“La password del gestionale? È scritta sul post-it attaccato al monitor.” Se ti suona familiare, non sei solo: l'81% dei data breach parte da credenziali rubate, deboli o riciclate (Verizon DBIR 2025). Nelle PMI italiane le password sono ancora il punto più debole: "123456", la stessa password su 20 servizi, il foglietto con i dati dell'home banking in bella vista. In questa guida ti mostriamo come creare una password policy che funziona davvero, basata sugli standard NIST, con MFA (autenticazione a più fattori), password manager e un percorso verso il passwordless.
Indice dei Contenuti
- 1. Il Problema delle Password nelle PMI Italiane
- 2. Le Nuove Linee Guida NIST 2024/2026
- 3. Password Manager Aziendali: Confronto e Scelta
- 4. MFA: Tipi, Implementazione e Best Practice
- 5. Il Futuro: Passwordless con FIDO2/WebAuthn
- 6. Template: La Tua Password Policy in 10 Punti
- 7. Come Attivare la Policy in 6 Step
- 8. Domande Frequenti
Il Problema delle Password nelle PMI Italiane
Prima di parlare di soluzioni, guardiamo la realtà. Quando facciamo un checkup delle credenziali in una PMI da 30-50 dipendenti, troviamo quasi sempre questi problemi:
Risultati tipici di un audit password in una PMI
- 73% dei dipendenti usa la stessa password per account personali e aziendali
- 45% delle password contiene il nome dell'azienda, la data di nascita o "123456"
- Solo il 12% degli account ha l'MFA attivo
- 0% delle PMI sotto i 50 dipendenti usa un password manager aziendale
- Account condivisi tra 3-5 persone senza tracciabilità individuale
Ogni password debole o riciclata è una porta spalancata per attacchi di phishing, credential stuffing (provano le password rubate da altri siti) e brute force (tentativi a raffica). Un data breach da credenziali compromesse costa in media €52.000 a una PMI italiana. La buona notizia? Una password policy fatta bene, con gli strumenti giusti, risolve il problema quasi del tutto.
Le Nuove Linee Guida NIST 2024/2026
Il NIST (l'istituto americano degli standard tecnologici) ha ribaltato le vecchie regole sulle password con l'aggiornamento SP 800-63B del 2024. Tante cose che davamo per scontate sono state eliminate perché in pratica peggioravano la sicurezza. Ecco cosa cambia:
Le vecchie regole (da abbandonare)
- Cambio password obbligatorio ogni 30-90 giorni
- Regole di complessità rigide (maiuscola + numero + simbolo)
- Domande di sicurezza ('Nome del tuo animale domestico?')
- Blocco dell'account dopo 3 tentativi
- Lunghezza massima di 16 caratteri
Le nuove regole NIST (da adottare)
- Cambio password solo in caso di compromissione
- Lunghezza minima 8 caratteri (meglio 12-16+)
- Supporto passphrase lunghe fino a 64+ caratteri
- Blocklist di password compromesse (Have I Been Pwned)
- MFA obbligatorio su tutti i servizi critici
Il concetto chiave è: la lunghezza batte la complessità. Una passphrase come "cavallo-batteria-graffetta-luna" (28 caratteri) è milioni di volte più sicura di "P@$$w0rd!" (9 caratteri) e infinitamente più facile da ricordare. Come evidenziato nella nostra guida cybersecurity PMI, l'MFA è il singolo intervento più efficace per proteggere gli account.
Password Manager Aziendali: Confronto e Scelta
Un password manager aziendale è lo strumento che ti cambia la vita: genera password uniche e forti per ogni servizio, le memorizza al sicuro e le condivide tra i team in modo controllato. Ecco le tre opzioni migliori per PMI a confronto:
| Caratteristica | 1Password Business | Bitwarden Teams | Keeper Business |
|---|---|---|---|
| Prezzo/utente/mese | €7,99 | €4,00 | €3,75 |
| SSO (Single Sign-On) | Incluso | Enterprise (€6) | Add-on |
| Integrazione AD/Azure AD | Nativa | Directory Connector | Nativa |
| Self-hosting | No | Sì (opzionale) | No |
| Generatore password | Eccellente | Buono | Eccellente |
| Audit trail | Completo | Base | Completo |
| Facilità d'uso | Eccellente | Buona | Buona |
| Compliance GDPR/NIS2 | Certificato SOC2 | Open source audit | Certificato SOC2 |
La nostra raccomandazione: per PMI con meno di 50 utenti, Bitwarden Teams offre il miglior rapporto qualità-prezzo. Per PMI con esigenze di integrazione SSO e audit avanzato, 1Password Business è la scelta premium. L'investimento di €4-8/utente/mese è trascurabile rispetto al costo di un singolo account compromesso.
MFA: Tipi, Implementazione e Best Practice
L'MFA (Multi-Factor Authentication) è il singolo intervento di sicurezza più efficace disponibile: previene il 99,9% delle compromissioni account (Microsoft Security Report 2025). Nella nostra guida cybersecurity PMI, lo abbiamo indicato come il primo step della checklist di sicurezza. Ecco i tipi disponibili, dal meno al più sicuro:
SMS OTP (livello base)
Sicurezza: BASSAUn codice via SMS ad ogni login. È il metodo più debole: vulnerabile a SIM swapping e intercettazione. Da usare solo come fallback se altri metodi non sono disponibili. Meglio di niente, ma da non considerare come soluzione definitiva.
App Authenticator (TOTP)
Sicurezza: MEDIAApp come Microsoft Authenticator, Google Authenticator o Authy generano codici temporanei che cambiano ogni 30 secondi. Non dipendono dalla rete cellulare, funzionano offline. Raccomandato come standard minimo per tutte le PMI.
Push Notification
Sicurezza: MEDIO-ALTAL'app invia una notifica push con dettagli del login (posizione, dispositivo). L'utente approva o rifiuta con un tap. Più comodo del TOTP e resistente al phishing dei codici. Disponibile con Microsoft Authenticator e DUO.
Chiavi FIDO2/WebAuthn (livello massimo)
Sicurezza: MASSIMAChiavette hardware (YubiKey, Google Titan) che si collegano via USB, NFC o Bluetooth. Immune a phishing, man-in-the-middle e credential theft. Il gold standard per account critici: admin IT, C-level, finanza. Costo: €25-60/chiave.
Implementazione raccomandata per PMI: app authenticator (TOTP) per tutti i dipendenti + chiavi FIDO2 per gli account amministrativi e i ruoli ad alto rischio. L'MFA va attivato su: Microsoft 365/Google Workspace, VPN, accesso ai server, applicativi finanziari, portali fornitori, password manager stesso.
Il Futuro: Passwordless con FIDO2/WebAuthn
Il passwordless è l'evoluzione naturale dell'MFA: elimina completamente la password, che è l'anello debole. L'autenticazione avviene tramite:
Chiavi FIDO2
Chiavette hardware USB/NFC come YubiKey. La chiave privata non lascia mai il dispositivo. Immune a phishing e credential theft. Costo: €25-60.
Biometria
Impronta digitale (Windows Hello) o riconoscimento facciale (Face ID). Comodo e sicuro, ma richiede hardware compatibile su tutti i dispositivi aziendali.
Passkey
Standard Apple/Google/Microsoft: la chiave crittografica è sincronizzata tra i dispositivi dell'utente. Facile da usare, in rapida adozione dal 2025.
Il passwordless non è fantascienza: Microsoft 365 e Google Workspace lo supportano già nativamente. Il roll-out ideale è graduale: inizia dai ruoli IT admin e C-level, poi estendi all'intera azienda. BullTech può guidare la tua azienda nella transizione al passwordless come parte del servizio di consulenza IT.
Template: La Tua Password Policy in 10 Punti
Ecco un template di password policy che puoi adattare alla tua azienda. È allineato alle linee guida NIST SP 800-63B e ai requisiti NIS2 e GDPR:
Lunghezza minima 12 caratteri
CRITICOPer gli account amministrativi: minimo 16 caratteri. Supporto passphrase fino a 128 caratteri. Nessun limite massimo sotto i 64 caratteri.
Niente cambio periodico obbligatorio
CRITICOLe password si cambiano SOLO in caso di compromissione confermata, sospetto di furto credenziali o dimissione del dipendente. Niente più 'cambia ogni 90 giorni'.
Password manager obbligatorio
CRITICOTutti i dipendenti devono usare il password manager aziendale (Bitwarden/1Password). Ogni servizio ha una password unica e generata automaticamente. Niente password memorizzate nel browser.
MFA obbligatorio su tutti i servizi critici
CRITICOEmail, cloud, VPN, applicativi finanziari, portali fornitori. Metodo preferito: app authenticator (TOTP) o chiavi FIDO2. SMS solo come fallback.
Blocklist di password compromesse
ALTOVerifica automatica contro il database Have I Been Pwned. Blocco di password comuni (123456, password, nome-azienda) e varianti prevedibili.
Nessuna condivisione di credenziali
ALTOOgni dipendente ha account nominativo. Per risorse condivise (es. social media), usare il vault condiviso del password manager con logging degli accessi.
Account privilegiati separati
ALTOGli amministratori IT usano un account standard per le attività quotidiane e un account privilegiato separato (con MFA rafforzato) per le attività amministrative.
Revoca immediata accessi ex-dipendenti
ALTOEntro 1 ora dalla comunicazione di dimissioni/licenziamento: disattivazione account, revoca sessioni attive, cambio password condivise, revoca accesso VPN.
Audit trimestrale delle credenziali
MEDIOOgni 3 mesi: verifica account attivi vs dipendenti attuali, controllo password compromesse, verifica copertura MFA, revisione permessi.
Formazione annuale + onboarding
MEDIOOgni nuovo dipendente riceve formazione sulla policy + setup del password manager al primo giorno. Sessione di refresh annuale per tutti.
Come Attivare la Policy in 6 Step
Una policy scritta ma non applicata è solo carta. Ecco il percorso operativo per portare la tua PMI da "post-it sulla scrivania" a "zero trust":
Step 1: Audit delle credenziali attuali
Inventaria tutti gli account aziendali (cloud, applicativi, social, fornitori). Verifica con strumenti come Have I Been Pwned quanti account sono già compromessi. Identifica gli account senza MFA. Questo checkup è incluso nel nostro servizio di analisi delle vulnerabilità.
Step 2: Redigi la policy e falla approvare
Usa il template dei 10 punti sopra, personalizzalo per la tua realtà e fallo approvare dalla direzione. Ogni dipendente deve firmare per presa visione. La policy è un requisito GDPR e NIS2.
Step 3: Deploy del password manager
Configura il password manager aziendale, crea gruppi e vault condivisi per team, migra tutte le credenziali. Questo è il passo più impattante: risolve il 90% dei problemi di password in un colpo solo.
Step 4: Attiva MFA su tutti i servizi critici
Inizia da Microsoft 365/Google Workspace (il bersaglio numero uno), poi VPN, poi applicativi finanziari, poi tutto il resto. Dai 2 settimane di grace period per l'adozione.
Step 5: Formazione e onboarding
Sessione formativa per tutti (1 ora): demo del password manager, spiegazione dell'MFA, policy Q&A. Integra il setup nel processo di onboarding dei nuovi assunti. La formazione continua è fondamentale.
Step 6: Monitora e migliora
Audit trimestrale della compliance, monitoraggio degli account compromessi, revisione annuale della policy. Un MSP come BullTech può automatizzare il monitoraggio continuo.
L'intero processo richiede di solito 2-4 settimane per una PMI da 20-50 dipendenti. Con il supporto di un MSP specializzato, vai più veloce e non ti sfugge nulla. Noi di BullTech configuriamo tutto come parte dei servizi di sicurezza informatica aziendale.
Domande Frequenti sulla Password Policy Aziendale
Ogni quanto i dipendenti dovrebbero cambiare la password?
Sorpresa: il NIST (l'ente che definisce gli standard di sicurezza) dice di NON obbligare più il cambio periodico. Le password si cambiano solo se c'è il sospetto che siano state rubate. Il perché è semplice: se costringi la gente a cambiare password ogni 90 giorni, finiscono con Password1!, Password2!, Password3!. Meglio una password forte e unica, protetta da MFA, che non cambia mai, piuttosto che una password debole cambiata ogni mese.
Qual è la lunghezza minima raccomandata per una password aziendale?
Il NIST raccomanda un minimo di 8 caratteri, ma la best practice per le aziende è 12-16 caratteri come minimo. Ancora meglio: le passphrase di 20+ caratteri composte da 4-5 parole casuali (es. 'cavallo-batteria-graffetta-luna') sono più sicure e più facili da ricordare di una password breve e complessa come 'P@$$w0rd!2026'. Con un password manager, la lunghezza non è più un problema: genera password di 20+ caratteri casuali per ogni servizio.
Quale password manager è migliore per un'azienda?
Per PMI italiane, le tre opzioni migliori sono: 1Password Business (7,99 euro/utente/mese, si integra benissimo con SSO e Active Directory), Bitwarden Teams (4 euro/utente/mese, open source, puoi anche installarlo sui tuoi server), e Keeper Business (3,75 euro/utente/mese, forte sulla compliance). Quale scegliere? Dipende dal budget, da quanti utenti hai e se ti serve l'integrazione con Microsoft 365. Noi di BullTech lo configuriamo e gestiamo come parte del servizio di sicurezza.
L'MFA è obbligatorio per legge?
Il GDPR non lo dice esplicitamente, ma chiede 'misure tecniche adeguate' per proteggere i dati personali. E il Garante Privacy italiano ha già chiarito in più occasioni che l'MFA è considerata una misura minima. La NIS2 lo include proprio nero su bianco tra le misure di sicurezza obbligatorie. In pratica: non c'è scritto 'MFA obbligatorio' in una legge, ma se subisci un data breach e non lo avevi attivato, ti troverai a dover spiegare perché.
Cos'è il passwordless e quando conviene attivarlo?
Il passwordless elimina del tutto le password e le sostituisce con metodi più sicuri: chiavette hardware FIDO2 (tipo YubiKey, 25-60 euro l'una), impronta digitale o riconoscimento facciale, oppure passkey integrate nello smartphone. È più sicuro perché non c'è niente da rubare o indovinare, e per gli utenti è anche più comodo. Conviene attivarlo per: Microsoft 365, Google Workspace, VPN, app cloud critiche. Il consiglio è partire dai ruoli più a rischio (IT admin, direzione, finanza) e poi estendere a tutti.
Una password policy moderna non è solo un documento in un cassetto: è un sistema fatto di strumenti (password manager + MFA), processi (checkup, onboarding) e formazione continua. È uno dei pilastri della cybersecurity della tua PMI. Vuoi sapere come stanno messe le credenziali nella tua azienda? Scrivici per un checkup gratuito.