“Quanto costa un SOC?” — la domanda più cercata su Google dagli IT manager italiani nel 2026. E la risposta onesta è: dipende. Un SOC interno per una PMI parte da 500.000 €/anno. Un SOC-as-a-Service parte da 500 €/mese. La differenza è un fattore 80x. In questo articolo mettiamo i numeri sul tavolo, senza giri di parole, con i prezzi reali del mercato italiano 2026.
Indice dei Contenuti
I Tre Modelli: Interno, Outsourced, As-a-Service
Prima di parlare di prezzi, chiariamo le opzioni. Costruire un SOC è come scegliere come avere un ristorante: puoi costruirlo da zero (SOC interno), affittare una cucina attrezzata con il tuo chef (outsourced), o usare un servizio di ghost kitchen dove qualcun altro cucina per te (as-a-service).
SOC Interno
Infrastruttura, personale e tecnologia tuoi
500-800K €/anno
SOC Outsourced
Team dedicato esterno, tecnologia condivisa
80-200K €/anno
SOC-as-a-Service
Tutto gestito dal provider, paghi a consumo
6-36K €/anno
Costi di un SOC Interno (Spoiler: Tanti)
Costruire un SOC interno è la Ferrari della cybersecurity: bellissima, ma la benzina la paghi ogni giorno. Ecco il breakdown reale per il mercato italiano:
| Voce di Costo | Costo Annuo | Note |
|---|---|---|
| Analisti L1 (x3) | 105.000-135.000 € | 35-45K € ciascuno, turni H24 |
| Analisti L2 (x2) | 90.000-120.000 € | 45-60K € ciascuno |
| Analista L3 / Threat Hunter (x1) | 60.000-80.000 € | Difficile da trovare in Italia |
| SOC Manager (x1) | 70.000-90.000 € | Esperienza 7+ anni |
| Licenze SIEM | 50.000-200.000 € | Splunk, QRadar, Sentinel |
| Piattaforma SOAR | 30.000-80.000 € | Automazione risposta |
| Threat Intelligence feeds | 10.000-50.000 € | Feed commerciali + OSINT |
| Infrastruttura + formazione | 30.000-60.000 € | Sala, HW, certificazioni |
| TOTALE | 445.000-815.000 € | Minimo 7 persone FTE |
Il Problema del Personale
In Italia ci sono circa 100.000 posizioni cybersecurity scoperte (ENISA 2025). Trovare analisti SOC qualificati è difficile; trattenerli è ancora più difficile. Il turnover medio nel settore è del 30% annuo. Ogni volta che un analista se ne va, servono 3-6 mesi per sostituirlo e formarlo. Nel frattempo, il vostro SOC ha un buco nella copertura.
Costi di un SOC Outsourced
Il SOC outsourced è un ibrido: un team di analisti dedicato alla vostra azienda, ma che lavora dall'esterno usando tecnologia condivisa. È la scelta delle aziende medie (200-1000 dipendenti) che vogliono un servizio personalizzato senza i costi di un SOC interno.
| Fascia | Endpoint | Costo Annuo | Include |
|---|---|---|---|
| Standard | 100-300 | 80.000-120.000 € | H24, SIEM, incident response |
| Premium | 300-1000 | 120.000-200.000 € | + threat hunting, analista dedicato |
Costi del SOC-as-a-Service
Ed eccoci al modello che ha senso per il 90% delle PMI italiane. Il SOC-as-a-Service funziona come un abbonamento: paghi un canone mensile basato sul numero di endpoint (PC, server, dispositivi) e ottieni monitoraggio, rilevamento e risposta senza investimenti iniziali.
| Piano | Endpoint | Costo/mese | Include |
|---|---|---|---|
| MDR Base | 20-50 | 500-800 € | EDR, monitoraggio H24, risposta incidenti |
| SOCaaS Standard | 50-200 | 1.000-2.000 € | + SIEM, log analysis, compliance reporting |
| SOCaaS Premium | 200-500 | 2.000-3.000 € | + threat hunting, dark web monitoring, forensics |
I numeri parlano da soli: per una PMI con 100 endpoint, un SOC-as-a-Service costa circa 12.000-24.000 €/anno contro i 500.000+ €/anno di un SOC interno. È un risparmio del 95%.
Tabella Comparativa Definitiva
| Criterio | SOC Interno | SOC Outsourced | SOC-as-a-Service |
|---|---|---|---|
| Costo annuo (100 EP) | 500-800K € | 80-120K € | 12-24K € |
| Tempo di attivazione | 6-12 mesi | 1-3 mesi | 1-4 settimane |
| Personale dedicato | 7+ FTE tuoi | 2-3 analisti condivisi | Team condiviso |
| Scalabilità | Bassa | Media | Alta |
| Compliance NIS2 | Completa | Completa | Parziale* |
| Ideale per | Enterprise 1000+ EP | Medie 200-1000 EP | PMI 20-200 EP |
* Il SOC-as-a-Service copre i requisiti tecnici NIS2. Per la compliance completa servono anche gli aspetti organizzativi — che BullTech include nel pacchetto NIS2.
Cosa Scegliere per la Tua PMI
La scelta è più semplice di quanto sembra:
- Meno di 50 endpoint: MDR base (500-800 €/mese). Copertura endpoint H24, risposta incidenti inclusa.
- 50-200 endpoint: SOC-as-a-Service standard (1.000-2.000 €/mese). SIEM + MDR + compliance reporting.
- Oltre 200 endpoint o settore regolamentato: SOCaaS premium o SOC outsourced. Threat hunting dedicato, analisi forense.
L'Offerta BullTech SOC/MDR
Il nostro servizio SOC/MDR con Bitdefender parte da 500 €/mese per PMI con 20-50 endpoint. Include monitoraggio H24, EDR avanzato, threat hunting proattivo, risposta incidenti, report mensile e compliance NIS2 tecnica. Nessun costo di setup, nessun costo per incidente. Come MSP, integriamo il SOC con la gestione quotidiana della vostra infrastruttura IT.
Domande Frequenti
Quanto costa un SOC interno per una PMI?
Un SOC interno per una PMI parte da circa 500.000-800.000 euro/anno come minimo. Il costo principale è il personale: servono almeno 5-6 analisti di sicurezza per coprire turni 24/7/365 (considerando ferie, malattie, turnover), un SOC manager e un analista senior tier 3. In Italia, un analista SOC L1 costa circa 35.000-45.000 euro/anno lordi, un L2 45.000-60.000 euro, un L3 60.000-80.000 euro, il SOC manager 70.000-90.000 euro. A questo si aggiungono le licenze SIEM (50.000-200.000 euro/anno), piattaforme SOAR (30.000-80.000 euro/anno), feed di threat intelligence (10.000-50.000 euro/anno), infrastruttura (sala operativa, ridondanza, schermi) e formazione continua. Per una PMI con meno di 500 dipendenti, un SOC interno non ha senso economico.
Qual è la differenza di costo tra SOC e MDR?
SOC e MDR hanno una sovrapposizione significativa ma non sono la stessa cosa. Un SOC-as-a-Service completo include monitoraggio SIEM, analisi degli alert, threat hunting, gestione degli incidenti, reportistica e compliance — costa tipicamente 1.000-3.000 euro/mese per una PMI con 50-200 endpoint. Un servizio MDR (Managed Detection and Response) è più focalizzato: monitoraggio endpoint (EDR), rilevamento minacce e risposta rapida — costa 500-1.500 euro/mese per lo stesso numero di endpoint. L'MDR è un sottoinsieme del SOC: copre la detection e response sugli endpoint, ma non include necessariamente l'analisi dei log di rete, firewall, cloud. Per la maggior parte delle PMI, un MDR di qualità è sufficiente. Se avete requisiti NIS2 stringenti o gestite dati critici (sanità, finanza), il SOCaaS completo è la scelta giusta.
Il SOC-as-a-Service copre anche la compliance NIS2?
Un buon servizio SOC-as-a-Service copre gran parte dei requisiti tecnici della NIS2, in particolare: il monitoraggio continuo delle minacce (articolo 21, lett. a), la gestione degli incidenti con notifica entro 24 ore (articolo 23), il logging e la tracciabilità degli eventi di sicurezza, e il processo di risposta e recovery. Tuttavia, la NIS2 richiede anche aspetti organizzativi che il SOC da solo non copre: policy di sicurezza documentate, formazione del personale, gestione della supply chain, business continuity planning. BullTech offre un pacchetto NIS2 completo che include SOC/MDR più consulenza organizzativa — scopri il nostro servizio di adeguamento NIS2 per i dettagli.
Posso iniziare con un SOC base e scalare dopo?
Sì, ed è l'approccio che raccomandiamo. La scalabilità è uno dei vantaggi principali del modello as-a-service. Un percorso tipico: Fase 1 — MDR base con monitoraggio endpoint e risposta agli incidenti (500-800 euro/mese per 50 endpoint). Dopo 3-6 mesi, quando avete familiarità con il servizio e i report, Fase 2 — aggiunta del monitoraggio log firewall e cloud (800-1.500 euro/mese). Se necessario per compliance o crescita, Fase 3 — SOCaaS completo con threat hunting dedicato, dark web monitoring e analisi forense on-demand (1.500-3.000 euro/mese). Ogni fase si attiva con un upgrade contrattuale, senza investimenti in hardware o personale aggiuntivo. È fondamentale scegliere un provider che supporti questa scalabilità senza lock-in.
Quali sono i costi nascosti di un SOC-as-a-Service?
I costi nascosti da verificare prima di firmare sono: (1) Costo per incidente — alcuni provider fatturano extra per la gestione degli incidenti critici o l'analisi forense, che può costare 2.000-10.000 euro per incidente. Verificate che sia incluso nel canone. (2) Onboarding — la configurazione iniziale (integrazione log, tuning regole, baseline comportamentale) può costare 2.000-5.000 euro una tantum. (3) Retention dei log — la conservazione dei log oltre i 90 giorni standard può avere costi aggiuntivi di 100-500 euro/mese. Per NIS2 servono minimo 12 mesi. (4) Report custom — alcuni provider fanno pagare i report personalizzati per audit o compliance. (5) Escalation fuori orario — verificate che il 24/7 sia reale e non solo 'best effort' di notte. BullTech include gestione incidenti, onboarding, retention 13 mesi e report compliance nel canone standard, senza sorprese.
La sicurezza non è un costo, è un investimento con ROI misurabile. Se vuoi scoprire quale modello SOC è il più adatto alla tua PMI, contattaci per un assessment gratuito. Analizziamo la tua infrastruttura e ti presentiamo un preventivo personalizzato senza impegno.