Un password manager aziendale è un software che genera, conserva e compila automaticamente le password di tutti i dipendenti in una cassaforte digitale crittografata. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB), ha configurato password manager per oltre 80 aziende — e in questa guida ti spieghiamo quale scegliere, quanto costa, come integrarlo con Active Directory ed Entra ID, e perché nel 2026 non averlo è un rischio che non puoi permetterti.
Perché la tua azienda ha bisogno di un password manager (subito)
I numeri fanno paura. L'81% dei data breach è causato da password deboli, riutilizzate o rubate (Verizon DBIR 2025). Il dipendente medio gestisce 87 password lavorative. Nel 72% dei casi usa la stessa password per più servizi. E la password più usata nelle aziende italiane resta “password123” — nel 2026.
Senza un password manager, succede questo: i dipendenti scrivono le password su post-it attaccati al monitor (sì, nel 2026 ancora), salvano tutto nel browser senza protezione master, condividono le password via email o WhatsApp, e usano “NomeAzienda2026!” per tutto. Quando un dipendente se ne va, le sue password rimangono attive ovunque perché nessuno sa dove sono.
Con un password manager aziendale: ogni dipendente ha una sola master password da ricordare. Tutte le altre sono generate automaticamente (20+ caratteri, casuali). Quando un dipendente lascia l'azienda, l'admin revoca l'accesso a tutte le password in un click. Le password condivise (accesso al gestionale, Wi-Fi ospiti, account social) sono in vault condivisi controllati. E hai un audit log di chi ha acceduto a cosa e quando — fondamentale per GDPR e NIS2.
Confronto: Keeper vs Bitwarden vs 1Password vs LastPass vs Dashlane
Ecco il confronto completo con i prezzi reali del 2026. Tutti i prezzi sono per utente/mese, piano Business (non Enterprise, che costa di più ma aggiunge SSO e provisioning avanzato).
| Password Manager | Prezzo/utente/mese | SSO (SAML/OIDC) | Self-hosting | Audit log | Punto forte |
|---|---|---|---|---|---|
| Keeper Business | 3,75 $ (~3,50 €) | Solo Enterprise (5 $) | No (solo cloud) | Si | Sicurezza zero-knowledge, dark web monitoring |
| Bitwarden Teams | 4 $ (~3,70 €) | Enterprise (7 $) | Si (gratuito) | Si (Enterprise) | Open-source, self-hosting, prezzo |
| 1Password Business | 7,99 $ (~7,40 €) | Si (incluso) | No (solo cloud) | Si | UX migliore, Watchtower, SSO incluso |
| LastPass Business | 7 $ (~6,50 €) | Si (incluso) | No (solo cloud) | Si | Directory integration, password-less |
| Dashlane Business | 8 $ (~7,40 €) | Si (incluso) | No (solo cloud) | Si | VPN inclusa, dark web monitoring |
Per una PMI con 30 utenti, il costo annuale: Keeper Business 1.350 dollari (~1.260 euro), Bitwarden Teams 1.440 dollari (~1.340 euro), 1Password Business 2.877 dollari (~2.680 euro), LastPass Business 2.520 dollari (~2.350 euro), Dashlane Business 2.880 dollari (~2.680 euro). La differenza tra il più economico e il più caro è di circa 1.400 euro all'anno.
Keeper: il più usato dai nostri clienti
Keeper è il password manager che raccomandiamo più spesso alle PMI che gestiscono. Perché? Tre motivi concreti.
Primo: l'architettura zero-knowledge. I dati sono crittografati con AES-256 sul dispositivo dell'utente. Keeper non può leggere le tue password neanche volendo. La master password non viene mai trasmessa ai server di Keeper. Questo significa che anche in caso di breach dei server Keeper (che non è mai successo), le password restano illeggibili.
Secondo: il BreachWatch (add-on a 2 dollari/utente/mese). Monitora il dark web in tempo reale e ti avvisa se le credenziali dei tuoi dipendenti compaiono in un database di password rubate. Nella nostra esperienza, quando attiviamo BreachWatch per un nuovo cliente, troviamo in media 8-12 credenziali compromesse su 30 dipendenti. Credenziali che sono in vendita sul dark web e che nessuno sapeva fossero state rubate.
Terzo: la console admin. Puoi definire policy di complessità password (minimo 16 caratteri, simboli obbligatori), forzare la rotazione ogni 90 giorni, impedire il riutilizzo delle ultime 10 password, e vedere un “Security Score” per ogni dipendente. Quando un dipendente se ne va, disattivi il suo account e tutte le password condivise vengono aggiornate automaticamente.
Bitwarden: open-source e self-hosting per chi vuole il controllo totale
Bitwarden è l'alternativa open-source che sta crescendo più di tutti. Il codice sorgente è pubblico su GitHub, verificato da audit indipendenti (Cure53), e chiunque può controllare che non ci siano backdoor. Per le aziende che non si fidano del closed-source, è la scelta naturale.
Il vantaggio unico: il self-hosting. Puoi installare Bitwarden sul tuo server (fisico o cloud) e avere il controllo completo dei dati. Nessun dato esce dalla tua infrastruttura. L'installazione ufficiale richiede Docker e 2GB di RAM — gira su qualsiasi server Linux. C'è anche Vaultwarden, un'implementazione community più leggera (500MB di RAM) che è perfetta per PMI sotto i 50 utenti.
Il piano Teams (4 dollari/utente/mese) include vault condivisi, gruppi, policy password e 2FA. Il piano Enterprise (7 dollari/utente/mese) aggiunge SSO con SAML/OIDC, directory sync con Active Directory/Entra ID/LDAP, audit log avanzati e account recovery. Per chi fa self-hosting, tutti i piani sono gratuiti — paghi solo se vuoi il cloud hosted di Bitwarden.
1Password, LastPass e Dashlane: quando sceglierli
1Password Business (7,99 dollari/utente/mese) è il password manager con la migliore esperienza utente. L'interfaccia è intuitiva, il browser extension funziona benissimo, e Watchtower (incluso) monitora password deboli, riutilizzate e compromesse. SSO con Azure AD, Okta e JumpCloud è incluso nel piano Business, senza costi aggiuntivi. Lo consigliamo alle aziende dove l'adozione da parte dei dipendenti è la priorità numero uno: se il tool è facile, la gente lo usa.
LastPass Business (7 dollari/utente/mese) ha avuto problemi di reputazione dopo il breach del 2022-2023. Da allora ha ristrutturato la sicurezza, separato l'infrastruttura cloud, e ottenuto certificazioni aggiuntive. Il punto forte nel 2026 è la directory integration: si integra nativamente con Active Directory, Azure AD, Okta, OneLogin e Google Workspace per il provisioning automatico degli utenti. Quando assumi un dipendente, crei l'account AD e LastPass si attiva automaticamente. Quando se ne va, disattivi l'account AD e LastPass si disattiva. Zero intervento manuale.
Dashlane Business (8 dollari/utente/mese) include una VPN integrata (Hotspot Shield) e dark web monitoring nel prezzo base. È l'opzione più cara ma anche la più completa come bundle. Lo consigliamo solo se la VPN integrata ti fa risparmiare un abbonamento VPN separato — altrimenti Keeper o 1Password offrono di più per meno.
Integrazione SSO: Active Directory, Entra ID, Okta
L'SSO (Single Sign-On) è la funzionalità che trasforma un password manager da “tool utile” a “infrastruttura di sicurezza”. Con SSO, il dipendente si autentica una volta con le credenziali aziendali (Active Directory, Entra ID, Okta) e il password manager si sblocca automaticamente. Niente master password da ricordare. Niente “ho dimenticato la password del password manager”.
Come funziona tecnicamente: il password manager supporta i protocolli SAML 2.0 e OIDC (OpenID Connect). L'azienda configura il password manager come “applicazione enterprise” nel proprio Identity Provider (Azure AD/Entra ID, Okta, ADFS). Quando il dipendente clicca su “accedi con SSO”, viene reindirizzato all'Identity Provider, si autentica (con MFA), e torna al password manager autenticato.
Attenzione: l'SSO è quasi sempre nel piano Enterprise, non nel Business base. Keeper SSO Connect richiede Keeper Enterprise (5 dollari/utente/mese). Bitwarden SSO richiede Enterprise (7 dollari/utente/mese). 1Password e LastPass includono SSO già nel Business. Se l'SSO è un requisito, 1Password Business (7,99 dollari con SSO incluso) batte Keeper Enterprise (5 dollari + 2 dollari BreachWatch = 7 dollari senza BreachWatch).
Deployment: cloud vs on-premise
La scelta cloud vs on-premise per un password manager è diversa da quella per altri servizi IT. Per il password manager, il cloud è quasi sempre la scelta giusta — anche per aziende tradizionalmente diffidenti.
Perché? I password manager usano la crittografia end-to-end zero-knowledge. I dati sono crittografati sul tuo dispositivo con una chiave derivata dalla master password. Il server cloud conserva solo dati crittografati che non può leggere. Anche se qualcuno bucasse i server di Keeper o 1Password, otterrebbe solo blob crittografati inutilizzabili senza la master password di ogni singolo utente.
L'on-premise ha senso in tre casi specifici. Primo: policy aziendali che vietano categoricamente il cloud per dati di autenticazione (raro nelle PMI, comune in difesa e PA). Secondo: vuoi il controllo totale del ciclo di vita dei dati, inclusi backup e disaster recovery. Terzo: operi in un paese con normative sulla residenza dei dati che il provider cloud non soddisfa (tutti i provider citati hanno data center EU, quindi per GDPR il cloud va bene).
Se scegli l'on-premise, Bitwarden è l'unica opzione seria: self-hosting gratuito, Docker-based, con la stessa funzionalità del cloud. Noi di BullTech lo installiamo su un server Linux dedicato o in un container Docker su infrastruttura esistente. Il setup costa 400-800 euro, e la manutenzione richiede 1-2 ore al mese per aggiornamenti e backup.
Compliance GDPR e NIS2: cosa copre un password manager
Nel 2026 la compliance non è più opzionale. La NIS2 è entrata in vigore e il GDPR viene applicato con multe sempre più salate. Un password manager aziendale copre diversi requisiti normativi.
GDPR (art. 32): richiede “misure tecniche e organizzative adeguate” per proteggere i dati personali. Un password manager garantisce password uniche e complesse per ogni servizio, eliminando il rischio di credential stuffing (usare password rubate da un servizio per accedere ad altri). L'audit log dimostra chi ha acceduto a quali credenziali e quando.
NIS2 (art. 21, comma 2, lettera j): richiede “politiche relative all'uso della crittografia e, se del caso, della cifratura” e “uso di autenticazione a più fattori”. Un password manager business soddisfa entrambi: crittografia AES-256 per le password e MFA obbligatoria per accedere al vault. L'articolo 21 richiede anche “sicurezza della catena di approvvigionamento”: le password condivise con fornitori devono essere gestite in vault separati con accesso limitato e tracciato.
Per una compliance completa serve anche: SSO per centralizzare l'autenticazione, directory sync per automatizzare provisioning/deprovisioning, e policy di rotazione password automatiche. Tutti i password manager Enterprise citati offrono queste funzionalità. Per approfondire la sicurezza degli accessi, leggi la nostra pagina sul glossario: autenticazione.
Come scegliere: la nostra raccomandazione
Albero decisionale password manager BullTech
- Budget limitato, sotto 30 utenti?
Keeper Business (3,75 $/utente/mese). Miglior rapporto sicurezza/prezzo. BreachWatch come add-on. - Vuoi open-source o self-hosting?
Bitwarden Teams (4 $/utente/mese cloud) o self-hosted gratuito. Unica opzione con on-premise serio. - SSO obbligatorio, 30+ utenti?
1Password Business (7,99 $/utente/mese). SSO incluso, UX migliore, Watchtower incluso. - Directory sync con Active Directory è prioritario?
LastPass Business (7 $/utente/mese). Migliore integrazione AD/Entra ID nativa. - Vuoi VPN + password manager in un unico tool?
Dashlane Business (8 $/utente/mese). Solo se la VPN integrata ti fa risparmiare.
Come BullTech configura un password manager: il processo
6 step per il rollout del password manager
- Step 1: Audit password (2 ore) — Analizziamo le pratiche attuali: quante password salvate nei browser, quanti post-it, quanti file Excel con password, quanti account condivisi senza tracciamento. Il risultato è quasi sempre spaventoso.
- Step 2: Scelta e configurazione (4 ore) — Configuriamo il password manager scelto: policy di complessità (minimo 16 caratteri), 2FA obbligatorio, vault condivisi per team, ruoli admin. Se SSO: integrazione con Active Directory/Entra ID.
- Step 3: Migrazione (2-4 ore) — Importiamo le password dai browser, da LastPass/altro password manager precedente, e dai famigerati file Excel. Organizziamo in folder per dipartimento.
- Step 4: Formazione dipendenti (1 ora) — Sessione pratica: come installare l'estensione browser, come generare password sicure, come condividere password con un collega in modo sicuro, cosa fare se dimenticano la master password.
- Step 5: Pulizia (1-2 settimane) — Eliminiamo le password dai browser, distruggiamo i post-it, cancelliamo i file Excel. Verifichiamo che tutti i dipendenti usino il password manager per i login quotidiani.
- Step 6: Monitoraggio (ongoing) — Report mensile Security Score, controllo password deboli/riutilizzate, gestione on/offboarding dipendenti. Incluso nei contratti MSP BullTech.
Tempo totale: 3-5 giorni. Costo setup con BullTech: 300-600 € una tantum + canone password manager.
L'errore più costoso
Il 43% delle aziende che adotta un password manager non elimina le password dai browser dei dipendenti. Risultato: le password continuano a essere salvate in due posti, il password manager viene usato a metà, e al primo breach le credenziali rubate dal browser rendono inutile tutto il lavoro fatto. Quando configuriamo un password manager, la pulizia dei browser è uno step obbligatorio.
Proteggere le password è solo un pezzo della sicurezza aziendale. L'antispam protegge le email da phishing e malware, la sicurezza email protegge le comunicazioni, e un piano di protezione ransomware ti salva quando tutto il resto fallisce. Noi di BullTech gestiamo tutto questo con un unico contratto cybersecurity MSP — così hai un solo referente per tutto.
Le password dei tuoi dipendenti sono al sicuro?
Facciamo un audit gratuito delle pratiche password della tua azienda: controlliamo quante credenziali sono esposte sul dark web, quante password vengono riutilizzate, e ti proponiamo il password manager giusto per te. 30 minuti, zero impegno. Chiamaci al 039 5787 212 o scrivici.