione ordinaria, non straordinaria.

Il primo attacco arriva comunque. La differenza è: lo scopri al giorno 1 con un tool EDR, o al giorno 24 quando il ransomware ha già cifrato tutti i file?