L'81% dei data breach coinvolge credenziali rubate, deboli o riutilizzate (Verizon DBIR 2025). Eppure, nelle PMI italiane le password restano il punto più debole della catena di sicurezza: password banali come "123456", la stessa password su 20 servizi diversi, post-it sulla scrivania con le credenziali dell'home banking. Questa guida, parte del nostro percorso sulla cybersecurity per PMI, ti mostra come creare una password policy aziendale moderna, basata sugli standard NIST, con MFA, password manager e un percorso verso il passwordless.
Indice dei Contenuti
- 1. Il Problema delle Password nelle PMI Italiane
- 2. Le Nuove Linee Guida NIST 2024/2026
- 3. Password Manager Aziendali: Confronto e Scelta
- 4. MFA: Tipi, Implementazione e Best Practice
- 5. Il Futuro: Passwordless con FIDO2/WebAuthn
- 6. Template: La Tua Password Policy in 10 Punti
- 7. Come Implementare la Policy in 6 Step
- 8. Domande Frequenti
Il Problema delle Password nelle PMI Italiane
Prima di parlare di soluzioni, guardiamo la realtà. In un audit tipico su una PMI da 30-50 dipendenti, BullTech trova mediamente queste criticità:
Risultati tipici di un audit password in una PMI
- 73% dei dipendenti usa la stessa password per account personali e aziendali
- 45% delle password contiene il nome dell'azienda, la data di nascita o "123456"
- Solo il 12% degli account ha l'MFA attivo
- 0% delle PMI sotto i 50 dipendenti usa un password manager aziendale
- Account condivisi tra 3-5 persone senza tracciabilità individuale
Ogni password debole o riutilizzata è una porta aperta per attacchi di phishing, credential stuffing e brute force. Il costo medio di un data breach causato da credenziali compromesse è di €52.000 per una PMI italiana. Ma la buona notizia è che una password policy moderna, combinata con gli strumenti giusti, risolve il problema in modo quasi completo.
Le Nuove Linee Guida NIST 2024/2026
Il NIST (National Institute of Standards and Technology) ha rivoluzionato le raccomandazioni sulle password con l'aggiornamento SP 800-63B del 2024. Molte regole che consideravamo "best practice" sono state eliminate perché controproducenti. Ecco cosa cambia:
Le vecchie regole (da abbandonare)
- Cambio password obbligatorio ogni 30-90 giorni
- Regole di complessità rigide (maiuscola + numero + simbolo)
- Domande di sicurezza (“Nome del tuo animale domestico?”)
- Blocco dell'account dopo 3 tentativi
- Lunghezza massima di 16 caratteri
Le nuove regole NIST (da adottare)
- Cambio password solo in caso di compromissione
- Lunghezza minima 8 caratteri (meglio 12-16+)
- Supporto passphrase lunghe fino a 64+ caratteri
- Blocklist di password compromesse (Have I Been Pwned)
- MFA obbligatorio su tutti i servizi critici
Il concetto chiave è: la lunghezza batte la complessità. Una passphrase come "cavallo-batteria-graffetta-luna" (28 caratteri) è milioni di volte più sicura di "P@$$w0rd!" (9 caratteri) e infinitamente più facile da ricordare. Come evidenziato nella nostra guida cybersecurity PMI, l'MFA è il singolo intervento più efficace per proteggere gli account.
Password Manager Aziendali: Confronto e Scelta
Un password manager aziendale è lo strumento fondamentale per applicare la policy: genera password uniche e forti per ogni servizio, le memorizza in modo sicuro e le condivide in modo controllato tra i team. Ecco il confronto delle tre soluzioni migliori per PMI:
| Caratteristica | 1Password Business | Bitwarden Teams | Keeper Business |
|---|---|---|---|
| Prezzo/utente/mese | €7,99 | €4,00 | €3,75 |
| SSO (Single Sign-On) | Incluso | Enterprise (€6) | Add-on |
| Integrazione AD/Azure AD | Nativa | Directory Connector | Nativa |
| Self-hosting | No | Sì (opzionale) | No |
| Generatore password | Eccellente | Buono | Eccellente |
| Audit trail | Completo | Base | Completo |
| Facilità d'uso | Eccellente | Buona | Buona |
| Compliance GDPR/NIS2 | Certificato SOC2 | Open source audit | Certificato SOC2 |
La nostra raccomandazione: per PMI con meno di 50 utenti, Bitwarden Teams offre il miglior rapporto qualità-prezzo. Per PMI con esigenze di integrazione SSO e audit avanzato, 1Password Business è la scelta premium. L'investimento di €4-8/utente/mese è trascurabile rispetto al costo di un singolo account compromesso.
MFA: Tipi, Implementazione e Best Practice
L'MFA (Multi-Factor Authentication) è il singolo intervento di sicurezza più efficace disponibile: previene il 99,9% delle compromissioni account (Microsoft Security Report 2025). Nella nostra guida cybersecurity PMI, lo abbiamo indicato come il primo step della checklist di sicurezza. Ecco i tipi disponibili, dal meno al più sicuro:
SMS OTP (livello base)
Sicurezza: BASSAUn codice via SMS ad ogni login. È il metodo più debole: vulnerabile a SIM swapping e intercettazione. Da usare solo come fallback se altri metodi non sono disponibili. Meglio di niente, ma da non considerare come soluzione definitiva.
App Authenticator (TOTP)
Sicurezza: MEDIAApp come Microsoft Authenticator, Google Authenticator o Authy generano codici temporanei che cambiano ogni 30 secondi. Non dipendono dalla rete cellulare, funzionano offline. Raccomandato come standard minimo per tutte le PMI.
Push Notification
Sicurezza: MEDIO-ALTAL'app invia una notifica push con dettagli del login (posizione, dispositivo). L'utente approva o rifiuta con un tap. Più comodo del TOTP e resistente al phishing dei codici. Disponibile con Microsoft Authenticator e DUO.
Chiavi FIDO2/WebAuthn (livello massimo)
Sicurezza: MASSIMAChiavette hardware (YubiKey, Google Titan) che si collegano via USB, NFC o Bluetooth. Immune a phishing, man-in-the-middle e credential theft. Il gold standard per account critici: admin IT, C-level, finanza. Costo: €25-60/chiave.
Implementazione raccomandata per PMI: app authenticator (TOTP) per tutti i dipendenti + chiavi FIDO2 per gli account amministrativi e i ruoli ad alto rischio. L'MFA va attivato su: Microsoft 365/Google Workspace, VPN, accesso ai server, applicativi finanziari, portali fornitori, password manager stesso.
Il Futuro: Passwordless con FIDO2/WebAuthn
Il passwordless è l'evoluzione naturale dell'MFA: elimina completamente la password, che è l'anello debole. L'autenticazione avviene tramite:
Chiavi FIDO2
Chiavette hardware USB/NFC come YubiKey. La chiave privata non lascia mai il dispositivo. Immune a phishing e credential theft. Costo: €25-60.
Biometria
Impronta digitale (Windows Hello) o riconoscimento facciale (Face ID). Comodo e sicuro, ma richiede hardware compatibile su tutti i dispositivi aziendali.
Passkey
Standard Apple/Google/Microsoft: la chiave crittografica è sincronizzata tra i dispositivi dell'utente. Facile da usare, in rapida adozione dal 2025.
Il passwordless non è fantascienza: Microsoft 365 e Google Workspace lo supportano già nativamente. Il roll-out ideale è graduale: inizia dai ruoli IT admin e C-level, poi estendi all'intera azienda. BullTech può guidare la tua azienda nella transizione al passwordless come parte del servizio di consulenza IT.
Template: La Tua Password Policy in 10 Punti
Ecco un template di password policy che puoi adattare alla tua azienda. È allineato alle linee guida NIST SP 800-63B e ai requisiti NIS2 e GDPR:
Lunghezza minima 12 caratteri
CRITICOPer gli account amministrativi: minimo 16 caratteri. Supporto passphrase fino a 128 caratteri. Nessun limite massimo sotto i 64 caratteri.
Niente cambio periodico obbligatorio
CRITICOLe password si cambiano SOLO in caso di compromissione confermata, sospetto di furto credenziali o dimissione del dipendente. Niente più “cambia ogni 90 giorni”.
Password manager obbligatorio
CRITICOTutti i dipendenti devono usare il password manager aziendale (Bitwarden/1Password). Ogni servizio ha una password unica e generata automaticamente. Niente password memorizzate nel browser.
MFA obbligatorio su tutti i servizi critici
CRITICOEmail, cloud, VPN, applicativi finanziari, portali fornitori. Metodo preferito: app authenticator (TOTP) o chiavi FIDO2. SMS solo come fallback.
Blocklist di password compromesse
ALTOVerifica automatica contro il database Have I Been Pwned. Blocco di password comuni (123456, password, nome-azienda) e varianti prevedibili.
Nessuna condivisione di credenziali
ALTOOgni dipendente ha account nominativo. Per risorse condivise (es. social media), usare il vault condiviso del password manager con logging degli accessi.
Account privilegiati separati
ALTOGli amministratori IT usano un account standard per le attività quotidiane e un account privilegiato separato (con MFA rafforzato) per le attività amministrative.
Revoca immediata accessi ex-dipendenti
ALTOEntro 1 ora dalla comunicazione di dimissioni/licenziamento: disattivazione account, revoca sessioni attive, cambio password condivise, revoca accesso VPN.
Audit trimestrale delle credenziali
MEDIOOgni 3 mesi: verifica account attivi vs dipendenti attuali, controllo password compromesse, verifica copertura MFA, revisione permessi.
Formazione annuale + onboarding
MEDIOOgni nuovo dipendente riceve formazione sulla policy + setup del password manager al primo giorno. Sessione di refresh annuale per tutti.
Come Implementare la Policy in 6 Step
Una policy scritta senza implementazione è solo carta. Ecco il percorso operativo per portare la tua PMI da "post-it sulla scrivania" a "zero trust":
Step 1: Audit delle credenziali attuali
Inventaria tutti gli account aziendali (cloud, applicativi, social, fornitori). Verifica con strumenti come Have I Been Pwned quanti account sono già compromessi. Identifica gli account senza MFA. Questo assessment è incluso nel nostro servizio di vulnerability assessment.
Step 2: Redigi la policy e falla approvare
Usa il template dei 10 punti sopra, personalizzalo per la tua realtà e fallo approvare dalla direzione. Ogni dipendente deve firmare per presa visione. La policy è un requisito GDPR e NIS2.
Step 3: Deploy del password manager
Configura il password manager aziendale, crea gruppi e vault condivisi per team, migra tutte le credenziali. Questo è il passo più impattante: risolve il 90% dei problemi di password in un colpo solo.
Step 4: Attiva MFA su tutti i servizi critici
Inizia da Microsoft 365/Google Workspace (il bersaglio numero uno), poi VPN, poi applicativi finanziari, poi tutto il resto. Dai 2 settimane di grace period per l'adozione.
Step 5: Formazione e onboarding
Sessione formativa per tutti (1 ora): demo del password manager, spiegazione dell'MFA, policy Q&A. Integra il setup nel processo di onboarding dei nuovi assunti. La formazione continua è fondamentale.
Step 6: Monitora e migliora
Audit trimestrale della compliance, monitoraggio degli account compromessi, revisione annuale della policy. Un MSP come BullTech può automatizzare il monitoraggio continuo.
L'intero processo richiede tipicamente 2-4 settimane per una PMI da 20-50 dipendenti. Con il supporto di un MSP specializzato, puoi accelerare l'implementazione e garantire che nessun dettaglio venga trascurato. BullTech offre il deployment completo come parte dei servizi di sicurezza informatica aziendale.
Domande Frequenti sulla Password Policy Aziendale
Ogni quanto i dipendenti dovrebbero cambiare la password?
Secondo le linee guida NIST SP 800-63B aggiornate al 2024, il cambio periodico obbligatorio delle password NON è più raccomandato. Le password dovrebbero essere cambiate solo in caso di compromissione confermata o sospetta. Il cambio forzato ogni 30-90 giorni porta i dipendenti a scegliere password deboli e prevedibili (Password1!, Password2!, ecc.). Meglio una password forte e unica, protetta da MFA, che non viene mai cambiata, piuttosto che una password debole cambiata ogni mese.
Qual è la lunghezza minima raccomandata per una password aziendale?
Il NIST raccomanda un minimo di 8 caratteri, ma la best practice per le aziende è 12-16 caratteri come minimo. Ancora meglio: le passphrase di 20+ caratteri composte da 4-5 parole casuali (es. “cavallo-batteria-graffetta-luna”) sono più sicure e più facili da ricordare di una password breve e complessa come “P@$$w0rd!2026”. Con un password manager, la lunghezza non è più un problema: genera password di 20+ caratteri casuali per ogni servizio.
Quale password manager è migliore per un'azienda?
Per le PMI italiane, le migliori opzioni sono: 1Password Business (€7,99/utente/mese, ottima integrazione con SSO e provisioning), Bitwarden Teams (€4/utente/mese, open source, self-hosting possibile), e Keeper Business (€3,75/utente/mese, forte compliance). La scelta dipende da: budget, numero di utenti, necessità di integrazione con Active Directory/Microsoft 365 e requisiti di compliance. Un MSP come BullTech può configurare e gestire il password manager aziendale come parte del servizio di sicurezza.
L'MFA è obbligatorio per legge?
Il GDPR non menziona esplicitamente l'MFA, ma richiede “misure tecniche adeguate” per proteggere i dati personali. Il Garante Privacy italiano ha confermato in più provvedimenti che l'MFA è considerata una misura minima per l'accesso a sistemi contenenti dati personali. La NIS2 (per i soggetti obbligati) include esplicitamente l'autenticazione multi-fattore tra le misure di sicurezza richieste. In pratica: anche se non c'è un obbligo letterale universale, non implementare l'MFA è considerato una negligenza in caso di data breach.
Cos'è il passwordless e quando conviene implementarlo?
Il passwordless elimina completamente le password sostituendole con metodi più sicuri: chiavi FIDO2/WebAuthn (chiavette USB come YubiKey), biometria (impronta, riconoscimento facciale), passkey (integrate in smartphone e OS). È più sicuro perché non c'è nulla da rubare o indovinare, e più comodo per gli utenti. Conviene per: accesso a Microsoft 365/Google Workspace, VPN, applicativi cloud critici. Il costo delle chiavi FIDO2 è di €25-60/dispositivo. Il roll-out richiede pianificazione: inizia dai ruoli ad alto rischio (IT admin, C-level, finanza).
Una password policy moderna non è solo un documento: è un ecosistema di strumenti (password manager + MFA), processi (audit, onboarding) e formazione continua. Come parte della strategia cybersecurity della tua PMI, è uno dei pilastri fondamentali. Contattaci per un audit gratuito delle credenziali della tua azienda.