Nel 2025, il 43% degli attacchi informatici in Francia ha preso di mira aziende con meno di 50 dipendenti (fonte ANSSI). Il costo medio di un attacco per una PMI: 25.000 euro — tra la perdita di esercizio, la bonifica tecnica e la perdita di dati.
Eppure, l'80% di questi attacchi avrebbe potuto essere evitato con misure basilari. Non è necessario un budget di sicurezza di 50.000 euro. 10 azioni semplici bastano.
Misura 1: password solide e un gestore
La password "Azienda2024!" non è una buona password. Sarà violata in 3 secondi da uno strumento automatizzato.
L'azione: installa un gestore di password per tutto il team (Bitwarden in versione gratuita, o 1Password a 4 euro/mese/utente). Ogni password generata casualmente, minimo 16 caratteri, univoca per ogni servizio.
La password principale del gestore deve essere una frase lunga che ricordi: "IlMioGattoMangiaCrevetteSulTavolo" è infinitamente più solida di "P@ssw0rd!2024".
Misura 2: autenticazione a due fattori (2FA)
Anche con una buona password, se un dipendente cade nella trappola di un phishing, l'attaccante ha la password. Il 2FA aggiunge un livello: oltre alla password, serve un codice temporaneo generato dal telefono.
L'azione: attiva il 2FA su tutti gli account critici — email, banca, hosting, social network, strumenti di lavoro. Usa un'app (Google Authenticator, Authy) piuttosto che l'SMS (intercettabile).
Misura 3: aggiornamenti automatici
Le falle di sicurezza sono corrette dagli editori nei giorni seguenti la loro scoperta. Ma se non aggiorni, la falla rimane aperta. I ransomware sfruttano massicciamente le falle di Windows e browser note da mesi.
L'azione: attiva gli aggiornamenti automatici su tutti i computer (Windows, macOS, browser, software di lavoro). Un riavvio a settimana è il prezzo da pagare.
Misura 4: il backup 3-2-1
La regola 3-2-1: 3 copie dei tuoi dati, su 2 supporti diversi, di cui 1 fuori sede.
L'azione concreta:
- Copia 1: il tuo disco rigido (i dati in produzione)
- Copia 2: un disco rigido esterno o NAS (backup giornaliero automatico)
- Copia 3: un servizio cloud (Backblaze B2 a 6$/mese, o Synology C2)
Testa il ripristino una volta al trimestre. Un backup che non sai come ripristinare non è un backup.
Misura 5: sensibilizzazione anti-phishing
Il 90% degli attacchi inizia con un'email di phishing. L'anello debole è l'uomo.
L'azione: forma il tuo team a riconoscere le email sospette. I segnali:
- Urgenza artificiale ("Il tuo account sarà sospeso tra 2 ore")
- Mittente sconosciuto o nome di dominio sospetto
- Link verso URL strani (passa il mouse senza cliccare)
- Allegati inaspettati (.exe, .zip, .js)
- Richiesta di credenziali per email (nessun servizio legittimo lo fa)
Fai un esercizio di phishing simulato una volta all'anno. Piattaforme come Gophish (gratuita) permettono di inviare falsi phishing al tuo team per identificare le debolezze.
Misura 6: Wi-Fi sicuro
Il Wi-Fi del tuo ufficio è un punto di ingresso. Se la password è "ciao123" o se usi il protocollo WEP (obsoleto da 15 anni), chiunque nella strada può accedere alla tua rete.
L'azione: protocollo WPA3 (o WPA2-AES minimo), password complessa di 20+ caratteri, rete ospiti separata per i visitatori.
Misura 7: cifratura dei portatili
Un laptop rubato da un'auto, una borsa dimenticata in treno — succede. Se il disco non è cifrato, il ladro accede a tutti i tuoi dati.
L'azione: attiva BitLocker (Windows Pro) o FileVault (macOS). È gratuito, integrato nel sistema, e trasparente nell'uso.
Misura 8: diritti di accesso limitati
Non tutti hanno bisogno di accedere a tutto. Il commercialista non ha bisogno di accedere ai file tecnici, il tirocinante non ha bisogno dei diritti amministratore.
L'azione: applica il principio del minimo privilegio. Ogni utente accede solo alle risorse necessarie per il suo lavoro. E elimina gli account delle persone che lasciano l'azienda il giorno stesso della partenza.
Misura 9: antivirus e firewall
Windows Defender è sufficiente per la maggior parte delle PMI. Inutile acquistare un antivirus a pagamento se la tua igiene digitale è buona. D'altra parte, verifica che Defender sia attivato e aggiornato su tutti i computer.
Il firewall di Windows deve rimanere attivato. Non disattivarlo "perché un software non funziona" — trova la giusta eccezione invece di aprire tutto.
Misura 10: piano di risposta agli incidenti
Il giorno in cui succede (e statisticamente, succederà), devi sapere cosa fare. Un piano di risposta in 5 punti:
- Isolare la macchina infettata (scollega la rete, non spegnere)
- Avvisare il tuo fornitore IT o chiamare il 3218 (cybermalveillance.gouv.fr)
- Non pagare il riscatto (non garantisce il recupero dei dati e finanzia i criminali)
- Ripristinare dal backup
- Presentare denuncia e dichiarare l'incidente al Garante se sono coinvolti dati personali
Stampa questo piano. Appendilo. Il giorno J, nessuno cercherà un documento digitale su un computer cifrato da un ransomware.
La cybersicurezza non è un argomento tecnico riservato agli informatici. È un argomento per il dirigente. 10 misure semplici, applicate rigorosamente, bloccano la stragrande maggioranza degli attacchi.