Nel 2025, il 40% degli attacchi ransomware alle PMI italiane è partito da un accesso remoto mal configurato — VPN senza MFA, RDP esposto su internet, credenziali condivise tra colleghi. Non sono ipotesi: sono i dati del rapporto Clusit 2025. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB) con oltre 200 clienti B2B, ha configurato più di 150 infrastrutture di accesso remoto sicuro. In questa guida ti spieghiamo come proteggere gli accessi remoti della tua azienda — con numeri reali, confronti onesti e zero fuffa.
Perché gli accessi remoti sono il bersaglio numero uno
Lo smart working ha cambiato tutto. Prima del 2020, il 90% dei dipendenti lavorava in ufficio e l'accesso remoto era un'eccezione. Oggi il 45% delle PMI italiane ha almeno una parte del personale che lavora da casa regolarmente. Il problema è che molte aziende hanno improvvisato: hanno aperto l'accesso remoto in fretta durante il COVID e non l'hanno mai messo in sicurezza dopo.
Il risultato? Una superficie di attacco enorme. Ogni accesso remoto è una porta che un attaccante può provare ad aprire. E se quella porta ha una serratura debole (password semplice, niente MFA, protocollo obsoleto), prima o poi qualcuno la apre. Non è questione di se, ma di quando.
I vettori di attacco più comuni sugli accessi remoti nel 2025 sono stati: RDP esposto su internet (40% degli attacchi), VPN con credenziali compromesse e senza MFA (25%), phishing mirato per rubare credenziali VPN (20%), e sfruttamento di vulnerabilità note in concentratori VPN non aggiornati (15%). Ognuno di questi è prevenibile al 100% con le misure giuste.
VPN vs Zero Trust vs ZTNA: le 3 strade per l'accesso remoto
Quando parliamo di accesso remoto sicuro nel 2026, ci sono 3 approcci principali. Ognuno ha vantaggi e svantaggi, e la scelta dipende dalla dimensione della tua azienda, dal budget e dal tipo di applicazioni che usi.
VPN tradizionale: il cavallo di battaglia
La VPN (Virtual Private Network) crea un tunnel crittografato tra il dispositivo del dipendente e la rete aziendale. Una volta connesso, il dipendente è “dentro” la rete come se fosse in ufficio. È la soluzione più diffusa e matura: Fortinet FortiClient, Sophos Connect, OpenVPN, WireGuard.
Vantaggi: costo basso (5-15 €/utente/mese, spesso inclusa nella licenza del firewall), semplice da implementare, compatibile con qualsiasi applicazione (anche quelle legacy che girano su server interni). Svantaggi: una volta connesso, l'utente ha accesso a tutta la rete (a meno che non configuri split tunneling e ACL granulari), le performance dipendono dalla banda internet dell'utente, e se le credenziali vengono compromesse l'attaccante ha accesso a tutto.
Zero Trust: il cambio di paradigma
Lo Zero Trust non è un prodotto, è una filosofia: “non fidarti di nessuno, verifica sempre”. In pratica significa che ogni accesso, anche dall'interno della rete, deve essere autenticato, autorizzato e crittografato. Non basta essere “dentro la VPN” per avere accesso: ogni richiesta viene verificata in base all'identità dell'utente, al dispositivo usato, alla posizione, all'orario e al livello di rischio.
Implementare Zero Trust completo richiede: Identity Provider centralizzato (Azure AD, Okta), MFA ovunque, micro-segmentazione della rete, monitoraggio continuo, policy di accesso condizionale. È un percorso, non un interruttore. Per una PMI, l'implementazione completa richiede 6-12 mesi e un budget di 15.000-40.000 € (consulenza + strumenti).
ZTNA: Zero Trust in versione pratica
ZTNA (Zero Trust Network Access) è il compromesso tra VPN tradizionale e Zero Trust completo. Invece di connettere l'utente a tutta la rete, ZTNA dà accesso solo alle specifiche applicazioni autorizzate. L'utente non “entra nella rete”: vede solo le app che deve usare. Zscaler Private Access, Cloudflare Access, Fortinet ZTNA e Palo Alto Prisma Access sono i leader.
Vantaggi: superficie di attacco ridotta al minimo (se le credenziali vengono compromesse, l'attaccante vede solo le app autorizzate, non tutta la rete), nessuna porta aperta verso internet, funziona anche senza firewall on-premise. Svantaggi: costo più alto (8-20 €/utente/mese), richiede che le applicazioni siano “pubblicabili” (difficile con software legacy che girano su server interni con porte proprietarie), e aggiunge latenza perché il traffico passa dal cloud del provider.
Confronto: VPN vs ZTNA vs Zero Trust completo
| Caratteristica | VPN tradizionale | ZTNA | Zero Trust completo |
|---|---|---|---|
| Costo per utente/mese | 5-15 € | 8-20 € | 15-35 € |
| Accesso alla rete | Intera rete (o subnet) | Solo app autorizzate | Solo risorse verificate |
| MFA richiesta | Opzionale (ma fortemente consigliata) | Integrata | Obbligatoria ovunque |
| Compatibilità app legacy | Eccellente | Limitata | Media |
| Setup PMI 30 utenti | 1-3 giorni, 500-1.500 € | 3-7 giorni, 2.000-5.000 € | 3-6 mesi, 15.000-40.000 € |
| Porte esposte su internet | 1 (porta VPN) | 0 (outbound only) | 0 |
| Ideale per | PMI < 50 utenti, app legacy | PMI 50-200 utenti, app cloud | Enterprise 200+ utenti |
RDP: il rischio nascosto che molti ignorano
Lo diciamo chiaro: se nella tua azienda qualcuno accede al desktop remoto (RDP) collegandosi direttamente alla porta 3389 esposta su internet, hai un problema serio. Non domani: adesso. La porta 3389 esposta è come lasciare la porta dell'ufficio aperta di notte con un cartello “entrate pure”.
I numeri parlano chiaro: nel 2025, Shodan (il motore di ricerca per dispositivi connessi) ha trovato oltre 12.000 server RDP esposti in Italia. Di questi, il 35% aveva credenziali deboli (admin/admin, password123, nome azienda + anno). Gli attaccanti usano tool automatizzati che provano migliaia di combinazioni al secondo (brute force): se la password non è forte e non c'è MFA, è questione di ore, non di giorni.
Come usare RDP in modo sicuro: mai esporre la porta 3389 su internet. L'accesso RDP deve passare sempre attraverso una VPN o un jump server (bastion host). Attiva il Network Level Authentication (NLA) su tutti i server RDP. Imposta il blocco account dopo 5 tentativi falliti. Usa MFA anche per l'accesso RDP (con Duo Security o Azure MFA). Monitora i log di accesso RDP con un SIEM o almeno con gli Event Viewer di Windows.
MFA: la misura singola più efficace
Se potessi fare una sola cosa per proteggere gli accessi remoti, sarebbe questa: attiva la MFA (Multi-Factor Authentication) su tutto. VPN, email, desktop remoto, applicazioni cloud. Tutto. Senza eccezioni.
La MFA aggiunge un secondo fattore di verifica oltre alla password: un codice temporaneo sull'app del telefono (TOTP), una notifica push da approvare, o una chiave hardware (FIDO2). Anche se un attaccante ruba la password, senza il secondo fattore non entra.
Le opzioni sul mercato nel 2026: Microsoft Authenticator è gratuito con Microsoft 365 ed è la scelta naturale per chi usa Exchange, SharePoint e Teams. Google Authenticator è gratuito e universale, ma non ha gestione centralizzata. Duo Security (3-6 €/utente/mese) è il top per la gestione enterprise: dashboard centralizzata, policy per dispositivo, integrazione con qualsiasi VPN e applicazione. Chiavi FIDO2 (YubiKey, 45-70 € una tantum per chiave) sono il metodo più sicuro in assoluto: inattaccabili da phishing.
Jump server: il custode della rete
Un jump server (o bastion host) è un server dedicato che fa da punto di ingresso unico per tutti gli accessi remoti all'infrastruttura. Invece di connettersi direttamente ai server, i tecnici si collegano prima al jump server (via VPN + MFA) e da lì accedono ai sistemi interni.
Perché usarlo: un singolo punto di accesso è più facile da monitorare e proteggere. Tutti i log degli accessi sono centralizzati. Si possono registrare le sessioni (session recording) per audit. Si limitano gli orari di accesso. Si controlla chi accede a cosa.
Costo: un jump server su una VM dedicata costa 500-1.500 € di setup una tantum più 50-100 €/mese per la manutenzione. Per PMI con 5+ tecnici che accedono all'infrastruttura da remoto, è un investimento che si ripaga al primo incidente evitato.
Confronto vendor: Fortinet vs Zscaler vs Cloudflare Access
Ecco il confronto basato sulla nostra esperienza diretta con questi 3 vendor per l'accesso remoto aziendale.
| Caratteristica | Fortinet (VPN + ZTNA) | Zscaler ZPA | Cloudflare Access |
|---|---|---|---|
| Tipo | VPN + ZTNA ibrido | ZTNA cloud-native | ZTNA cloud-native |
| Costo per utente/mese | 5-15 € (incluso nel firewall) | 15-25 € | 6-10 € (fino 50 utenti free) |
| Richiede firewall on-premise | Sì (FortiGate) | No (connector leggero) | No (tunnel Cloudflare) |
| App legacy supportate | Tutte (VPN full tunnel) | Limitato (serve App Connector) | Limitato (web-based) |
| MFA integrata | Sì (FortiToken o terze parti) | Sì (integra qualsiasi IdP) | Sì (integra qualsiasi IdP) |
| Ideale per | PMI con firewall Fortinet esistente | Mid-market, app cloud-native | PMI, budget contenuto, app web |
Il nostro consiglio pratico: se hai già un firewall Fortinet o Sophos, usa la VPN integrata con MFA attiva e configura le ACL per limitare l'accesso alle sole risorse necessarie. Costi aggiuntivi: zero (la VPN è inclusa nella licenza). Se stai valutando una soluzione nuova e hai applicazioni web-based, Cloudflare Access è il miglior rapporto qualità/prezzo: fino a 50 utenti è gratuito. Per aziende sopra i 50 utenti con esigenze avanzate, Zscaler ZPA è la Rolls-Royce del ZTNA.
Checklist: 10 regole per l'accesso remoto sicuro
Ecco la checklist che usiamo per ogni nuovo cliente. Se anche solo una di queste regole non è rispettata, hai un problema.
1. MFA attiva su tutti gli accessi remoti. VPN, email, desktop remoto, cloud. Zero eccezioni, neanche per il titolare.
2. RDP mai esposto su internet. La porta 3389 deve essere bloccata in ingresso sul firewall. Accesso RDP solo via VPN o jump server.
3. VPN con crittografia forte. Minimo AES-256 per la cifratura, certificati digitali per l'autenticazione (non solo username/password). IKEv2 o WireGuard come protocollo.
4. Split tunneling configurato. Solo il traffico aziendale passa dalla VPN; il traffico internet personale va diretto. Riduce il carico sulla VPN e migliora le performance.
5. Timeout di sessione. La VPN si disconnette dopo 8 ore di inattività o a fine giornata lavorativa. Mai sessioni VPN aperte 24/7.
6. Controllo postura del dispositivo. Prima di connettersi, il client VPN verifica che il PC abbia: antivirus aggiornato, sistema operativo patchato, disco crittografato. Se non rispetta i requisiti, la connessione viene rifiutata.
7. Account nominativi. Mai account VPN condivisi tra colleghi. Ogni dipendente ha le sue credenziali. Quando qualcuno lascia l'azienda, l'account viene disattivato lo stesso giorno.
8. Log centralizzati. Tutti gli accessi VPN vengono loggati: chi si collega, quando, da dove, per quanto tempo. I log vanno conservati per almeno 6 mesi.
9. Aggiornamenti del concentratore VPN. Il firmware del firewall/concentratore VPN deve essere aggiornato entro 30 giorni dal rilascio di una patch di sicurezza critica.
10. Test periodici. Ogni 6 mesi, verifica che le regole siano ancora attuali, che non ci siano account orfani attivi, e che la MFA funzioni correttamente per tutti gli utenti.
Smart working e accessi remoti: la realtà delle PMI italiane
Parliamoci chiaro: la maggior parte delle PMI italiane nel 2026 non ha bisogno di una soluzione ZTNA da 20 euro/utente/mese. Ha bisogno di una VPN configurata bene con la MFA attiva. Il problema non è la tecnologia: è la configurazione.
Nella nostra esperienza con oltre 200 clienti in smart working, il 70% dei problemi di sicurezza sugli accessi remoti si risolve con 3 azioni: attivare la MFA (costo: zero con Microsoft Authenticator), chiudere la porta RDP sul firewall (costo: 10 minuti di configurazione), e aggiornare il firmware del firewall (costo: 1 ora di lavoro). Totale: meno di 2 ore di lavoro per chiudere il 70% dei rischi.
Il restante 30% richiede interventi più strutturati: segmentazione della rete con VLAN (ne parliamo nella nostra guida alla VPN aziendale), implementazione di un jump server per gli accessi amministrativi, policy di accesso condizionale (orari, dispositivi autorizzati, geolocalizzazione), e un piano di cybersecurity Milano strutturato.
Un dato finale: il costo medio di un incidente di sicurezza legato ad accessi remoti compromessi per una PMI italiana è di 85.000 euro (fonte: Clusit). Mettere in sicurezza gli accessi remoti costa 1.500-5.000 euro una tantum più 150-500 euro/mese di gestione. Fai tu i conti. Se hai bisogno di supporto per mettere in sicurezza i tuoi accessi, il nostro team di assistenza informatica a Milano può intervenire in giornata.
Vuoi verificare la sicurezza dei tuoi accessi remoti?
BullTech offre un check-up gratuito di 30 minuti: verifichiamo configurazione VPN, porte esposte, MFA, policy di accesso e log. Report chiaro, zero impegno. Chiamaci al 039 6099 023 o scrivici.