Nel 2025, il 71% degli attacchi ransomware alle PMI italiane ha bypassato l'antivirus tradizionale (fonte: Clusit 2025). Il motivo è semplice: gli antivirus riconoscono solo le minacce già note. Gli attacchi moderni usano tecniche "fileless", script PowerShell legittimi e movimenti laterali che l'antivirus non vede. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB) con oltre 200 clienti B2B, gestisce EDR su più di 3.000 endpoint. Ecco tutto quello che devi sapere per proteggere davvero i tuoi dispositivi.
Cos'è l'EDR e Perché Serve alla Tua Azienda
Partiamo dalle basi, senza giri di parole. Se hai un'azienda con 10, 20, 50 PC e un server, oggi hai bisogno di un EDR. Punto. Non perché lo diciamo noi, ma perché i numeri parlano chiaro: il 71% degli attacchi informatici alle PMI italiane nel 2025 ha usato tecniche che un antivirus tradizionale non riesce a vedere (fonte: Rapporto Clusit 2025). Stiamo parlando di attacchi "fileless" che non scrivono nulla su disco, script PowerShell perfettamente legittimi usati per scopi malevoli, e movimenti laterali nella rete aziendale che passano inosservati per settimane.
Un EDR (Endpoint Detection and Response) è il passo successivo all'antivirus. Non lo sostituisce: lo include e lo supera. Mentre l'antivirus tradizionale confronta i file con un database di firme note (e se il malware non è nel database, passa indisturbato), l'EDR analizza il comportamento di ogni processo in tempo reale. Se un file Excel apre PowerShell che scarica un payload da un server esterno, l'EDR lo blocca in automatico — anche se quel payload è stato creato cinque minuti prima e nessun antivirus al mondo lo conosce.
Per le PMI lombarde, l'EDR è particolarmente critico per tre motivi: primo, il costo medio di un incidente ransomware è di 120.000 € (riscatto + downtime + recovery); secondo, un EDR per 30 endpoint costa 1.500-2.500 €/anno — meno del 2% del danno potenziale; terzo, con un servizio MDR gestito da BullTech, non devi nemmeno sapere come funziona — ci pensiamo noi 24/7. Se vuoi capire come si inserisce l'EDR in una strategia completa, leggi la nostra guida sul cybersecurity assessment aziendale.
Cos'è un EDR: Detection + Response + Investigation
EDR sta per Endpoint Detection and Response. È un software che viene installato su ogni endpoint aziendale (PC, server, laptop, eventualmente mobile) e fa tre cose: rileva attività sospette in tempo reale analizzando il comportamento (non solo le firme), risponde automaticamente isolando il dispositivo o bloccando il processo malevolo, e permette di investigare l'incidente ricostruendo la catena di attacco (attack chain).
Immagina un antivirus che, invece di limitarsi a dire "ho trovato un virus", ti dice "l'utente Mario ha aperto un allegato Word alle 14:32, che ha eseguito una macro, che ha lanciato PowerShell, che ha scaricato un payload da un server in Russia, che ha criptato 47 file prima di essere bloccato". Questa è la differenza tra un antivirus e un EDR.
EDR vs Antivirus tradizionale
La differenza non è accademica — è la differenza tra essere protetti e credere di esserlo.
| Funzionalità | Antivirus Tradizionale | EDR |
|---|---|---|
| Rilevamento | Firme (signature-based) | Comportamentale + ML + firme |
| Minacce zero-day | Non rilevate fino all'aggiornamento firme | Rilevate tramite analisi comportamentale |
| Fileless malware | Non rilevato | Rilevato (monitora processi e script) |
| Risposta automatica | Quarantena file | Isolamento endpoint, kill processo, rollback |
| Investigation | Log base | Timeline completa attack chain |
| Visibilità | Solo file su disco | Processi, rete, registro, memoria |
| Costo medio | 1-3 €/endpoint/mese | 3-8 €/endpoint/mese |
EDR vs XDR vs MDR: quando serve cosa
EDR protegge gli endpoint. XDR (Extended Detection and Response) estende la protezione a rete, email, cloud e identity, correlando eventi da tutte le fonti. MDR (Managed Detection and Response) è un servizio gestito: un Security Operations Center (SOC) esterno monitora il tuo EDR o XDR 24 ore su 24, 7 giorni su 7, e risponde agli incidenti per te.
Per una PMI con 10-50 utenti senza un team IT di sicurezza dedicato, la combinazione ideale è EDR + MDR: la tecnologia di rilevamento più un team specializzato che la gestisce. XDR ha senso per aziende più grandi (50+ utenti) con infrastrutture complesse che generano log da molte fonti diverse. Per le PMI lombarde che cercano una strategia completa di sicurezza informatica Milano, la scelta tra EDR, XDR e MDR va fatta caso per caso.
Top 5 soluzioni EDR per PMI: confronto
Abbiamo testato e deployato queste soluzioni sui nostri clienti. Ecco un confronto onesto.
| Soluzione | Punto di forza | Prezzo indicativo | Ideale per |
|---|---|---|---|
| SentinelOne Singularity | Rollback ransomware automatico, AI autonoma | 4-6 €/endpoint/mese | PMI che vogliono il meglio |
| CrowdStrike Falcon | Agent ultraleggero, threat intelligence | 5-8 €/endpoint/mese | Aziende con molti endpoint |
| Microsoft Defender for Endpoint | Integrato con M365, zero agent extra | 4,70 €/utente/mese (P2) | Chi ha già M365 E5 |
| Sophos Intercept X Advanced | Anti-ransomware, CryptoGuard | 3-5 €/endpoint/mese | Chi ha già firewall Sophos |
| Bitdefender GravityZone | Miglior rapporto qualità/prezzo | 3-4 €/endpoint/mese | PMI attente al budget |
Tutti e cinque sono leader nei report MITRE ATT&CK Evaluation. La differenza pratica per una PMI sta nell'integrazione con l'infrastruttura esistente: se hai M365, Defender è il più naturale. Se hai firewall Sophos, Intercept X si integra con Sophos Central per una visione unificata. Se vuoi il top della protezione autonoma, SentinelOne ha il rollback automatico dei file criptati dal ransomware.
SentinelOne vs CrowdStrike vs Microsoft Defender: confronto dettagliato
Queste tre soluzioni coprono l'80% delle implementazioni EDR nelle PMI italiane. Ecco un confronto testa a testa basato sulla nostra esperienza diretta.
| Caratteristica | SentinelOne Singularity | CrowdStrike Falcon | Defender for Endpoint P2 |
|---|---|---|---|
| Architettura | Agent autonomo con AI locale | Cloud-native, agent leggero | Integrato in Windows, cloud-managed |
| Peso agent | ~70 MB RAM | ~25 MB RAM (il più leggero) | Integrato, overhead minimo |
| Rollback ransomware | Sì, automatico (VSS snapshots) | No nativo | No nativo |
| Funziona offline? | Sì, AI locale completa | Parziale (dipende dal cloud) | Sì, protezione base offline |
| Integrazione M365 | Tramite API, buona | Tramite API, buona | Nativa, la migliore |
| Prezzo 30 endpoint | 120-180 €/mese | 150-240 €/mese | 141 €/mese (incluso in M365 E5) |
| Ideale per | Max protezione, rollback, autonomia | Flotte grandi, threat intelligence | Chi ha già M365, budget contenuto |
In BullTech deployiamo tutte e tre. La scelta dipende dalla tua infrastruttura: se hai già Microsoft 365 Business Premium o E5, Defender for Endpoint è incluso e costa zero in più. Se vuoi la protezione più completa con rollback automatico dei file criptati, SentinelOne è la scelta giusta. Per approfondire la strategia di difesa, leggi la guida sulla Zero Trust Security aziendale e il nostro servizio di cybersecurity a Milano.
Perché le PMI hanno bisogno dell'EDR (numeri alla mano)
Il report Clusit 2025 sull'Italia parla chiaro: gli attacchi informatici alle PMI sono cresciuti del 40% rispetto al 2024. Il 71% degli attacchi usa tecniche che bypassano gli antivirus tradizionali. Il costo medio di un incidente ransomware per una PMI italiana è di 120.000 EUR (tra riscatto, downtime, recovery e danni reputazionali). E il tempo medio per rilevare un intruso nella rete (dwell time) è ancora di 56 giorni per le aziende senza EDR.
Con un EDR, il dwell time scende a ore o minuti. Un EDR con risposta automatica può isolare un endpoint compromesso in meno di 30 secondi, impedendo al ransomware di propagarsi ad altri dispositivi. Se consideri che un singolo incidente costa 120.000 EUR e un EDR per 30 endpoint costa circa 1.500-2.500 EUR/anno, il ROI è evidente.
Implementazione EDR: come si fa
1. Assessment e scelta della soluzione
Prima di tutto, inventario degli endpoint: quanti PC, quanti server, quanti mobile. Poi valutazione dell'infrastruttura esistente: hai M365? Che firewall usi? Hai un SIEM? In base a queste risposte, la soluzione EDR giusta cambia.
2. Deployment dell'agent
L'agent EDR si installa su ogni endpoint. Per Windows, si può deployare via GPO (Group Policy), Microsoft Intune, SCCM o script PowerShell. Per macOS e Linux, via MDM o script. Il deployment su 30 endpoint richiede 1-2 giorni, la maggior parte del tempo è per testare la compatibilità con le applicazioni già installate.
3. Configurazione policy e esclusioni
Questa è la fase critica. Ogni azienda ha applicazioni specifiche che generano falsi positivi: software gestionali, tool di automazione, script personalizzati. Serve 2-4 settimane di tuning per ridurre i falsi positivi a un livello gestibile senza compromettere la sicurezza.
4. Alert triage e risposta
Chi gestisce gli alert? Se hai un team IT interno, puoi gestire il triage in prima persona. Se non hai risorse dedicate, un servizio MDR è essenziale. Un EDR non gestito è come un allarme antincendio che suona senza che nessuno chiami i pompieri.
Come BullTech gestisce EDR per i clienti (MDR managed)
BullTech offre un servizio MDR completo basato su SentinelOne e Microsoft Defender for Endpoint. Come riferimento per la cybersecurity Milano, il nostro servizio include: deployment dell'agent su tutti gli endpoint, configurazione policy e tuning, monitoring 24/7 con escalation per alert P1 (critici), risposta agli incidenti con isolamento automatico, report mensile con trend e raccomandazioni, threat hunting proattivo trimestrale.
Facciamo un cybersecurity assessment iniziale per scegliere la soluzione giusta. Per i clienti che hanno già un piano anti-ransomware, l'EDR si integra nella strategia di difesa in profondità esistente.
EDR vs Antivirus: Perché Non Basta Più
Nel 2026, affidarsi al solo antivirus tradizionale per proteggere un'azienda è come chiudere la porta a chiave ma lasciare le finestre spalancate. Ecco perché, con numeri concreti.
| Scenario di attacco | Antivirus tradizionale | EDR |
|---|---|---|
| Macro Word che avvia PowerShell | Non rilevato (script legittimo) | Bloccato in 3-5 secondi |
| Ransomware zero-day | Non rilevato per 24-72h | Bloccato + rollback file |
| Movimento laterale via RDP | Invisibile | Alert + isolamento automatico |
| Credential harvesting (Mimikatz) | Non rilevato (tool in memoria) | Rilevato e bloccato |
| Living-off-the-land (LOLBins) | Usa tool di Windows, non visto | Analisi comportamentale rileva l'anomalia |
Secondo il Rapporto Clusit 2025, il 60% degli attacchi andati a segno nelle PMI italiane nel 2024 ha utilizzato almeno una tecnica fileless o living-off-the-land. L'antivirus tradizionale, basato su firme, non è progettato per intercettare questi attacchi. L'EDR analizza il comportamento dei processi in tempo reale: se Excel lancia PowerShell che scarica un payload, l'EDR lo blocca indipendentemente dal fatto che quel payload sia già noto o meno. Per approfondire come integrare l'EDR in una strategia di difesa completa, leggi la nostra guida su come proteggere l'azienda dal ransomware.
Costi EDR per PMI: Quanto Costa Davvero
Uno dei dubbi più comuni: “l'EDR costa troppo per una PMI”. Falso. Ecco i costi reali nel 2026, aggiornati ai listini partner.
| Fascia aziendale | N. endpoint | Costo EDR/mese | Costo EDR + MDR/mese | Costo incidente medio |
|---|---|---|---|---|
| Micro (5-10 dip.) | 10-15 | 30-90 € | 80-200 € | 50.000-80.000 € |
| Piccola (10-30 dip.) | 15-40 | 60-240 € | 150-500 € | 80.000-120.000 € |
| Media (30-100 dip.) | 40-120 | 160-720 € | 400-1.400 € | 120.000-250.000 € |
Il calcolo è semplice: un EDR per 30 endpoint costa 100-250 €/mese (1.200-3.000 €/anno). Un singolo incidente ransomware costa in media 120.000 €. Il ROI è di 40-100x. E se aggiungi il servizio MDR gestito da BullTech, non devi nemmeno occuparti degli alert: ci pensiamo noi 24/7. Il costo dell'EDR va da 3 a 8 € per endpoint al mese, a seconda della soluzione scelta.
Top 5 Soluzioni EDR per Aziende Italiane nel 2026
Ecco le cinque piattaforme EDR che consigliamo alle PMI italiane nel 2026, basandoci sulla nostra esperienza diretta di deployment su oltre 3.000 endpoint.
1. WatchGuard ThreatSync (XDR)
La soluzione XDR di WatchGuard integra EDR endpoint, firewall e protezione Wi-Fi in un'unica console. Ideale per PMI che usano già firewall WatchGuard (come i clienti BullTech): correla eventi di rete e endpoint per rilevare attacchi multi-vettore. Prezzo: incluso nel pacchetto Total Security Suite del firewall. Approfondisci nella nostra guida a WatchGuard ThreatSync XDR.
2. SentinelOne Singularity
L'AI autonoma che funziona anche offline. Punto di forza: rollback automatico dei file criptati dal ransomware tramite VSS snapshots. 4-6 €/endpoint/mese. La scelta migliore per PMI che vogliono la massima protezione senza dipendere dalla connettività.
3. CrowdStrike Falcon
Agent ultraleggero (25 MB di RAM), threat intelligence di livello enterprise e cloud-native. 5-8 €/endpoint/mese. Ideale per flotte grandi (100+ endpoint) e aziende che necessitano di threat hunting avanzato.
4. Microsoft Defender for Endpoint P2
Integrato nativamente in Windows e Microsoft 365. Se hai già M365 E5 o Business Premium, è incluso nel costo della licenza (4,70 €/utente/mese con P2). Zero agent aggiuntivi da installare, integrazione perfetta con Intune e Azure AD.
5. Sophos Intercept X Advanced
Anti-ransomware CryptoGuard, deep learning e integrazione con Sophos Central. 3-5 €/endpoint/mese. La scelta naturale per chi ha già firewall Sophos XGS e vuole una visione unificata endpoint + rete.
Tutte e cinque le soluzioni sono leader nei report MITRE ATT&CK Evaluation. La scelta dipende dalla tua infrastruttura: se hai firewall WatchGuard, ThreatSync offre la correlazione più completa. Se hai M365, Defender è a costo zero aggiuntivo. Se vuoi il top della protezione autonoma, SentinelOne. Per approfondire la strategia di sicurezza complessiva, leggi la guida sulla sicurezza informatica aziendale.
Case Study: PMI Manifatturiera a Monza (35 Endpoint)
Un nostro cliente — un'azienda manifatturiera di 40 dipendenti nell'area di Monza — aveva Bitdefender Total Security come antivirus. A febbraio 2025, un operatore ha aperto un allegato Excel con una macro malevola. L'antivirus non ha rilevato nulla. La macro ha scaricato un payload in memoria (fileless) che ha iniziato a raccogliere credenziali Active Directory.
Fortunatamente, pochi mesi prima avevamo deployato SentinelOne Singularity sugli endpoint. SentinelOne ha rilevato il comportamento anomalo del processo Excel in 4 secondi, ha isolato automaticamente il PC dalla rete e ha bloccato il processo malevolo. L'alert è arrivato alla nostra console di monitoraggio MDR alle 10:47. Alle 11:05 avevamo fatto l'analisi forense, confermato il vettore di attacco e ripristinato l'endpoint. Zero dati compromessi, zero propagazione ad altri dispositivi. Con il solo antivirus tradizionale, l'attacco sarebbe rimasto silenzioso per settimane.
Questo scenario si ripete nel 70% delle PMI che seguiamo: l'antivirus tradizionale è necessario ma non sufficiente. Per costruire una strategia di difesa completa leggi la guida sul come proteggere l'azienda dal ransomware, approfondisci il cybersecurity assessment aziendale o esplora la nostra offerta di servizio SOC e MDR.
I tuoi endpoint sono davvero protetti?
BullTech offre un assessment gratuito della sicurezza dei tuoi endpoint. Verifichiamo antivirus, EDR, patch mancanti e configurazione. Chiamaci al 039 6099 023 o scrivici.