Secondo il rapporto CLUSIT 2025, il 43% degli attacchi informatici in Italia colpisce le PMI, con un costo medio per incidente di 120.000 EUR tra fermo operativo, recupero dati e sanzioni. BullTech Informatica, MSP a Vimercate (MB) dal 2009, protegge la rete di oltre 80 PMI tra Milano, Monza, Bergamo e Brescia. In 17 anni abbiamo gestito oltre 40 incidenti reali: ransomware, BEC da 180.000 EUR sventati, credenziali compromesse. Questa guida nasce da quell'esperienza pratica: solo quello che funziona davvero per proteggere una PMI italiana nel 2026.
Perche le PMI Sono il Bersaglio Numero Uno
Se pensi che i criminali informatici puntino solo alle grandi aziende, ripensaci. Il rapporto Clusit 2025 parla chiaro: il 43% degli attacchi informatici colpisce le PMI. Non per caso, ma per logica economica. Le PMI hanno dati di valore (clienti, fatture, progetti, brevetti) ma investono in sicurezza molto meno delle grandi imprese. Solo il 14% delle PMI italiane ha difese adeguate.
Per un criminale, attaccare una PMI e come svaligiare una casa con la porta aperta. Il ritorno sull'investimento e altissimo: meno difese, meno personale IT dedicato, meno capacita di risposta. E il riscatto di un ransomware da 50.000 EUR e piu facile da ottenere da un'azienda che non puo permettersi di stare ferma 3 settimane.
I numeri che fanno riflettere
Il 43% degli attacchi colpisce le PMI. Solo il 14% ha difese adeguate. Il costo medio di un attacco a una PMI italiana e di 120.000 EUR. Il fermo operativo medio dura 23 giorni. E il 60% delle PMI che subisce un attacco grave senza un piano di risposta chiude entro 6 mesi. Non per i dati persi, ma per i clienti persi durante il fermo.
Il problema non e solo tecnologico. E culturale. Molte PMI italiane considerano la sicurezza informatica come un costo, non come un investimento. "A noi non e mai successo" e la frase che sentiamo piu spesso. Fino a quando succede.
I 5 Attacchi Piu Comuni alle PMI Italiane
Non serve conoscere centinaia di tipi di attacco. Per una PMI, il 95% del rischio si concentra in cinque categorie. Conoscerle e il primo passo per difendersi:
Ransomware
32% dei casiIl malware cifra tutti i file su server, NAS e postazioni. Chiede un riscatto in Bitcoin per la chiave di decifrazione. Tempo medio di fermo: 23 giorni. Riscatto medio per PMI: 40.000-80.000 EUR. Anche pagando, il 30% non recupera tutti i dati. Vettore di ingresso piu comune: allegato email infetto o RDP esposto senza MFA.
BEC (Business Email Compromise)
22% dei casiIl criminale compromette o imita la casella email del CEO, del commercialista o di un fornitore. Invia una mail credibile con nuove coordinate bancarie per un pagamento. Danno medio: 50.000-200.000 EUR per singolo bonifico. E l'attacco con il danno economico diretto piu alto. Non serve malware: basta un'email convincente.
Phishing e spear phishing
20% dei casiEmail, SMS o messaggi che imitano banche, corrieri, fornitori o servizi cloud per rubare credenziali. Lo spear phishing e mirato: il criminale studia l'azienda e personalizza il messaggio. Con le credenziali rubate accede a email, VPN, portali bancari. Il 91% degli attacchi inizia con un'email di phishing.
Credential stuffing
15% dei casiIl criminale usa milioni di combinazioni email/password rubate da altri siti (LinkedIn, Dropbox, Adobe) e le prova sui tuoi sistemi. Se un dipendente usa la stessa password su LinkedIn e sulla VPN aziendale, il criminale entra. Senza MFA, non c'e difesa. Il 65% degli italiani riusa le stesse password su piu servizi.
Attacco alla supply chain
11% dei casiIl criminale non attacca te direttamente, ma un tuo fornitore IT, il software gestionale, o un servizio cloud che usi. Attraverso il fornitore compromesso entra nella tua rete. Casi celebri: SolarWinds, Kaseya. Per le PMI: attenzione al gestionale on-premise con accesso remoto del fornitore senza MFA.
Quanto Costa un Attacco Cyber a una PMI
Parliamo di numeri concreti. Un attacco informatico a una PMI italiana costa in media 120.000 EUR. Ma questa cifra nasconde una realta piu articolata. Il costo si distribuisce su piu voci, e molte sono invisibili al momento dell'attacco:
| Voce di Costo | Importo Tipico | Note |
|---|---|---|
| Fermo operativo (23 giorni medi) | 30.000-80.000 EUR | Produttivita persa, ordini non evasi, penali contrattuali |
| Ripristino tecnico | 15.000-40.000 EUR | Intervento d'emergenza, ricostruzione server, bonifica rete |
| Riscatto ransomware | 40.000-80.000 EUR | Se si decide di pagare (sconsigliato: il 30% non riceve la chiave) |
| Sanzioni GDPR | 10.000-50.000 EUR | Per mancata notifica o misure inadeguate. Fino al 4% del fatturato |
| Danno reputazionale | Incalcolabile | Clienti persi, fiducia compromessa, gare perse |
| Costi legali e forensi | 5.000-20.000 EUR | Analisi forense, consulenza legale, notifiche agli interessati |
Il dato piu preoccupante: il 60% delle PMI che subisce un attacco grave chiude entro 6 mesi. Non perche i dati siano irrecuperabili, ma perche il fermo prolungato fa perdere clienti e commesse. Un'azienda manifatturiera di Bergamo, nostro cliente, ha calcolato che ogni giorno di fermo le costava 12.000 EUR in ordini non evasi. In 23 giorni sarebbero 276.000 EUR. Con il nostro servizio, il ripristino e avvenuto in 6 ore.
Le 8 Difese Essenziali per la Cyber Security delle PMI
Non serve spendere centinaia di migliaia di euro. Queste 8 misure coprono il 90% del rischio per una PMI italiana. Le abbiamo ordinate per impatto: le prime tre da sole bloccano il 70% degli attacchi.
Firewall next-generation con IPS
Non il router del provider. Un firewall vero (Fortinet, Sophos, WatchGuard) con Intrusion Prevention System, filtro web, sandboxing degli allegati email, e VPN sicura. E la porta blindata della tua rete. Costo: 150-400 EUR/mese gestito dal MSP, inclusa configurazione e aggiornamenti.
EDR su ogni endpoint
L'antivirus tradizionale e morto. L'EDR (Endpoint Detection and Response) monitora il comportamento di ogni PC e server in tempo reale. Rileva attacchi fileless, movimenti laterali, escalation di privilegi. Se il ransomware inizia a cifrare, l'EDR lo blocca e isola il PC in 2 secondi. Costo: 3-8 EUR/postazione/mese.
MFA ovunque, senza eccezioni
Multi-Factor Authentication su email, VPN, accesso remoto, portali cloud, pannello di controllo del gestionale. E la singola misura piu efficace: blocca il 99,9% degli attacchi a credenziali. Nessuna eccezione per l'amministratore delegato che trova 'scomodo' inserire il codice. Costo: incluso in Microsoft 365 Business, gratuito con app Authenticator.
Backup 3-2-1-1-0
3 copie dei dati, su 2 supporti diversi, 1 copia off-site, 1 copia immutabile (anti-ransomware), 0 errori nei test di ripristino. Il backup immutabile e fondamentale: anche se il ransomware cifra tutto, la copia immutabile non puo essere modificata. Consiglio: Veeam + NAS locale + replica cloud su Wasabi. Costo: 200-500 EUR/mese.
Formazione dei dipendenti
L'80% degli attacchi inizia con un errore umano. Formazione obbligatoria per tutti, almeno due volte l'anno, con simulazioni di phishing reali. Non la slide PowerPoint da 200 pagine: sessioni pratiche di 45 minuti con esempi reali di email fraudolente ricevute da aziende lombarde. Chi clicca sulla simulazione, fa la sessione extra. Costo: 1.500-3.000 EUR/anno.
Patching regolare e automatizzato
Il 60% delle vulnerabilita sfruttate dagli attaccanti ha una patch disponibile da piu di 90 giorni. Patch del sistema operativo, firmware del firewall, aggiornamenti del gestionale, plugin del browser. Tutto va aggiornato regolarmente, con un processo automatizzato e testato. Il patching manuale 'quando c'e tempo' non funziona. Costo: incluso nel contratto MSP.
SIEM e monitoraggio 24/7
Un sistema che raccoglie i log di tutti i dispositivi (firewall, server, endpoint, cloud) e li analizza in tempo reale. Rileva anomalie: accesso alle 3 di notte dalla Romania, 500 tentativi di login falliti, traffico anomalo verso IP sospetti. Per le PMI, un SIEM gestito dal MSP e la soluzione piu realistica. Leggi la nostra guida completa sul SIEM per aziende. Costo: incluso nei servizi gestiti avanzati.
Piano di incident response
Cosa fai quando succede? Chi chiami? Chi stacca il server dalla rete? Chi comunica ai dipendenti? Chi notifica il Garante entro 72 ore (GDPR)? Senza un piano scritto e testato, il panico prende il sopravvento e i tempi di risposta si moltiplicano. Il piano deve essere stampato (non solo sul server che e stato cifrato). Costo: incluso nel setup iniziale.
Per un approfondimento sulla gestione del firewall aziendale, leggi la nostra guida dedicata. Per il monitoraggio centralizzato dei log e il rilevamento delle minacce in tempo reale, scopri cos'e un SIEM e come funziona. E se vuoi capire come queste difese si integrano in un piano completo, dai un'occhiata alla nostra guida alla sicurezza informatica aziendale.
NIS2: Cosa Devono Fare le PMI nel 2026
La direttiva europea NIS2 e in vigore dal 17 ottobre 2024. Se la tua azienda rientra nei settori coperti, non e piu una scelta: la sicurezza informatica e un obbligo di legge con sanzioni pesanti. Ma anche se non sei direttamente soggetto, la NIS2 ti riguarda comunque.
Chi e coinvolto: medie imprese (50+ dipendenti o 10M+ EUR di fatturato) nei settori essenziali (energia, trasporti, sanita, acqua, digitale) e importanti (manifatturiero, alimentare, chimico, postale, gestione rifiuti). Ma attenzione: anche le PMI piu piccole sono coinvolte se fanno parte della supply chain di un'azienda soggetta. Il tuo cliente grande ti chiedera di dimostrare misure di sicurezza adeguate, o cambiera fornitore.
Obblighi principali
- Analisi del rischio e politiche di sicurezza
- Gestione degli incidenti con procedure documentate
- Business continuity e disaster recovery
- Sicurezza della supply chain
- Formazione obbligatoria per il management
- Crittografia e MFA dove appropriato
Sanzioni e scadenze
- Notifica iniziale entro 24 ore dall'incidente
- Report completo entro 72 ore
- Relazione finale entro 1 mese
- Sanzioni fino a 10M EUR o 2% del fatturato
- Responsabilita personale del management
- Audit periodici obbligatori
Per i dettagli sulla compliance NIS2 nella tua zona, leggi la nostra guida NIS2 per aziende di Milano e Lombardia. Offriamo un NIS2 assessment gratuito per verificare se la tua azienda e soggetta e quali gap colmare.
Cyber Security Milano e Lombardia: Il Contesto Locale
La Lombardia e la regione italiana piu colpita dagli attacchi informatici. Non e una sorpresa: concentra il 25% del PIL italiano, la maggior densita di PMI manifatturiere, e un tessuto produttivo fortemente interconnesso. Secondo i dati della Polizia Postale, nel 2025 gli attacchi denunciati in Lombardia sono aumentati del 38% rispetto al 2024.
Le industrie piu colpite nella nostra zona (Milano, Monza Brianza, Bergamo, Brescia) sono:
- Manifatturiero: produzione ferma = perdita immediata. Ransomware che blocca il gestionale ERP e il target preferito
- Studi professionali: commercialisti e avvocati gestiscono dati sensibili di centinaia di clienti. Un caso reale a Monza ha coinvolto 2.400 fascicoli cifrati
- Logistica e trasporti: sistemi di tracciamento, magazzino automatizzato, fatturazione elettronica. Tutto digitalizzato, tutto vulnerabile
- Sanita privata: dati sanitari hanno un valore 10 volte superiore ai dati finanziari nel dark web
La Camera di Commercio di Milano ha attivato nel 2025 il programma "Cyber PMI Lombardia" con voucher fino a 5.000 EUR per assessment di sicurezza e formazione. Un'opportunita concreta per le PMI che vogliono iniziare senza un investimento iniziale importante. BullTech e tra i fornitori accreditati per il programma.
Come Scegliere un Partner di Cyber Security
Scegliere il partner sbagliato e peggio che non averne uno: ti da una falsa sensazione di sicurezza. Ecco le 5 domande da fare a qualsiasi fornitore di sicurezza informatica prima di firmare un contratto:
Qual e il vostro tempo di risposta garantito per un incidente?
La risposta deve essere un numero preciso con SLA contrattuale. 'Il prima possibile' non e una risposta accettabile. Noi di BullTech: entro 30 minuti in orario lavorativo, entro 2 ore fuori orario. Scritto nel contratto, con penali se non rispettato.
Avete un SOC o monitorate 24/7?
Se il fornitore lavora solo in orario d'ufficio, il ransomware che parte il sabato notte viene scoperto il lunedi mattina, quando ormai ha cifrato tutto. Il monitoraggio 24/7 non e opzionale per la cybersecurity.
Cosa succede se il ransomware colpisce? Avete un playbook?
Deve esistere un piano scritto, testato, con step precisi. Se la risposta e 'valutiamo caso per caso', scappa. Il panico non e una strategia. Chiedi di vedere il playbook.
Quanti incidenti di sicurezza avete gestito nell'ultimo anno?
L'esperienza pratica conta piu delle certificazioni. Un fornitore che ha gestito 0 incidenti reali non sa cosa succede quando il server e cifrato e il titolare ti chiama urlando. Noi: oltre 40 incidenti gestiti dal 2009.
Cosa include il contratto e cosa si paga a parte?
Red flag: il fornitore che quota il firewall ma non include il monitoraggio. O che vende l'EDR ma l'intervento di incident response e 'a consumo' a 150 EUR/h. Un buon contratto MSP include tutto: hardware, software, monitoraggio, patching, incident response, formazione.
Le red flag da evitare: il fornitore che vende solo prodotti senza servizio gestito, chi non ha SLA scritti, chi non fa vulnerability assessment periodici, chi non include la formazione, chi non ha esperienza documentabile con incidenti reali. La sicurezza informatica non e un prodotto che installi e dimentichi: e un servizio continuo. Parti da un IT assessment professionale per capire dove sei e cosa ti serve davvero. Se operi a Milano, scopri anche i nostri servizi di cybersecurity a Milano.
Domande Frequenti sulla Cyber Security per PMI
Quanto costa la cyber security per una PMI?
Dipende dalla dimensione e dal livello di protezione. Per una PMI da 10-50 dipendenti: firewall next-gen 150-400 EUR/mese, EDR su tutti gli endpoint 3-8 EUR/postazione/mese, formazione annuale 1.500-3.000 EUR, vulnerability assessment trimestrale 800-2.000 EUR a sessione. Un pacchetto MSP completo (firewall + EDR + monitoraggio 24/7 + patching + incident response) parte da 500-1.500 EUR/mese. Va confrontato con il costo medio di un attacco: 120.000 EUR tra fermo, ripristino, sanzioni e danni reputazionali.
Quali sono gli attacchi informatici piu frequenti alle PMI italiane?
Secondo il Clusit 2025, i cinque attacchi piu comuni sono: ransomware (32% dei casi, cifra i dati e chiede riscatto), BEC/Business Email Compromise (22%, il criminale si finge un fornitore o il CEO per farsi fare un bonifico), phishing (20%, email fraudolente che rubano credenziali), credential stuffing (15%, uso di password rubate da altri siti), e attacchi alla supply chain (11%, compromissione di un fornitore per arrivare a te). Il ransomware e il piu costoso, ma il BEC e quello con il maggior danno economico diretto.
La mia PMI deve adeguarsi alla NIS2?
La NIS2 si applica obbligatoriamente alle medie imprese (50+ dipendenti o 10M+ EUR di fatturato) nei settori essenziali e importanti: energia, trasporti, sanita, digitale, manifatturiero, alimentare, chimico, postale, gestione rifiuti. Ma attenzione: anche le PMI piu piccole possono essere coinvolte se fanno parte della supply chain di un'azienda soggetta a NIS2. In quel caso, il cliente grande ti chiedera di dimostrare misure di sicurezza adeguate. Da ottobre 2024, le aziende soggette devono avere misure di gestione del rischio, incident response, e notifica entro 24 ore.
Il solo antivirus basta per proteggere la mia azienda?
No, l'antivirus tradizionale non basta piu. Gli attacchi moderni usano tecniche fileless, living-off-the-land, e zero-day che l'antivirus a firme non rileva. Serve un EDR (Endpoint Detection and Response) che monitora il comportamento in tempo reale, non solo le firme note. Ma anche l'EDR da solo non basta: serve un firewall next-gen con IPS, la MFA su tutti gli accessi, il patching regolare, e soprattutto la formazione dei dipendenti. L'80% degli attacchi inizia con un errore umano. La sicurezza e un sistema a strati, non un singolo prodotto.
Ogni quanto devo fare un vulnerability assessment?
Consigliamo un vulnerability assessment almeno ogni trimestre, con un penetration test approfondito almeno una volta all'anno. Dopo ogni cambiamento significativo dell'infrastruttura (nuovo server, nuova applicazione, cambio fornitore cloud) va rifatto. Noi di BullTech includiamo vulnerability scan mensili automatizzati nel contratto Always On, con report e piano di remediation. Il 60% delle vulnerabilita che troviamo nelle PMI lombarde sono patch mancanti con piu di 90 giorni: correggibili in ore, ma lasciate aperte per mesi.