Hai capito che ti serve qualcuno che sorvegli la sicurezza della tua azienda, ma ogni fornitore ti spara numeri diversi e non riesci a confrontarli. Ti capisco, facciamo chiarezza insieme. Un servizio MDR gestito (in pratica: qualcuno che tiene d'occhio i tuoi PC, server e rete 24 ore su 24 e interviene se succede qualcosa) costa tra €5 e €25 per dispositivo al mese, mentre un SOC interno — cioè costruirti un centro di sicurezza tutto tuo — parte da €50.000 e supera tranquillamente i €200.000 all'anno. Con la direttiva NIS2 in vigore, è una decisione che non puoi più rimandare. Qui trovi numeri concreti, tabelle comparative e i conti fatti bene per scegliere senza buttare soldi.
Indice dei Contenuti
- 1. SOC Interno vs SOC as a Service vs MDR: Il Confronto
- 2. Pricing MDR per Numero di Endpoint
- 3. I Costi Reali di un SOC Interno
- 4. Break-Even Analysis: Quando Conviene il SOC Interno
- 5. Cosa Include un Servizio MDR
- 6. Costi Nascosti del SOC Interno
- 7. Come Scegliere la Soluzione Giusta
- 8. Domande Frequenti
SOC Interno vs SOC as a Service vs MDR: Il Confronto Completo
Prima di parlare di prezzi, chiariamo le differenze tra le tre strade che hai per il monitoraggio della sicurezza dei tuoi server, PC e rete:
| Criterio | SOC Interno | SOC as a Service | MDR Gestito |
|---|---|---|---|
| Costo annuo indicativo | €150.000 - €500.000+ | €30.000 - €150.000 | €6.000 - €75.000 |
| Costo per endpoint/mese | €50 - €200+ | €20 - €50 | €5 - €25 |
| Personale richiesto | 3-8 analisti interni | Nessuno (esterno) | Nessuno (esterno) |
| Monitoring | 24/7 (se 3+ analisti) | 24/7 incluso | 24/7 incluso |
| Tecnologia base | SIEM + SOAR + EDR | SIEM + SOAR gestiti | EDR/XDR gestito |
| Incident Response | Interna | Guidata/ibrida | Inclusa e gestita |
| Threat Hunting | Se risorse disponibili | Incluso (base) | Incluso (proattivo) |
| Personalizzazione | Massima | Media-alta | Media |
SOC Interno
Pro: Massima personalizzazione
Contro: Costi elevatissimi, difficolta recruiting
SOC as a Service
Pro: SIEM completo gestito, alta visibilità
Contro: Costo medio-alto, più complesso del MDR
MDR Gestito
Pro: Miglior rapporto costo/protezione
Contro: Personalizzazione limitata rispetto al SOC
Come vedi dalla tabella, il MDR gestito vince per rapporto qualità-prezzo nella stragrande maggioranza delle PMI italiane. Ti dà sorveglianza 24/7, risposta agli incidenti e ricerca proattiva delle minacce a una frazione del costo di un SOC interno — e senza il mal di testa di trovare e tenere analisti specializzati (che in Italia scarseggiano, e quei pochi che ci sono chiedono stipendi da capogiro).
Pricing MDR per Numero di Endpoint
Il costo del MDR cambia in base a quanti dispositivi devi proteggere. Più ne hai, meno paghi per ognuno. Ecco i prezzi aggiornati al 2026 per il mercato italiano:
| Endpoint | Costo/endpoint/mese | Costo mensile totale | Costo annuo |
|---|---|---|---|
| 10 endpoint | €20 - €25 | €200 - €250 | €2.400 - €3.000 |
| 50 endpoint | €12 - €18 | €600 - €900 | €7.200 - €10.800 |
| 100 endpoint | €8 - €15 | €800 - €1.500 | €9.600 - €18.000 |
| 250 endpoint | €5 - €12 | €1.250 - €3.000 | €15.000 - €36.000 |
| 500+ endpoint | €4 - €10 | €2.000 - €5.000 | €24.000 - €60.000 |
Prezzi indicativi IVA esclusa per servizi MDR gestiti, aggiornati a febbraio 2026. Il costo effettivo dipende dal livello di SLA, dai servizi inclusi e dal tipo di endpoint (i server hanno un costo maggiore).
Prezzi indicativi IVA esclusa, aggiornati a febbraio 2026.
Più dispositivi proteggi, meno paghi per ognuno
Funziona come per qualsiasi servizio gestito: il prezzo per dispositivo scende man mano che ne aggiungi. Con 250 dispositivi paghi il 50-60% in meno per ognuno rispetto a chi ne ha 10. Il motivo è semplice: i costi fissi (piattaforma, analisti) si spalmano su più macchine. È uno dei motivi per cui il modello MSP funziona così bene.
I Costi Reali di un SOC Interno
Magari stai pensando: "E se me lo facessi in casa, così ho il pieno controllo?". Legittimo. Ma guarda i numeri prima di decidere:
Personale: 3 analisti di sicurezza (minimo)
Per coprire i turni 24/7 ti servono almeno 3 analisti SOC, piu un SOC Manager part-time. Lo stipendio lordo medio in Italia per un analista SOC: 35.000-50.000 euro. Con contributi e benefit: 50.000-70.000 euro ciascuno. Solo di personale spendi 150.000-210.000 euro all'anno. E trovarli e un'impresa: in Italia mancano oltre 100.000 professionisti di cybersecurity.
SIEM Enterprise (Splunk, QRadar, Sentinel)
Il SIEM (il sistema che raccoglie e incrocia i log di sicurezza da tutti i tuoi dispositivi) e il cuore del SOC. Costo: Splunk Enterprise 30.000-100.000+ euro/anno (in base al volume di dati), Microsoft Sentinel 15.000-50.000 euro/anno, QRadar 25.000-80.000 euro/anno. In piu devi mettere in conto 10.000-25.000 euro per configurarlo e calibrarlo all'inizio.
Tool di sicurezza (EDR, SOAR, TI)
EDR enterprise come CrowdStrike o SentinelOne (il software che sorveglia ogni singolo PC e server): 15.000-40.000 euro/anno. SOAR per automatizzare le risposte: 20.000-50.000 euro/anno. Feed di intelligence sulle minacce: 5.000-20.000 euro/anno. Scanner di vulnerabilita: 5.000-15.000 euro/anno. Totale strumenti: 45.000-125.000 euro/anno.
Server, storage e formazione continua
Server e storage per far girare il SIEM: 10.000-30.000 euro (costo iniziale) + 5.000 euro/anno di manutenzione. Formazione e certificazioni per gli analisti (corsi SANS, OSCP, CEH): 10.000-20.000 euro/anno. Conferenze e aggiornamento continuo: 5.000-10.000 euro/anno.
Totale SOC interno: €200.000 - €500.000+/anno
Sommando tutte le voci: personale (€150.000-210.000) + SIEM (€30.000-100.000) + tool (€45.000-125.000) + infrastruttura e formazione (€25.000-60.000), il costo totale di un SOC interno minimo parte da €250.000/anno. Per un'azienda con 100 endpoint, questo significa un costo di €200+/endpoint/mese — 10-20 volte il costo di un servizio MDR esterno.
Break-Even Analysis: Quando Conviene il SOC Interno?
Il SOC interno conviene solo quando il costo per dispositivo scende sotto quello di un servizio esterno. Facciamo due conti insieme:
100 endpoint
SOC interno: €250.000/anno = €208/endpoint/mese
MDR esterno: €12.000/anno = €10/endpoint/mese
MDR esterno conviene di 20x
250 endpoint
SOC interno: €300.000/anno = €100/endpoint/mese
MDR esterno: €25.000/anno = €8/endpoint/mese
MDR esterno conviene di 12x
500 endpoint
SOC interno: €350.000/anno = €58/endpoint/mese
MDR esterno: €42.000/anno = €7/endpoint/mese
MDR esterno conviene di 8x
1.000+ endpoint
SOC interno: €400.000/anno = €33/endpoint/mese
MDR esterno: €72.000/anno = €6/endpoint/mese
MDR esterno conviene di 5,5x
Il risultato? In termini puramente economici, il pareggio tra SOC interno e MDR esterno non si raggiunge praticamente mai per le PMI. Anche con 1.000 dispositivi, il MDR esterno costa 5-6 volte meno. Il SOC fatto in casa diventa competitivo solo sopra i 2.000 dispositivi, con esigenze di personalizzazione estreme e budget IT sopra il milione di euro all'anno. Se ti serve qualcosa nel mezzo, la soluzione è un modello co-managed: un analista di sicurezza interno che lavora fianco a fianco con un MDR esterno.
Cosa Include un Servizio MDR Completo
Ok, ma nella pratica cosa ti ritrovi dentro un servizio MDR serio come quello che offriamo noi di BullTech? Ecco cosa è incluso nel canone:
Monitoring 24/7/365
Analisti di sicurezza tengono d'occhio i tuoi PC, server e rete in tempo reale: 24 ore su 24, 7 giorni su 7, festivi inclusi. Ogni allarme viene verificato entro 15 minuti.
EDR/XDR avanzato
Tecnologia EDR/XDR (in pratica: un software intelligente su ogni dispositivo che rileva comportamenti sospetti, malware sconosciuti e tentativi di spostarsi da un PC all'altro). Noi usiamo Bitdefender GravityZone e altre piattaforme enterprise.
Incident Response inclusa
Se un attacco viene confermato, gli analisti intervengono subito: isolano il dispositivo colpito, contengono la minaccia, fanno l'indagine e ti guidano nella risoluzione. Tutto incluso nel canone, zero costi extra.
Threat Hunting proattivo
Gli analisti non stanno li ad aspettare che suoni l'allarme: vanno a cercare attivamente tracce di intrusione e tecniche di attacco nei tuoi sistemi, anche se nessun allarme e scattato. Nei piani premium questa caccia alle minacce e settimanale.
Vulnerability management
Scansioni periodiche per trovare le falle nei tuoi sistemi, con una classifica delle priorita basata sul rischio reale e supporto per chiuderle. Si integra con il servizio di checkup delle vulnerabilita.
Reporting e compliance
Report mensili chiari: incidenti gestiti, panorama delle minacce, metriche di sicurezza, consigli pratici. Documentazione pronta anche per gli audit NIS2, GDPR e le certificazioni ISO 27001.
Il servizio MDR si integra con gli altri pezzi della sicurezza: il antivirus aziendale EDR, la protezione delle email, il firewall aziendale e la formazione cybersecurity per una protezione completa su tutti i fronti.
Costi Nascosti del SOC Interno da Considerare
Oltre ai costi che ti ho elencato sopra, un SOC interno ha una serie di costi nascosti che quasi nessuno mette nel budget iniziale:
Turnover e recruiting (il vero killer cost)
In Italia gli analisti SOC cambiano lavoro a un ritmo del 25-30% all'anno. Ogni volta che ne perdi uno, tra ricerca, colloqui, inserimento e formazione perdi 6-9 mesi di stipendio. Con 3 analisti, statisticamente ne perdi uno all'anno: costo nascosto di 25.000-45.000 euro solo per le sostituzioni. E il mercato e talmente competitivo che trovarne uno bravo richiede 3-6 mesi.
Alert fatigue e burnout
Un SOC medio riceve piu di 10.000 allarmi al giorno, e il 95% sono falsi allarmi. Gli analisti che devono smistare tutto questo carico si stancano e iniziano a controllare gli avvisi di fretta o a ignorarli, e cosi rischiano di farsi sfuggire l'attacco vero. Un MDR esterno ha team scalabili e automazioni pensate per gestire questo volume senza cedimenti.
Copertura notturna e festivi
Con solo 3 analisti non riesci a coprire il 24/7. Ti servono turni di notte (con maggiorazioni del 15-30% sullo stipendio), copertura nei festivi e un piano di reperibilita. Oppure accetti il rischio: sappi pero che il 76% degli attacchi ransomware avviene fuori dall'orario di ufficio (Mandiant 2025).
Evoluzione continua delle minacce
Gli attacchi cambiano in continuazione. Il tuo SOC deve aggiornare costantemente le regole di rilevamento, le procedure di risposta, le integrazioni con nuove fonti di intelligence sulle minacce. Tutto questo richiede tempo, competenze e soldi per la formazione continua che una PMI raramente puo permettersi.
Come Scegliere la Soluzione Giusta per la Tua Azienda
La scelta giusta dipende da tre cose: quanti dispositivi hai, quanto puoi spendere e quali obblighi normativi devi rispettare. Ecco una bussola rapida:
PMI (10-100 endpoint, budget IT < €100.000/anno)
Consiglio: MDR Gestito
La scelta ideale per le PMI italiane. Sorveglianza 24/7, risposta agli incidenti e ricerca proattiva delle minacce a un costo sostenibile. Budget indicativo: 200-1.500 euro/mese. Copre i requisiti NIS2 per monitoraggio e gestione degli incidenti.
Mid-Market (100-500 endpoint, budget IT €100.000-500.000/anno)
Consiglio: MDR Gestito Premium o SOC as a Service
MDR premium con garanzie avanzate e ricerca minacce dedicata, oppure SOC as a Service se ti serve la correlazione completa dei log e una compliance piu strutturata. Budget indicativo: 1.500-5.000 euro/mese.
Enterprise (500+ endpoint, budget IT > €500.000/anno)
Consiglio: Co-Managed SOC o SOC as a Service Premium
Un modello ibrido con 1-2 analisti tuoi supportati da un SOC esterno 24/7. Unisce la personalizzazione del SOC interno con la copertura continua del servizio esterno. Budget indicativo: 5.000-15.000 euro/mese.
Vuoi un parere cucito sulla tua situazione? Ti offriamo un checkup di sicurezza gratuito: guardiamo com'è messa la tua azienda oggi e ti consigliamo la soluzione MDR o SOC più adatta — senza impegno. Dai anche un'occhiata alla nostra pagina sulla sicurezza informatica e alla checklist di sicurezza per PMI.
Domande Frequenti sui Costi SOC e MDR
Quanto costa un servizio MDR per una PMI con 50 postazioni?
Con 50 dispositivi tra PC, notebook e server, un servizio MDR gestito ti costa in media tra 500 e 1.000 euro al mese (10-20 euro per dispositivo). Nel canone hai incluso: sorveglianza 24/7, rilevamento minacce, risposta agli incidenti, ricerca proattiva di attacchi nascosti, report mensile e supporto per risolvere i problemi trovati. Il prezzo esatto cambia in base al livello di garanzia (SLA), al tipo di dispositivo (i server costano di piu dei PC) e ai servizi extra come checkup delle vulnerabilita o report di compliance. Noi di BullTech facciamo piani MDR su misura con prezzi trasparenti.
Qual e la differenza tra SOC e MDR in termini di costo?
Il SOC (Security Operations Center) e il centro operativo di sicurezza: analisti dedicati, sistemi SIEM per raccogliere i log, strumenti di automazione e intelligence sulle minacce. Puoi costruirtelo in casa (costa tantissimo: 150.000-500.000+ euro all'anno) oppure comprarlo come servizio esterno (20-50 euro per dispositivo al mese). Il MDR (Managed Detection and Response, cioe rilevamento e risposta gestiti) e piu snello: si basa su EDR/XDR, ossia software che sorveglia ogni PC e server in tempo reale, con analisti che controllano gli alert e intervengono sugli incidenti. Costa meno (5-25 euro per dispositivo al mese) perche non ti serve tutta la struttura di un SOC. Per la maggior parte delle PMI italiane, il MDR da il miglior rapporto costo/protezione.
Un SOC interno conviene per una PMI italiana?
Nella stragrande maggioranza dei casi, no. Per costruirti un SOC interno ti servono almeno 3 analisti di sicurezza (per coprire i turni 24/7), un SIEM enterprise tipo Splunk o QRadar (30.000-100.000+ euro all'anno di licenza), strumenti di intelligence, server dedicati e formazione continua. Totale: si parte da 200.000 euro all'anno e si supera tranquillamente il mezzo milione. Se hai meno di 200 dipendenti, il conto non torna mai: un MDR esterno ti da la stessa protezione (spesso anche migliore) a una frazione del costo. Il SOC interno ha senso solo per aziende grandi con piu di 500 dispositivi e un budget IT sopra il milione di euro all'anno.
Cosa succede se il servizio MDR rileva un attacco?
Funziona cosi: 1) Rilevamento: il software EDR/XDR nota qualcosa di strano e avvisa gli analisti. 2) Verifica: l'analista controlla se e un problema reale o un falso allarme, e assegna una priorita. 3) Contenimento: se la minaccia e confermata, l'analista isola il dispositivo colpito dalla rete in tempo reale (di solito entro 15 minuti). 4) Indagine: si va a fondo per capire da dove e entrato l'attaccante e se si e spostato su altri sistemi. 5) Risoluzione: ti guidiamo passo-passo nella bonifica oppure interveniamo noi direttamente da remoto. 6) Report: ricevi un documento dettagliato con tutto quello che e successo e le raccomandazioni per evitare che ricapiti. Con BullTech tutto questo e gia incluso nel canone MDR.
Il MDR e sufficiente per la compliance NIS2?
Il MDR copre una bella fetta dei requisiti NIS2 sulla sicurezza informatica: sorveglianza continua, rilevamento incidenti, risposta e reportistica. Pero la NIS2 chiede anche altre cose: gestione del rischio, policy di sicurezza scritte, formazione del personale, sicurezza dei fornitori, piani di continuita operativa e notifica alle autorita entro 24 ore. Per essere in regola al 100% con la NIS2, il MDR va affiancato da checkup delle vulnerabilita, formazione cybersecurity, consulenza sulla compliance e un piano di business continuity. Noi di BullTech offriamo pacchetti NIS2 completi che includono MDR piu tutto il resto.
Il team di esperti IT di BullTech Informatica condivide analisi, guide e best practice per la sicurezza e la gestione IT aziendale.
Vuoi sapere quanto costerebbe un MDR per la tua azienda? Chiamaci per un checkup di sicurezza gratuito e un preventivo su misura. Guardiamo com'è messa la tua rete, i tuoi server e i tuoi PC, valutiamo il rischio e ti proponiamo la soluzione giusta per il tuo budget. Dai un'occhiata anche ai nostri piani e prezzi e alla pagina dedicata al servizio SOC/MDR BullTech.