Caricamento...
Caricamento...
Uno studio legale da 20 dipendenti ha subito un tentativo di ransomware tramite email di phishing. Nessun dato perso, ma la sveglia e suonata forte. In 45 giorni siamo passati da zero sicurezza a conformita NIS2 certificata, con EDR SentinelOne, firewall WatchGuard e governance dati completa. Costo: 850 euro/mese.
Lo studio e una realta di diritto commerciale e societario in provincia di Milano: 12 avvocati, 8 tra segreteria e collaboratori, fatturato di 3 milioni di euro. Gestiscono dati riservati di 400+ clienti corporate: contratti, cause, due diligence, fusioni e acquisizioni. Il tipo di dati che, se finisce nelle mani sbagliate, puo costare milioni ai loro clienti.
La sicurezza IT? Un antivirus Norton Small Business con licenza scaduta da 8 mesi, un router/firewall consumer della Vodafone Station, password condivise tra colleghi per "praticita", nessun MFA su nessun account. Il backup era un disco esterno USB collegato al server, che la segretaria staccava il venerdi sera e portava a casa.
L'incidente che ha cambiato tutto
Un avvocato ha ricevuto un'email apparentemente proveniente da un cliente importante, con allegato un PDF "contratto da firmare.pdf.exe". Ha fatto doppio click. Il file ha tentato di scaricare un payload ransomware, ma la connessione verso il server C2 e stata bloccata dal DNS filtering aziendale (l'unica misura di sicurezza che il precedente fornitore aveva configurato). Per puro caso, non per competenza. La mattina dopo ci hanno chiamato.
Norton Small Business non aggiornato da 8 mesi. Nessuna protezione comportamentale, nessun EDR. Il tentativo ransomware non sarebbe stato rilevato.
Nessuna autenticazione a due fattori su Microsoft 365, VPN, portale gestionale. Una password compromessa dava accesso a tutto.
Vodafone Station come unico perimetro di difesa. Nessun IPS/IDS, nessun content filtering, nessuna segmentazione di rete. Avvocati e stampanti sulla stessa VLAN.
Nessuna policy di sicurezza documentata, nessun piano di incident response, nessun registro violazioni, nessuna formazione. Gap totale rispetto alla normativa.
Abbiamo costruito un progetto in 6 fasi che coprisse sia le misure tecniche (firewall, EDR, backup, MFA) sia la parte organizzativa richiesta dalla NIS2 (policy, procedure, formazione, documentazione). L'obiettivo: passare da una postura di sicurezza valutata 12/100 a 85+/100 in meno di 50 giorni lavorativi.
Audit completo della postura di sicurezza: mappatura asset (20 PC, 2 server, 1 NAS, rete Wi-Fi), analisi vulnerabilita, verifica configurazioni esistenti. Risultato: 14 criticita identificate, tra cui antivirus non aggiornato da 8 mesi, firewall consumer senza IPS, zero MFA su tutti gli account.
Sostituzione del router/firewall consumer con WatchGuard Firebox T45. Configurazione: IPS/IDS attivo, content filtering, VPN SSL per smart working, segmentazione VLAN (avvocati, segreteria, ospiti, server). Blocco immediato di 340 tentativi di connessione sospetti nel primo giorno.
Installazione SentinelOne Complete su tutte le 20 postazioni e i 2 server. Disinstallazione antivirus tradizionale (Norton Small Business, licenza scaduta). Primo scan: 3 PUA (Potentially Unwanted Application) rimosse, 1 script PowerShell sospetto in quarantena. Attivazione rollback automatico.
Backup Veeam con retention immutabile 30 giorni su storage off-site. MFA attivato su tutti gli account Microsoft 365 (20 utenti), VPN e portale gestionale. Resistance check: il 100% degli avvocati ha completato l'attivazione MFA in 3 giorni (record per uno studio legale).
Redazione completa: policy di sicurezza IT, procedura di incident response, registro delle violazioni, piano di formazione annuale, nomina responsabile sicurezza. Tutti i documenti allineati ai requisiti del D.Lgs. 138/2024 (recepimento NIS2).
2 sessioni di formazione per tutto il personale: riconoscimento phishing, gestione password, procedure di segnalazione incidenti. Test di phishing simulato: 2 persone su 20 hanno cliccato (10%) — sotto la media di settore del 30%. Go-live del monitoraggio 24/7.
| Metrica | Prima | Dopo | Miglioramento |
|---|---|---|---|
| Minacce rilevate automaticamente | 0% | 100% | +100% |
| Conformita NIS2 | Insufficiente (12/100) | Certificata (87/100) | +625% |
| Tempo di rilevamento minaccia | >72 ore (manuale) | <30 secondi (EDR) | -99,99% |
| MFA attivo | 0 account su 20 | 20 account su 20 | 100% |
| Segmentazione rete | 1 VLAN (tutto insieme) | 4 VLAN segregate | Da 0 a 4 |
| Backup immutabile off-site | Nessuno | Retention 30 giorni | Da 0 a 100% |
| Click rate phishing simulato | Non testato | 10% (media settore: 30%) | 3x meglio |
| Costo mensile sicurezza IT | 0 euro (nessuna protezione) | 850 euro/mese | Investimento vs rischio |
Gli avvocati ricevono decine di allegati al giorno da fonti diverse. Sono il bersaglio perfetto per il phishing mirato (spear phishing). L'EDR comportamentale e l'unica difesa efficace: blocca il payload anche se l'utente clicca.
Molti studi legali vedono la NIS2 come un adempimento cartaceo. In realta, le misure tecniche richieste (MFA, backup immutabile, incident response) sono esattamente quelle che avrebbero prevenuto il tentativo di attacco.
Il click rate del phishing simulato e passato dal 30% stimato (media settore) al 10% dopo una singola sessione di formazione. Ogni punto percentuale in meno e un attacco potenziale evitato.
Se l'MFA fosse stato attivo, il tentativo di ransomware non sarebbe andato nemmeno cosi lontano. Il 90% degli attacchi ransomware a studi professionali sfrutta credenziali compromesse senza secondo fattore.
Per uno studio legale da 20 postazioni, il costo tipico di un progetto di cybersecurity completo include: firewall next-gen WatchGuard (da 2.500 a 4.000 euro una tantum + 1.200 euro/anno licenza), EDR SentinelOne su tutte le postazioni (da 35 a 50 euro/postazione/anno), backup immutabile con Veeam (da 150 a 250 euro/mese), e servizio gestito BullTech con monitoraggio 24/7 (da 600 a 850 euro/mese). Il canone mensile tutto incluso parte da 850 euro/mese. Per uno studio che tratta dati sensibili di clienti, il costo di una violazione (sanzioni GDPR, danni reputazionali, perdita clienti) e stimato tra 50.000 e 200.000 euro.
La direttiva NIS2 (entrata in vigore a ottobre 2024, recepita in Italia con D.Lgs. 138/2024) si applica agli studi legali in due casi: se lo studio fornisce servizi digitali o gestisce infrastrutture critiche per clienti soggetti a NIS2, oppure se rientra nella catena di fornitura di soggetti essenziali o importanti. Anche se lo studio non e direttamente soggetto, molti clienti corporate richiedono ai propri fornitori (inclusi gli studi legali) di dimostrare standard di sicurezza equivalenti. Di fatto, la NIS2 sta diventando uno standard di mercato, non solo un obbligo normativo.
Un antivirus tradizionale riconosce le minacce confrontandole con un database di firme note: se il malware e nuovo (zero-day), non lo rileva. Un EDR (Endpoint Detection and Response) come SentinelOne analizza il comportamento dei processi in tempo reale con intelligenza artificiale. Se un processo tenta di cifrare file in massa (tipico del ransomware), l'EDR lo blocca anche se non ha mai visto quel malware prima. In piu, l'EDR puo fare rollback automatico: ripristina i file allo stato precedente all'attacco senza bisogno di restore dal backup.
Per una PMI da 20-50 dipendenti, il percorso tipico verso la conformita NIS2 richiede da 30 a 90 giorni, a seconda del punto di partenza. Le fasi sono: gap analysis iniziale (1-2 settimane), implementazione misure tecniche come firewall, EDR, backup immutabile, MFA (2-4 settimane), redazione documentazione e procedure (2-3 settimane), formazione del personale (1 settimana). In questo case study, siamo partiti da una situazione molto carente e abbiamo raggiunto la conformita in 45 giorni lavorando in parallelo su misure tecniche e documentazione.
Il rapporto con il provider IT viene regolato da un accordo di riservatezza (NDA) che copre tutti i dati a cui il provider potrebbe avere accesso durante le attivita di assistenza. BullTech firma NDA standard con tutti i clienti del settore legale. Inoltre, le nostre procedure prevedono: accesso ai sistemi solo su ticket autorizzato, log di tutte le sessioni di assistenza remota, segregazione dei dati tra clienti, personale con formazione specifica sulla riservatezza, e certificazione ISO 27001 che garantisce standard di sicurezza verificati da un ente terzo.
Se gestisci dati sensibili di clienti e non hai un EDR, un firewall next-gen e un piano NIS2, sei nella stessa situazione di questo studio prima dell'incidente. BullTech offre un assessment gratuito della postura di sicurezza.
Il team di esperti IT di BullTech Informatica condivide analisi, guide e best practice per la sicurezza e la gestione IT aziendale.