Il 67% dei dipendenti italiani usa il proprio smartphone per accedere a email e dati aziendali (Osservatorio Smart Working, PoliMI 2025), ma solo il 23% delle PMI ha una policy di Mobile Device Management attiva. In pratica: due aziende su tre hanno dati sensibili che girano su telefoni personali senza alcun controllo. BullTech Informatica, MSP a Vimercate (MB) dal 2009, gestisce i dispositivi mobili di oltre 80 aziende in Lombardia. In questa guida ti spieghiamo cos'e l'MDM, quanto costa, quale soluzione scegliere e come implementarlo senza far impazzire i dipendenti. Niente slide da vendor: solo esperienza sul campo.
Cos'e il Mobile Device Management (MDM)
Il Mobile Device Management e un sistema che permette all'azienda di gestire, proteggere e monitorare tutti i dispositivi mobili (smartphone, tablet, laptop) che accedono ai dati aziendali. Non importa se il telefono e dell'azienda o del dipendente: se ci apri la mail di lavoro, serve un MDM.
In pratica funziona cosi: installi un'app o un profilo di gestione sul dispositivo, e da quel momento l'IT puo fare una serie di cose da remoto. Distribuire app aziendali, applicare policy di sicurezza (PIN obbligatorio, cifratura, blocco screenshot nelle app di lavoro), e soprattutto cancellare i dati aziendali se il telefono viene perso, rubato o se il dipendente lascia l'azienda.
La cosa che le PMI capiscono poco e che l'MDM non e un software per spiare i dipendenti. I sistemi moderni usano la containerizzazione: creano uno spazio separato sul telefono dove vivono le app e i dati aziendali. Il contenitore aziendale e il contenitore personale non si vedono tra loro. L'azienda gestisce solo il suo contenitore. WhatsApp, foto, app personali? Invisibili all'IT. E questo che rende l'MDM accettabile anche per il BYOD.
Perche una PMI ha bisogno di un MDM (anche se non lo sa)
Se anche un solo dipendente apre l'email aziendale dal telefono personale, hai un problema di sicurezza. Non teorico: concreto. Ecco cosa succede senza MDM in scenari che vediamo ogni settimana:
- Telefono perso o rubato — I dati aziendali sono accessibili a chiunque trovi il device. Senza MDM, non puoi cancellare nulla da remoto. Email, contatti clienti, file su OneDrive: tutto esposto.
- Dipendente che lascia l'azienda — Se non hai MDM, non puoi rimuovere i dati aziendali dal suo telefono. Li tiene per sempre. Inclusi preventivi, listini, rubrica clienti.
- App non sicure — Il dipendente scarica un'app pirata che contiene malware. Il malware accede ai dati aziendali perche non c'e separazione tra ambiente personale e aziendale.
- GDPR e responsabilita — Se un cliente ti chiede “dove sono i miei dati personali?” e tu non sai nemmeno su quanti telefoni girano le email con quei dati, hai un problema di compliance serio.
- Nessuna visibilita — Non sai quanti dispositivi accedono alla tua rete, con quale sistema operativo, se sono aggiornati, se hanno un PIN. Voli alla cieca.
La statistica che fa riflettere: il 46% dei data breach nelle PMI coinvolge dispositivi mobili non gestiti (Verizon DBIR 2025). Non server hackerati o attacchi sofisticati: telefoni senza PIN rubati al bar.
BYOD vs COPE vs COBO: quale approccio scegliere
Prima di scegliere l'MDM, devi decidere il modello di gestione dei dispositivi. Ce ne sono tre, ognuno con pro e contro molto diversi:
| Modello | Cosa significa | Pro | Contro | Costo per device |
|---|---|---|---|---|
| BYOD | Bring Your Own Device — il dipendente usa il suo telefono | Zero costi hardware, dipendenti gia familiari con il device, soddisfazione alta | Meno controllo, complessita gestionale (Android + iOS + versioni diverse), resistenza dei dipendenti alle policy | 0 € (hardware) + 7-8 €/mese (MDM) |
| COPE | Corporate-Owned, Personally Enabled — l'azienda compra il telefono, il dipendente lo usa anche per cose personali | Controllo totale, standardizzazione device, gestione semplificata | Costo hardware elevato, due telefoni in tasca se il dipendente non vuole usarlo come personale | 400-800 € (hardware) + 0-8 €/mese (MDM) |
| COBO | Corporate-Owned, Business Only — device aziendale, solo per lavoro | Massimo controllo, massima sicurezza, nessun dato personale sul device | Costo doppio (il dipendente tiene comunque il suo telefono), bassa adozione, rigidita | 400-800 € (hardware) + 0-8 €/mese (MDM) |
La nostra raccomandazione per le PMI italiane con 20-50 dipendenti? BYOD con containerizzazione. Costa meno, i dipendenti sono contenti perche usano il loro telefono, e la containerizzazione risolve il problema della separazione dati. Il COPE ha senso solo per ruoli specifici (commerciali che usano app aziendali pesanti, tecnici sul campo) o per aziende in settori regolamentati. Il COBO e per contesti militari o ultra-sicuri — pochissime PMI ne hanno bisogno.
Le 6 funzionalita chiave di un MDM
Non tutti gli MDM fanno le stesse cose, ma queste sono le funzionalita che una PMI deve pretendere:
Remote Wipe
Cancellazione remota dei dati aziendali in caso di furto, smarrimento o uscita del dipendente. Il selective wipe cancella solo i dati aziendali; il full wipe resetta il device intero (solo per COPE/COBO).
App Management
Distribuzione automatica di app aziendali, blocco di app non autorizzate, aggiornamenti forzati. Puoi mandare Outlook, Teams e OneDrive a tutti i device con un click.
Geofencing
Limita l'accesso ai dati aziendali in base alla posizione. Ad esempio: i dati sensibili sono accessibili solo in ufficio o nelle sedi autorizzate. Utile per compliance e settori regolamentati.
Containerizzazione
Separazione fisica tra dati personali e aziendali sullo stesso device. Il contenitore aziendale e cifrato, gestito dall'IT, e cancellabile indipendentemente. Il gold standard per il BYOD.
Compliance Policy
Policy obbligatorie sui device: PIN minimo 6 cifre, cifratura attiva, sistema operativo aggiornato, no jailbreak/root. Se il device non e conforme, blocco automatico dell'accesso ai dati.
Conditional Access
Accesso ai dati aziendali solo da device conformi e utenti autenticati con MFA. Se il telefono non rispetta le policy, niente email, niente Teams, niente file. Zero eccezioni.
Soluzioni MDM a confronto: Intune vs Workspace ONE vs Jamf vs ManageEngine
Ci sono decine di soluzioni MDM sul mercato, ma per le PMI italiane le opzioni realistiche sono quattro. Ecco un confronto onesto basato sulla nostra esperienza diretta:
| Soluzione | Costo/device/mese | Piattaforme | Facilita gestione | Integrazione M365 |
|---|---|---|---|---|
| Microsoft Intune | 0 € (incluso in M365 BP) oppure ~8 € standalone | iOS, Android, Windows, macOS | Alta (console unificata con M365) | Nativa, perfetta |
| VMware Workspace ONE | 4-10 € | iOS, Android, Windows, macOS, Chrome OS | Media (curva di apprendimento ripida) | Buona tramite connettore |
| Jamf Pro | 3-4 € | Solo Apple (iOS, macOS, tvOS) | Altissima (per ecosistema Apple) | Discreta (plugin necessari) |
| ManageEngine MDM+ | 2-5 € | iOS, Android, Windows, macOS | Media-alta (interfaccia datata ma completa) | Buona tramite API |
La nostra raccomandazione per PMI 20-50 dipendenti
Microsoft Intune, incluso in Microsoft 365 Business Premium (circa 20 €/utente/mese). Se usi gia M365, stai gia pagando Intune senza usarlo. L'integrazione nativa con Azure AD, Outlook, Teams e Defender lo rende la scelta piu logica. Non devi installare server, non servono competenze specialistiche, e la console e la stessa che usi gia per gestire le licenze M365. Se hai una flotta mista Mac e Windows, Intune gestisce entrambi dalla stessa console.
Caso pratico: 30 commerciali su strada, -80% incidenti sicurezza
Un'azienda nostra cliente nel settore metalmeccanico, 85 dipendenti di cui 30 commerciali sempre in giro per la Lombardia e il Veneto. La situazione di partenza era questa: ogni commerciale usava il proprio smartphone per accedere a email, CRM e listini prezzi. Nessuna policy, nessun controllo. In 12 mesi avevano avuto 4 telefoni rubati (uno con dentro un preventivo da 200.000 euro per un cliente industriale), 2 casi di malware che avevano colpito la mail aziendale, e un ex-commerciale che si era portato via tutta la rubrica clienti senza che nessuno potesse fare nulla.
Cosa abbiamo fatto: siamo partiti dal Microsoft 365 Business Premium che avevano gia, attivando Intune. In 3 settimane abbiamo:
- Fatto l'inventario di tutti i device (48 smartphone, 12 tablet)
- Definito una policy BYOD e l'abbiamo fatta firmare a tutti
- Enrollato tutti i device con containerizzazione
- Distribuito Outlook, Teams, OneDrive e il CRM aziendale tramite il Company Portal
- Attivato conditional access: niente mail se il device non ha PIN, cifratura e OS aggiornato
- Configurato il remote selective wipe automatico dopo 30 giorni di mancato check-in
Risultati dopo 12 mesi: incidenti di sicurezza mobile ridotti dell'80% (da 6 a 1 in un anno), 2 telefoni rubati gestiti in meno di 10 minuti con selective wipe (dati aziendali cancellati prima che il ladro potesse accedere a qualsiasi cosa), e 1 uscita gestita senza stress — il giorno stesso delle dimissioni, wipe del contenitore aziendale e revoca degli accessi. Costo aggiuntivo rispetto al piano M365 che avevano gia: zero euro.
MDM e GDPR: gestire i dati aziendali sui dispositivi personali
Il GDPR (Regolamento UE 2016/679) non parla esplicitamente di MDM, ma l'articolo 32 richiede “misure tecniche e organizzative adeguate” per proteggere i dati personali. Se i tuoi dipendenti accedono a dati di clienti dai loro smartphone senza alcun controllo, stai violando il GDPR. Non in teoria: in pratica.
L'MDM risolve il problema perche:
- Cifratura obbligatoria — I dati nel contenitore aziendale sono cifrati. Se qualcuno ruba il telefono, non puo leggere nulla.
- Accesso controllato — Solo utenti autenticati con MFA e device conformi possono accedere ai dati.
- Remote wipe — Puoi cancellare i dati in caso di violazione, come richiesto dall'art. 33-34 del GDPR (notifica e gestione del data breach).
- Inventario e tracciabilita — Sai esattamente su quanti e quali dispositivi girano i dati aziendali.
- Separazione dati — La containerizzazione garantisce che i dati aziendali non si mescolino con quelli personali, semplificando enormemente la gestione della privacy.
Attenzione pero: anche l'MDM ha implicazioni GDPR. Se gestisci device personali (BYOD), devi avere una policy chiara che specifichi cosa l'azienda puo e non puo vedere, raccogliere e fare sul device del dipendente. La policy va fatta firmare prima dell'enrollment. Senza questo passaggio, rischi contestazioni.
Per un approfondimento sulla sicurezza IT e GDPR, leggi la nostra checklist di sicurezza informatica per PMI.
NIS2 e dispositivi mobili: i nuovi obblighi
La Direttiva NIS2 (recepita in Italia dal D.Lgs. 138/2024) alza l'asticella della sicurezza per le aziende nei settori essenziali e importanti. E i dispositivi mobili sono esplicitamente nel perimetro.
In pratica, se la tua azienda e soggetta a NIS2 (e con i criteri allargati del 2026, molte PMI manifatturiere, sanitarie e di servizi lo sono), devi dimostrare di avere:
- Inventario completo di tutti i dispositivi che accedono ai dati aziendali
- Policy di accesso basate su identita, ruolo e conformita del device
- Cifratura dei dati a riposo e in transito su tutti i dispositivi
- Capacita di risposta: remote wipe entro 24 ore dalla segnalazione
- Logging e audit trail degli accessi dai dispositivi mobili
Senza un MDM, dimostrare tutto questo al Garante o all'ACN (Agenzia per la Cybersicurezza Nazionale) e semplicemente impossibile. L'MDM non e piu un “nice to have” — per le aziende NIS2 e un requisito di fatto. Per i dettagli sulla NIS2, consulta la nostra pagina dedicata alla NIS2.
Implementazione MDM in 5 step: dalla teoria alla pratica
Ecco come implementiamo l'MDM per i nostri clienti. Ogni step ha un output chiaro e una durata stimata.
Inventario dispositivi (2-3 giorni)
Mappa tutti i dispositivi che accedono ai dati aziendali: smartphone, tablet, laptop. Per ognuno: modello, sistema operativo, versione, proprietario (aziendale o personale), app aziendali utilizzate. Senza questo censimento, parti alla cieca.
Definizione policy BYOD (3-5 giorni)
Scrivi la policy che definisce: chi puo usare device personali, cosa l'azienda puo gestire e vedere, cosa succede in caso di furto o uscita, responsabilita del dipendente (aggiornamenti, PIN, no jailbreak). Falla revisionare dal consulente privacy e falla firmare a tutti i dipendenti PRIMA dell'enrollment.
Enrollment pilota (3-5 giorni)
Configura Intune (o la soluzione scelta) e fai l'enrollment di 5-10 device pilota. Testa le policy di compliance, la distribuzione app, il conditional access, il selective wipe. Correggi i problemi prima del rollout generale. I pilota ideali: l'IT, qualche commerciale e almeno un utente “difficile” (quello che ha sempre problemi con la tecnologia).
Rollout e distribuzione app (5-7 giorni)
Enrollment di tutti i dispositivi, distribuzione delle app aziendali tramite il Company Portal, attivazione delle policy di compliance. Fallo a gruppi (10-15 device alla volta) per gestire meglio le richieste di supporto. Prevedi una sessione di formazione da 30 minuti per ogni gruppo: “cosa fa l'MDM, cosa NON fa, come funziona”.
Monitoraggio e ottimizzazione (continuo)
Dashboard di compliance: quanti device sono conformi, quanti non lo sono, perche. Alert automatici per device non conformi, jailbreak rilevati, OS non aggiornati. Report mensile sullo stato della sicurezza mobile. Revisione delle policy ogni 6 mesi.
Tempo totale per una PMI con 30-50 device: 2-4 settimane. Se hai gia Microsoft 365 Business Premium attivo, togli una settimana perche il tenant Intune e gia configurato.
I 5 errori che le PMI fanno con l'MDM
In 15+ anni di gestione dispositivi per aziende, abbiamo visto questi errori ripetersi costantemente:
- Non comunicare ai dipendenti — Il primo giorno di enrollment, i dipendenti pensano che l'azienda voglia spiarli. Se non spieghi PRIMA cosa fa e cosa non fa l'MDM, avrai resistenze, rifiuti e lamentele. La comunicazione e il 50% del successo.
- Policy troppo restrittive — Bloccare tutto dal giorno uno fa fallire il progetto. Parti con policy ragionevoli (PIN, cifratura, conditional access) e stringi gradualmente.
- Ignorare i device personali — Se gestisci solo i laptop aziendali ma ignori i 30 smartphone personali che accedono alla mail, hai un buco grande come una porta. L'MDM deve coprire TUTTI i device.
- Non testare il selective wipe — Quando ti servirebbe davvero (telefono rubato venerdi sera alle 22), scopri che non funziona come pensavi. Testa il wipe in fase pilota, ogni trimestre, e documenta la procedura.
- Set and forget — Configurare l'MDM e dimenticarsene. I device cambiano, le app si aggiornano, nuovi dipendenti entrano. Serve monitoraggio continuo e revisione periodica delle policy.
Il costo del non fare nulla
La domanda che ricevo piu spesso: “Ma quanto mi costa l'MDM?” La domanda giusta e un'altra: quanto ti costa NON avere un MDM?
Facciamo due conti. Un data breach causato da un telefono non gestito costa in media 42.000 euro a una PMI italiana (tra fermo operativo, intervento di incident response, notifiche GDPR, e danni reputazionali — fonte: IBM Cost of a Data Breach 2025). Una sanzione GDPR per mancate misure di sicurezza parte da 10.000 euro e puo arrivare al 2% del fatturato. Con NIS2, le sanzioni salgono fino a 10 milioni di euro o il 2% del fatturato mondiale.
Il costo di Intune con M365 Business Premium? Gia incluso nei circa 20 €/utente/mese che probabilmente stai gia pagando. E se non hai M365 BP, l'upgrade costa circa 8 €/utente/mese in piu. Per 30 utenti: 240 €/mese. Confrontalo con 42.000 euro di un singolo incidente. Il calcolo si fa da solo.
Se vuoi capire come mettere in sicurezza tutta la tua infrastruttura IT, non solo i dispositivi mobili, leggi la nostra guida ai servizi di sicurezza informatica.