Dati 2025: il 60% delle violazioni informatiche sfrutta vulnerabilità per cui esisteva già una patch. WannaCry (2017) ha colpito 230.000 computer usando una falla Windows già corretta da Microsoft 2 mesi prima. Log4Shell (2021): milioni di server esposti perché gli aggiornamenti non erano stati applicati. Il patch management non è opzionale — è la misura di sicurezza con il miglior rapporto costo/efficacia.
Cos'è una patch informatica
Una patch (letteralmente "toppa") è un aggiornamento software che corregge vulnerabilità di sicurezza, risolve bug o migliora le prestazioni di un programma. Le patch vengono rilasciate dai produttori software quando vengono scoperte falle che potrebbero essere sfruttate dagli attaccanti.
Esistono diversi tipi di patch:
- Security patch: correggono vulnerabilità che permettono accesso non autorizzato
- Bug fix: risolvono malfunzionamenti che causano crash o perdita dati
- Feature update: aggiungono funzionalità (spesso portano nuove vulnerabilità)
- Hotfix: patch d'emergenza per vulnerabilità critiche sfruttate attivamente
Il patch management è il processo sistematico di identificazione, test, prioritizzazione e applicazione di queste patch su tutti i sistemi aziendali — PC, server, dispositivi di rete, applicazioni.
Perché il patching è critico: i numeri reali
Non è teoria: i dati degli ultimi anni parlano chiaro.
WannaCry (maggio 2017)
230.000 computer in 150 paesi bloccati. Causa: exploit EternalBlue su una vulnerabilità Windows (MS17-010) per cui Microsoft aveva rilasciato la patch 2 mesi prima. Danni stimati: $4-8 miliardi di dollari.
Log4Shell (dicembre 2021)
Vulnerabilità critica in Log4j (libreria Java usata in milioni di applicazioni). CVSS 10.0 — il massimo possibile. Patch disponibile in 24 ore, ma milioni di server rimasti esposti per settimane perché nessuno sapeva di avere Log4j installato.
Il problema non è solo "non aggiornare Windows". Il vero rischio è nelle applicazioni di terze parti: browser (Chrome, Firefox), plugin PDF (Adobe Reader), Java, software specifici di settore. WSUS copre solo Microsoft. Un patch management completo copre tutto.
Statistiche patching 2025
- 60% delle violazioni: vulnerabilità con patch disponibile al momento dell'attacco
- Tempo medio per applicare patch critiche nelle PMI: 67 giorni
- Gli attaccanti iniziano a sfruttare una vulnerabilità in media entro 15 giorni dal rilascio
- Costo medio di un data breach per PMI italiana 2025: €180.000
Strumenti di patch management per PMI
Le opzioni principali sul mercato, con costi reali aggiornati al 2026.
| Strumento | Costo | Copertura | Automazione | Ideale per |
|---|---|---|---|---|
| WSUS (Microsoft) | Gratis | Solo Windows + Office | Manuale | Grandi aziende con IT interno |
| Microsoft Intune | Incluso in M365 Business Premium | Windows, macOS, iOS, Android | Alta | Aziende con Microsoft 365 |
| NinjaRMM | Da €3/endpoint/mese | Windows, macOS + 3rd party | Molto alta | PMI con MSP |
| Atera | Da €99/tecnico/mese (illimitato) | Windows, macOS + 3rd party | Alta | MSP con molti clienti |
Nota: WSUS è gratuito ma non è adatto alle PMI senza IT interno. Richiede un server Windows Server (€500-1.000 di licenza), configurazione iniziale di 1-2 giorni e monitoraggio settimanale. Non copre Chrome, Adobe, Java e centinaia di altre applicazioni comuni. Per una PMI di 10-50 persone, NinjaRMM o Intune sono la scelta più pratica.
La policy di patching: test → staging → produzione
Applicare patch in modo indiscriminato può causare problemi: un aggiornamento può rompere un software gestionale o un driver specifico. La best practice è un processo in tre fasi:
Test (1-3 giorni)
La patch viene applicata su 1-2 macchine di test (o VM). Si verifica che non ci siano incompatibilità con i software critici: gestionale, ERP, software CAD, etc. Per patch critiche (hotfix emergenza), questo step può essere ridotto a ore.
Staging / Pilota (3-7 giorni)
La patch viene distribuita al 10-20% dei computer (il "gruppo pilota", solitamente persone tecniche o uffici meno critici). Si monitora per problemi. Se tutto va bene, si procede.
Produzione (fuori orario di lavoro)
Il rollout completo viene pianificato fuori orario (notte o weekend) per non interrompere il lavoro. I computer si aggiornano e riavviano automaticamente. Si genera un report di conformità: quanti PC aggiornati, quanti falliti, perché.
Per una PMI di 10-30 persone, questo processo può essere gestito interamente da un MSP con supervisione zero da parte tua. Nessun dipendente viene disturbato durante il lavoro.
NIS2 e obbligo di patch management
La direttiva NIS2 (recepita in Italia con D.Lgs. 138/2024, applicabile da gennaio 2026) non cita esplicitamente il "patch management", ma richiede alle aziende di adottare misure tecniche adeguate per la gestione dei rischi informatici, inclusa la "gestione delle vulnerabilità e delle esposizioni".
In pratica, per essere conformi NIS2 devi avere:
- Una policy di patch management documentata (chi decide cosa aggiornare, con quale frequenza)
- SLA di applicazione: es. patch critiche (CVSS ≥9.0) entro 48h, high entro 7gg, medium entro 30gg
- Log e report di conformità: dimostrazione che le patch sono state applicate nei tempi stabiliti
- Un processo di vulnerability management: scansione periodica per trovare sistemi non aggiornati
Con BullTech il contratto di assistenza include report mensili di patch compliance pronti per audit NIS2. Se sei soggetto alla direttiva, puoi mostrare al revisore i log di aggiornamento degli ultimi 12 mesi.
Domande frequenti
Cos'è il patch management?
È il processo di identificazione, test e installazione degli aggiornamenti software (patch) per chiudere vulnerabilità di sicurezza e risolvere bug. Il 60% degli attacchi informatici sfrutta falle già note ma non aggiornate. Con un MSP come BullTech, il patching è automatico, programmato fuori orario e non disturba i dipendenti.
Quanto costa il patch management?
WSUS (Windows Server Update Services): gratis ma richiede un server Windows e un sistemista che lo gestisca. NinjaRMM: da €3/endpoint/mese, tutto automatizzato. Microsoft Intune: incluso in Microsoft 365 Business Premium (€22/utente/mese). Con BullTech: il patch management è incluso nel contratto di assistenza da €150/mese per PMI fino a 10 postazioni.
Con quale frequenza vanno applicati gli aggiornamenti?
Windows rilascia Patch Tuesday ogni secondo martedì del mese: vanno applicati entro 30 giorni. Per vulnerabilità critiche (CVSS ≥9.0) la best practice è 48-72 ore dal rilascio. Applicazioni di terze parti (browser, Office, Java) vanno aggiornate settimanalmente. La NIS2 richiede policy di patching documentate con SLA definiti.
WSUS o NinjaRMM: qual è meglio per una PMI?
WSUS è gratuito ma richiede un server Windows Server, configurazione manuale e monitoraggio continuo. Non gestisce applicazioni di terze parti (Chrome, Adobe, etc.). NinjaRMM (o strumenti simili come Datto RMM, Atera) costa da €3/endpoint/mese ma automatizza tutto: Windows, driver, applicazioni di terze parti, report di conformità. Per PMI senza un IT interno, WSUS non è una soluzione pratica.
Il patch management è obbligatorio con la NIS2?
La NIS2 (recepita in Italia con D.Lgs. 138/2024) non menziona esplicitamente il patch management, ma richiede 'misure tecniche e organizzative adeguate' per la gestione delle vulnerabilità. In pratica: devi avere una policy di patching documentata, SLA di applicazione (es. 30gg per critiche, 90gg per le altre) e log di conformità. Un MSP certificato ti fornisce questi report automaticamente.
Il patch management dei tuoi sistemi è sotto controllo?
In 30 minuti facciamo un check gratuito: quante macchine hanno aggiornamenti critici in sospeso, quali applicazioni sono fuori versione, il tuo livello di rischio NIS2.
Il team di esperti IT di BullTech Informatica condivide analisi, guide e best practice per la sicurezza e la gestione IT aziendale.