"Quanto costa un SOC o un servizio MDR per la mia azienda?" È una domanda sempre più frequente tra gli IT manager e i CFO delle PMI italiane, specialmente con l'entrata in vigore della direttiva NIS2. La risposta rapida: un servizio MDR gestito costa tra €5 e €25 per endpoint al mese, mentre un SOC interno parte da €50.000 e supera facilmente i €200.000 all'anno. In questa guida analizziamo ogni opzione con numeri concreti, tabelle comparative e un'analisi di break-even per aiutarti a scegliere la soluzione giusta senza sovra-spendere.
Indice dei Contenuti
- 1. SOC Interno vs SOC as a Service vs MDR: Il Confronto
- 2. Pricing MDR per Numero di Endpoint
- 3. I Costi Reali di un SOC Interno
- 4. Break-Even Analysis: Quando Conviene il SOC Interno
- 5. Cosa Include un Servizio MDR
- 6. Costi Nascosti del SOC Interno
- 7. Come Scegliere la Soluzione Giusta
- 8. Domande Frequenti
SOC Interno vs SOC as a Service vs MDR: Il Confronto Completo
Prima di analizzare i prezzi, è fondamentale capire le differenze tra le tre principali opzioni di security monitoring disponibili per le aziende:
| Criterio | SOC Interno | SOC as a Service | MDR Gestito |
|---|---|---|---|
| Costo annuo indicativo | €150.000 - €500.000+ | €30.000 - €150.000 | €6.000 - €75.000 |
| Costo per endpoint/mese | €50 - €200+ | €20 - €50 | €5 - €25 |
| Personale richiesto | 3-8 analisti interni | Nessuno (esterno) | Nessuno (esterno) |
| Monitoring | 24/7 (se 3+ analisti) | 24/7 incluso | 24/7 incluso |
| Tecnologia base | SIEM + SOAR + EDR | SIEM + SOAR gestiti | EDR/XDR gestito |
| Incident Response | Interna | Guidata/ibrida | Inclusa e gestita |
| Threat Hunting | Se risorse disponibili | Incluso (base) | Incluso (proattivo) |
| Personalizzazione | Massima | Media-alta | Media |
SOC Interno
Pro: Massima personalizzazione
Contro: Costi elevatissimi, difficolta recruiting
SOC as a Service
Pro: SIEM completo gestito, alta visibilita
Contro: Costo medio-alto, piu complesso del MDR
MDR Gestito
Pro: Miglior rapporto costo/protezione
Contro: Personalizzazione limitata rispetto al SOC
Come evidenziato dalla tabella, il MDR gestito offre il miglior rapporto costo/protezione per la stragrande maggioranza delle PMI italiane. Offre monitoring 24/7, incident response e threat hunting a una frazione del costo di un SOC interno, senza la complessità di gestire personale specializzato e infrastruttura SIEM.
Pricing MDR per Numero di Endpoint
Il costo di un servizio MDR scala con il numero di endpoint protetti. Ecco i range di prezzo aggiornati al 2026 per il mercato italiano:
| Endpoint | Costo/endpoint/mese | Costo mensile totale | Costo annuo |
|---|---|---|---|
| 10 endpoint | €20 - €25 | €200 - €250 | €2.400 - €3.000 |
| 50 endpoint | €12 - €18 | €600 - €900 | €7.200 - €10.800 |
| 100 endpoint | €8 - €15 | €800 - €1.500 | €9.600 - €18.000 |
| 250 endpoint | €5 - €12 | €1.250 - €3.000 | €15.000 - €36.000 |
| 500+ endpoint | €4 - €10 | €2.000 - €5.000 | €24.000 - €60.000 |
Prezzi indicativi IVA esclusa per servizi MDR gestiti, aggiornati a febbraio 2026. Il costo effettivo dipende dal livello di SLA, dai servizi inclusi e dal tipo di endpoint (i server hanno un costo maggiore).
Prezzi indicativi IVA esclusa, aggiornati a febbraio 2026.
Economia di scala: più endpoint, meno costi per unità
Come per ogni servizio gestito, il costo per endpoint diminuisce all'aumentare del numero di dispositivi protetti. Un'azienda con 250 endpoint paga il 50-60% in meno per unità rispetto a una con 10. Questo perché i costi fissi (piattaforma, analisti) vengono distribuiti su un numero maggiore di endpoint. È uno dei motivi per cui il modello MSP è così efficiente.
I Costi Reali di un SOC Interno
Molte aziende considerano l'idea di costruire un SOC interno per avere il massimo controllo. Ecco una stima dettagliata di tutti i costi coinvolti:
Personale: 3 analisti di sicurezza (minimo)
Per coprire i turni 24/7 servono almeno 3 analisti SOC (L1/L2), piu un SOC Manager part-time. RAL media in Italia per un SOC analyst: €35.000-50.000. Con contributi e benefit: €50.000-70.000 ciascuno. Costo totale personale: €150.000-210.000/anno. E trovare analisti qualificati e una sfida: il mercato italiano ha un gap di 100.000+ professionisti cybersecurity.
SIEM Enterprise (Splunk, QRadar, Sentinel)
Un SIEM enterprise e il cuore del SOC: raccoglie e correla i log da tutti i dispositivi. Costo: Splunk Enterprise €30.000-100.000+/anno (basato su volume dati), Microsoft Sentinel €15.000-50.000/anno, QRadar €25.000-80.000/anno. A questo si aggiunge il costo di integrazione e tuning iniziale: €10.000-25.000.
Tool di sicurezza (EDR, SOAR, TI)
EDR enterprise (CrowdStrike, SentinelOne): €15.000-40.000/anno. SOAR per automazione: €20.000-50.000/anno. Threat Intelligence feeds: €5.000-20.000/anno. Vulnerability scanner: €5.000-15.000/anno. Totale tool: €45.000-125.000/anno.
Infrastruttura e formazione continua
Server e storage per il SIEM: €10.000-30.000 (iniziale) + €5.000/anno manutenzione. Formazione e certificazioni per gli analisti (SANS, OSCP, CEH): €10.000-20.000/anno. Partecipazione a conferenze e aggiornamento continuo: €5.000-10.000/anno.
Totale SOC interno: €200.000 - €500.000+/anno
Sommando tutte le voci: personale (€150.000-210.000) + SIEM (€30.000-100.000) + tool (€45.000-125.000) + infrastruttura e formazione (€25.000-60.000), il costo totale di un SOC interno minimo parte da €250.000/anno. Per un'azienda con 100 endpoint, questo significa un costo di €200+/endpoint/mese — 10-20 volte il costo di un servizio MDR esterno.
Break-Even Analysis: Quando Conviene il SOC Interno?
Il SOC interno ha senso economico solo quando il costo per endpoint scende sotto quello di un servizio esterno. Facciamo i conti:
100 endpoint
SOC interno: €250.000/anno = €208/endpoint/mese
MDR esterno: €12.000/anno = €10/endpoint/mese
MDR esterno conviene di 20x
250 endpoint
SOC interno: €300.000/anno = €100/endpoint/mese
MDR esterno: €25.000/anno = €8/endpoint/mese
MDR esterno conviene di 12x
500 endpoint
SOC interno: €350.000/anno = €58/endpoint/mese
MDR esterno: €42.000/anno = €7/endpoint/mese
MDR esterno conviene di 8x
1.000+ endpoint
SOC interno: €400.000/anno = €33/endpoint/mese
MDR esterno: €72.000/anno = €6/endpoint/mese
MDR esterno conviene di 5,5x
Il break-even tra SOC interno e MDR esterno in termini puramente economici non si raggiunge quasi mai per le PMI. Anche con 1.000 endpoint, il MDR esterno costa 5-6 volte meno. Il SOC interno diventa competitivo solo per organizzazioni con 2.000+ endpoint, esigenze di personalizzazione estrema e budget IT superiore a €1M/anno. Per le aziende che necessitano di un livello intermedio, la soluzione è un modello co-managed: un IT security analyst interno supportato da un MDR esterno.
Cosa Include un Servizio MDR Completo
Un servizio MDR di qualità come quello offerto da BullTech include una serie di componenti essenziali per la protezione aziendale:
Monitoring 24/7/365
Analisti di sicurezza monitorano i tuoi endpoint in tempo reale, 24 ore su 24, 7 giorni su 7, festivi inclusi. Ogni alert viene triaged entro 15 minuti dalla rilevazione.
EDR/XDR avanzato
Tecnologia Endpoint Detection & Response (o Extended DR) che rileva comportamenti anomali, malware zero-day, movimenti laterali e tentativi di escalation. Integrazione con Bitdefender GravityZone e altre piattaforme enterprise.
Incident Response inclusa
In caso di attacco confermato, gli analisti intervengono immediatamente: isolamento dell'endpoint, contenimento della minaccia, investigazione forense e guida alla remediation. Tutto incluso nel canone.
Threat Hunting proattivo
Gli analisti non aspettano gli alert: cercano attivamente indicatori di compromissione (IoC) e tattiche avanzate (TTP) nella tua infrastruttura. Threat hunting settimanale incluso nei piani premium.
Vulnerability management
Scansioni periodiche per identificare vulnerabilità nei tuoi sistemi, prioritizzazione basata sul rischio e supporto per la remediation. Integrato con il servizio di vulnerability assessment.
Reporting e compliance
Report mensili dettagliati: incidenti gestiti, threat landscape, metriche di sicurezza, raccomandazioni. Documentazione utile per audit NIS2, GDPR e certificazioni ISO 27001.
Il servizio MDR si integra perfettamente con altri servizi di sicurezza come il antivirus aziendale EDR, la email security, il firewall aziendale e la formazione cybersecurity per una protezione a 360 gradi.
Costi Nascosti del SOC Interno da Considerare
Oltre ai costi diretti già analizzati, un SOC interno comporta una serie di costi nascosti che spesso non vengono considerati nel budget iniziale:
Turnover e recruiting (il vero killer cost)
Il turnover medio degli analisti SOC in Italia e del 25-30% annuo. Ogni sostituzione costa 6-9 mesi di RAL tra recruiting, onboarding e ramp-up. Con 3 analisti, perdi statisticamente 1 persona all'anno: costo nascosto di €25.000-45.000/anno solo per il turnover. In piu, il mercato e cosi competitivo che trovare un SOC analyst qualificato richiede 3-6 mesi.
Alert fatigue e burnout
Un SOC medio riceve 10.000+ alert al giorno, di cui il 95% sono falsi positivi. Gli analisti sottoposti a questo carico sviluppano alert fatigue: iniziano a ignorare o processare superficialmente gli alert, aumentando il rischio di miss detection. Con un MDR esterno, il provider ha team scalabili e processi automatizzati per gestire il volume.
Copertura notturna e festivi
Con soli 3 analisti non puoi coprire 24/7. Servono turni notturni (con maggiorazioni salariali del 15-30%), copertura festivi e un piano di reperibilita. Oppure accetti il rischio: il 76% degli attacchi ransomware avviene fuori orario lavorativo (Mandiant 2025).
Evoluzione continua delle minacce
Le tecniche di attacco evolvono costantemente. Il SOC deve aggiornare continuamente le regole di detection, i playbook di risposta, le integrazioni con nuove fonti di threat intelligence. Questo richiede tempo, competenze e budget per formazione continua che le PMI raramente possono sostenere.
Come Scegliere la Soluzione Giusta per la Tua Azienda
La scelta dipende da tre fattori: dimensione dell'azienda, budget disponibile e requisiti di compliance. Ecco una guida rapida:
PMI (10-100 endpoint, budget IT < €100.000/anno)
Consiglio: MDR Gestito
La scelta migliore per le PMI italiane. Monitoring 24/7, incident response e threat hunting a un costo sostenibile. Budget indicativo: €200-1.500/mese. Copre i requisiti NIS2 di monitoring e incident response.
Mid-Market (100-500 endpoint, budget IT €100.000-500.000/anno)
Consiglio: MDR Gestito Premium o SOC as a Service
MDR premium con SLA avanzati e threat hunting dedicato, oppure SOC as a Service per chi ha bisogno di correlazione SIEM completa e compliance avanzata. Budget indicativo: €1.500-5.000/mese.
Enterprise (500+ endpoint, budget IT > €500.000/anno)
Consiglio: Co-Managed SOC o SOC as a Service Premium
Un modello ibrido con 1-2 analisti interni supportati da un SOC esterno 24/7. Combina la personalizzazione del SOC interno con la scalabilita e copertura del servizio esterno. Budget indicativo: €5.000-15.000/mese.
Per una valutazione personalizzata, BullTech offre un assessment di sicurezza gratuito che analizza la tua postura di sicurezza attuale e ti consiglia la soluzione MDR/SOC più adatta. Approfondisci anche la nostra pagina sicurezza informatica e la guida alla checklist sicurezza PMI.
Domande Frequenti sui Costi SOC e MDR
Quanto costa un servizio MDR per una PMI con 50 postazioni?
Per una PMI con 50 endpoint (PC, notebook, server), un servizio MDR gestito costa in media tra €500 e €1.000 al mese (€10-20/endpoint/mese). Questo include: monitoring 24/7, threat detection, incident response, threat hunting proattivo, reporting mensile e supporto per la remediation. Il costo esatto dipende dal livello di SLA, dal tipo di endpoint (server costano di piu dei PC) e dai servizi aggiuntivi (vulnerability assessment, compliance reporting). BullTech offre piani MDR personalizzati con pricing trasparente.
Qual e la differenza tra SOC e MDR in termini di costo?
Il SOC (Security Operations Center) e una struttura completa con analisti dedicati, SIEM, SOAR e tool di threat intelligence. Puo essere interno (costi altissimi: €150.000-500.000+/anno) o esterno (SOC as a Service: €20-50/endpoint/mese). Il MDR (Managed Detection and Response) e un servizio piu focalizzato: utilizza EDR/XDR come tecnologia base, con analisti che monitorano gli alert e rispondono agli incidenti. Costa meno (€5-25/endpoint/mese) perche non richiede l'intera infrastruttura SOC. Per la maggior parte delle PMI italiane, il MDR offre il miglior rapporto costo/protezione.
Un SOC interno conviene per una PMI italiana?
Nella quasi totalita dei casi, no. Un SOC interno minimo richiede almeno 3 analisti di sicurezza (per coprire turni 24/7), un SIEM enterprise (Splunk, QRadar: €30.000-100.000+/anno), tool di threat intelligence, infrastruttura dedicata e formazione continua. Il costo totale parte da €200.000/anno e puo superare i €500.000. Per una PMI con meno di 200 dipendenti, il break-even non si raggiunge mai: un servizio MDR esterno offre la stessa (o migliore) protezione a una frazione del costo. Il SOC interno ha senso solo per aziende enterprise con piu di 500 endpoint e budget IT dedicato superiore a €1M/anno.
Cosa succede se il servizio MDR rileva un attacco?
Un buon servizio MDR segue un processo strutturato: 1) Detection: il sistema rileva l'anomalia tramite EDR/XDR e la segnala agli analisti. 2) Triage: l'analista classifica la severita (critica, alta, media, bassa) e verifica se e un falso positivo. 3) Containment: per minacce confermate, l'analista puo isolare l'endpoint compromesso dalla rete in tempo reale (mediamente entro 15 minuti). 4) Investigation: analisi approfondita dell'incidente, identificazione del vettore di attacco e dell'eventuale lateral movement. 5) Remediation: guida passo-passo per la bonifica o intervento diretto da remoto. 6) Reporting: report dettagliato dell'incidente con raccomandazioni per prevenire recidive. Con BullTech, tutto questo e incluso nel canone MDR.
Il MDR e sufficiente per la compliance NIS2?
Il MDR copre una parte significativa dei requisiti NIS2 relativi alla sicurezza informatica: monitoring continuo, incident detection, incident response e reporting. Tuttavia, la NIS2 richiede anche: gestione del rischio, policy di sicurezza documentate, formazione del personale, sicurezza della supply chain, business continuity e notifica alle autorita entro 24 ore. Per una compliance NIS2 completa, il MDR deve essere integrato con servizi aggiuntivi come vulnerability assessment, formazione cybersecurity, consulenza compliance e un piano di business continuity. BullTech offre pacchetti NIS2 completi che includono MDR + tutti i servizi necessari.
Il team di esperti IT di BullTech Informatica condivide analisi, guide e best practice per la sicurezza e la gestione IT aziendale.
Vuoi scoprire quanto costerebbe un servizio MDR per la tua azienda? Contattaci per un assessment di sicurezza gratuito e un preventivo personalizzato. Analizzeremo la tua infrastruttura, valuteremo il livello di rischio e ti proporremo la soluzione più adatta al tuo budget. Scopri anche i nostri piani e prezzi e la pagina dedicata al servizio SOC/MDR BullTech.