Cybersecurity per le PMI: rischi, soluzioni e obblighi normativi

La cybersecurity non è più una questione riservata alle grandi aziende. Il Rapporto CLUSIT 2024 — il principale rapporto italiano sulla sicurezza informatica, prodotto dall’Associazione Italiana per la Sicurezza Informatica — registra un aumento del 23% degli attacchi in Italia rispetto all’anno precedente. Le PMI rappresentano il 43% dei bersagli colpiti, un dato in crescita costante dal 2021. Il motivo è strutturale: sistemi meno protetti, backup irregolari, nessun responsabile IT dedicato, e budget di sicurezza praticamente assenti.

+23% in un anno non è un dato di settore astratto: si traduce in aziende ferme, dati clienti esposti, pratiche legali. La particolarità delle PMI è che spesso non hanno un referente IT interno — e quando l’attacco avviene, i danni si sommano alla totale mancanza di procedure di risposta già pronte.

Cos’è la cybersecurity e perché riguarda anche le PMI

La cybersecurity — sicurezza informatica — è l’insieme di tecnologie, processi e pratiche che proteggono sistemi, reti e dati da accessi non autorizzati, attacchi malevoli e danni accidentali. Non è un prodotto che si acquista, ma un processo continuo che combina tecnologia, formazione e procedure organizzative.

Per una PMI con 10-50 dipendenti, questo non significa investimenti multimilionari. Significa identificare i rischi concreti specifici del proprio contesto e adottare contromisure proporzionate. I vettori di attacco più comuni contro le PMI italiane nel 2024, secondo CLUSIT:

• Phishing e social engineering: 35% degli incidenti. Email fraudolente che simulano fornitori abituali, banche, Agenzia delle Entrate o corrieri. Il bersaglio tipico è un dipendente amministrativo.
• Ransomware: 28% degli incidenti. Software malevolo che cifra tutti i file aziendali accessibili dalla rete e richiede un riscatto in criptovaluta per la chiave di decifratura. Richiesta media: 45.000 euro. Il pagamento non garantisce il recupero dei dati.
• Business Email Compromise (BEC): 18%. Furto o spoofing delle credenziali email di un dirigente per autorizzare pagamenti fraudolenti verso conti controllati dagli attaccanti. Danno medio per incidente: 65.000 euro.
• Vulnerabilità software non patchate: 12%. Sistemi operativi, software gestionali o server web non aggiornati con vulnerabilità note e sfruttate da tool automatizzati.
• Attacchi alla supply chain: 7% ma in crescita del 40% rispetto al 2023. Si compromette un fornitore di servizi IT o software per accedere ai clienti finali.

La direttiva NIS2 e il D.Lgs. 138/2024: obblighi per le imprese italiane

La direttiva europea NIS2 (Network and Information Security 2, 2022/2555) è stata recepita in Italia con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024. Sostituisce la precedente NIS1 e amplia significativamente sia i settori coperti sia i soggetti obbligati.

Settori essenziali (obblighi più stringenti): energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, salute, acqua potabile e reflua, infrastrutture digitali (data center, CDN, DNS resolver), gestione ICT B2B, pubblica amministrazione, spazio.

Settori importanti (nuovi rispetto a NIS1): servizi postali e di corriere, gestione dei rifiuti, produzione di sostanze chimiche, produzione di alimenti, manifattura di dispositivi medici, elettronica e macchinari, fornitori di marketplace digitali, motori di ricerca, social network.

Per le medie imprese (50-250 dipendenti) nei settori elencati, gli obblighi principali sono:

1. Registrazione sulla piattaforma ACN (Agenzia per la Cybersicurezza Nazionale) entro i termini stabiliti. La piattaforma è operativa su acn.gov.it.
2. Adozione di misure di sicurezza proporzionate al rischio: politiche di sicurezza documentate, gestione degli incidenti, continuità operativa e disaster recovery, sicurezza della supply chain, formazione del personale, uso di crittografia.
3. Notifica degli incidenti significativi ad ACN: pre-notifica entro 24 ore dall’individuazione dell’incidente, rapporto preliminare entro 72 ore, rapporto finale entro un mese. Un incidente è “significativo” quando causa interruzioni gravi del servizio o perdita di dati rilevanti.

Le sanzioni per i soggetti “importanti” non conformi arrivano a 7 milioni di euro o l’1,4% del fatturato globale annuo. Per i soggetti “essenziali”: fino a 10 milioni o il 2% del fatturato.

Soluzioni pratiche per le PMI: alto impatto, budget contenuto

La maggior parte delle violazioni di sicurezza nelle PMI sfrutta vulnerabilità elementari. Le misure di base, se implementate correttamente, prevengono il 90% degli attacchi comuni.

Misure organizzative (costo zero o minimo)

• Autenticazione a due fattori (2FA/MFA): abilitarla su email aziendale, gestionale, accessi remoti (VPN), cloud storage. Riduce il rischio di compromissione degli account del 99,9% — dato Microsoft Security Report 2024. Gratuita con la maggior parte dei servizi cloud.
• Regola di backup 3-2-1: 3 copie dei dati critici, su 2 supporti diversi (es. NAS locale + cloud), con 1 copia offsite o air-gapped. Testare il ripristino ogni 90 giorni — avere un backup non testato equivale a non averlo.
• Patch management sistematico: patch di sicurezza critiche applicate entro 72 ore dalla disponibilità. Molti attacchi ransomware sfruttano vulnerabilità con patch disponibile da settimane.
• Formazione anti-phishing: simulazioni periodiche. Piattaforme come KnowBe4 o Proofpoint hanno piani PMI da 3-5 €/utente/mese. Dopo 6 mesi di formazione con test simulati, il tasso di click su phishing scende in media dal 34% al 4,5%.
• Password manager aziendale: Bitwarden Business (da 3 €/utente/mese) o 1Password Teams elimina le password riutilizzate e quelle condivise su foglio Excel.

Strumenti tecnici essenziali

• EDR (Endpoint Detection and Response): più efficace del semplice antivirus — rileva comportamenti anomali in tempo reale, non solo firme note. Microsoft Defender for Business è incluso in Microsoft 365 Business Premium (22 €/utente/mese). Alternative: SentinelOne Singularity Go, Sophos Intercept X.
• Firewall con ispezione applicativa: il router del provider ISP non è un firewall aziendale. Soluzioni entry-level: Fortinet FortiGate 40F (600-900 €/anno con licenza), Sophos XGS 87 (800 €/anno). Per PMI sotto 15 dipendenti, anche Firewalla Gold (500 € una tantum) è un punto di partenza ragionevole.
• VPN o Zero Trust per accessi remoti: obbligatoria per chi lavora in smart working. Cloudflare Zero Trust (gratuito fino a 50 utenti) o Tailscale (6 $/utente/mese) sono soluzioni moderne più sicure delle VPN tradizionali.

Le risorse pubbliche disponibili: ACN e PNRR

L’Agenzia per la Cybersicurezza Nazionale mette a disposizione gratuitamente:

• Il Framework Nazionale per la Cybersecurity e la Data Protection (versione 2.0, 2024): metodologia per l’autovalutazione del rischio e la definizione di un piano di miglioramento, scaricabile su acn.gov.it.
• Il CERT-AgID: bollettini su minacce attive, indicatori di compromissione (IoC) e campagne di phishing in corso — utile per aggiornare le blacklist dei filtri email.
• Voucher e contributi PNRR: nell’ambito della Missione 1 Componente 1, sono stati stanziati 623 milioni di euro per la cybersecurity nazionale, parte dei quali accessibili dalle PMI tramite bandi specifici gestiti da Invitalia e dalle Camere di Commercio.