Il 74% delle violazioni di rete aziendale nel 2025 ha coinvolto la rete Wi-Fi come vettore di ingresso (fonte: Verizon DBIR 2025). Il problema non e il Wi-Fi in se — e come viene configurato. Ancora oggi il 43% delle PMI italiane usa la stessa password Wi-Fi per dipendenti e ospiti, senza segmentazione VLAN e spesso con WPA2-Personal. Noi di BullTech Informatica, da Vimercate (MB), abbiamo messo in sicurezza oltre 150 reti wireless aziendali negli ultimi 15 anni. In questa guida ti spieghiamo come fare le cose per bene, senza spendere una fortuna.
Perche la Sicurezza del Wi-Fi Aziendale e Fondamentale
Partiamo da un fatto che molti sottovalutano: il Wi-Fi e l'unica parte della tua rete che esce fisicamente dalle mura dell'ufficio. Il segnale wireless attraversa pareti, finestre, e arriva nel parcheggio, nel bar di fronte, nell'ufficio del vicino. Chiunque con un portatile e gli strumenti giusti puo "vedere" la tua rete.
Con un cavo Ethernet devi entrare fisicamente in ufficio per connetterti. Con il Wi-Fi basta sedersi in macchina nel parcheggio. Ecco perche la rete wireless richiede attenzioni di sicurezza specifiche che vanno ben oltre la scelta di una password robusta.
I rischi concreti di un Wi-Fi mal configurato
- • Intercettazione dati: con WPA2-Personal e strumenti come Wireshark, un attaccante nella stessa rete puo catturare traffico non cifrato
- • Evil Twin: un access point fasullo con lo stesso nome della tua rete inganna i dispositivi dei dipendenti
- • Movimento laterale: senza VLAN, chi buca il Wi-Fi guest accede a server e NAS aziendali
- • Credential theft: attacchi a dizionario sulla PSK condivisa (WPA2-Personal) con hashcat in poche ore
- • Compliance: GDPR e NIS2 richiedono misure di protezione adeguate sulla rete — il Wi-Fi aperto non lo e
WPA3 Enterprise vs WPA3 Personal: Quale Scegliere
WPA3 e lo standard di cifratura Wi-Fi attuale, rilasciato dalla Wi-Fi Alliance nel 2018 e ormai supportato da tutti i dispositivi venduti dal 2020 in poi. Ma c'e una differenza enorme tra le due varianti, e capirla e fondamentale.
WPA3-Personal (SAE)
Funziona con una password condivisa (Pre-Shared Key): tutti i dispositivi usano la stessa password per connettersi. Il miglioramento rispetto a WPA2-Personal e il protocollo SAE (Simultaneous Authentication of Equals), che elimina la possibilita di attacchi a dizionario offline. In pratica: anche se qualcuno cattura l'handshake, non puo provare milioni di password offline con hashcat. Deve provare ogni password online, contro l'access point, che dopo pochi tentativi lo blocca.
Quando va bene: uffici piccolissimi (sotto 5 persone) dove il turnover e zero e tutti si fidano di tutti. Anche cosi, resta il problema che se qualcuno se ne va devi cambiare la password a tutti.
WPA3-Enterprise (802.1X + RADIUS)
Ogni utente ha le proprie credenziali personali (username + password, oppure certificato). L'autenticazione passa da un server RADIUS che verifica l'identita prima di concedere l'accesso. Se un dipendente lascia l'azienda, disabiliti il suo account RADIUS e basta — nessun impatto sugli altri.
Quando serve: praticamente sempre, per qualsiasi azienda con piu di 5-10 dipendenti. I vantaggi vanno oltre la sicurezza: hai un log di chi si connette, quando, da quale dispositivo. Puoi assegnare VLAN diverse in base al ruolo (il commerciale finisce sulla VLAN vendite, il tecnico sulla VLAN IT). E tutto automatico.
| Caratteristica | WPA3-Personal | WPA3-Enterprise |
|---|---|---|
| Autenticazione | Password condivisa | Credenziali individuali |
| Gestione uscita dipendente | Cambio password a tutti | Disabilita singolo account |
| Log accessi | No (sai solo il MAC) | Si (utente, orario, dispositivo) |
| Assegnazione VLAN dinamica | No | Si |
| Cifratura | 128 bit (SAE) | 192 bit (CNSA suite) |
| Costo implementazione | 0 EUR | 500-1.500 EUR setup |
| Consigliato per | Micro-uffici (<5 persone) | Tutte le PMI |
Segmentazione VLAN: Rete Guest Separata dalla Produzione
La segmentazione VLAN e probabilmente la singola misura di sicurezza Wi-Fi con il miglior rapporto costo/beneficio. L'idea e semplice: crei reti logiche separate sullo stesso hardware fisico, con regole firewall che impediscono la comunicazione tra una rete e l'altra.
Come funziona in pratica
I tuoi access point trasmettono piu SSID (nomi di rete) diversi. Ogni SSID e mappato su una VLAN diversa. Lo switch managed e il firewall gestiscono il traffico tra le VLAN con regole precise.
VLAN 10 - Produzione
SSID nascosto o con autenticazione 802.1X. Accesso completo a server, NAS, stampanti, gestionali. Solo dispositivi aziendali gestiti.
VLAN 20 - IoT / Stampanti
Telecamere, stampanti di rete, sensori. Nessun accesso a internet diretto, comunicazione solo con i server necessari. Isolamento totale dagli utenti.
VLAN 30 - BYOD / Dispositivi personali
Smartphone e tablet personali dei dipendenti. Accesso internet e niente altro. Nessun accesso alle risorse aziendali.
VLAN 99 - Guest
Ospiti, fornitori, clienti. Solo internet con banda limitata (es. 10 Mbps), captive portal con accettazione condizioni d'uso, isolamento completo.
Il vantaggio e enorme: se un ospite porta un portatile infetto da malware, questo non puo raggiungere i tuoi server perche sono su una VLAN diversa. Se una telecamera IoT viene compromessa (succede piu spesso di quanto pensi), resta confinata nella sua VLAN senza poter fare danni al resto della rete.
Cosa serve: switch managed (da 200 EUR per uno 24 porte PoE), access point con supporto multi-SSID/VLAN (qualsiasi AP business da 150 EUR in su), un firewall che gestisca il routing inter-VLAN (FortiGate, pfSense, OPNsense). Tempo di configurazione: mezza giornata per un ufficio medio. Investimento totale per una PMI con 20-30 dipendenti: 1.500-3.000 EUR.
Autenticazione RADIUS e 802.1X: Come Funziona
Se hai deciso (giustamente) di implementare WPA3-Enterprise, ti serve un server RADIUS. Il nome fa paura, ma in pratica e piu semplice di quanto sembra.
Il flusso di autenticazione
Quando un dispositivo prova a connettersi al Wi-Fi aziendale, succede questo:
- Il dispositivo (supplicant) invia le credenziali all'access point
- L'access point (authenticator) le inoltra al server RADIUS
- RADIUS verifica le credenziali contro Active Directory, LDAP, o il suo database locale
- Se valide, RADIUS risponde con "Access-Accept" e opzionalmente indica la VLAN da assegnare
- L'access point concede l'accesso e posiziona il dispositivo nella VLAN corretta
Tutto questo avviene in meno di un secondo. Per l'utente l'esperienza e identica a quella di un Wi-Fi con password, solo che inserisce username e password personali invece di una password condivisa.
Opzioni per il server RADIUS
| Soluzione | Costo | Per chi |
|---|---|---|
| FreeRADIUS (Linux) | Gratuito + config | PMI con competenze IT interne |
| Windows NPS (Network Policy Server) | Incluso in Windows Server | Aziende con Active Directory |
| RADIUS integrato nel firewall (FortiGate, Sophos) | Incluso | Setup rapido, fino a 50-100 utenti |
| Cloud RADIUS (JumpCloud, SecureW2) | 3-8 EUR/utente/mese | Aziende senza server on-premise |
Per la maggior parte delle PMI nostre clienti, la scelta migliore e usare il RADIUS integrato nel firewall (se lo supporta) o Windows NPS se hanno gia Active Directory. Zero costi aggiuntivi di licenza, configurazione in 2-3 ore, integrazione diretta con le utenze aziendali esistenti.
Miti da Sfatare sulla Sicurezza Wi-Fi
In 15 anni di consulenza sulle reti wireless, abbiamo sentito un po' di tutto. Mettiamo in chiaro alcune cose.
SSID nascosto = piu sicuro? No.
Nascondere il nome della rete (SSID broadcast disabilitato) non aggiunge praticamente nessuna sicurezza. Qualsiasi strumento di analisi Wi-Fi (anche gratuiti come Kismet o inSSIDer) rileva le reti nascoste in pochi secondi, analizzando i probe request dei dispositivi. Anzi, nascondere l'SSID causa problemi: i dispositivi client inviano continuamente probe request con il nome della rete nascosta, esponendolo ovunque vadano. Il tuo telefono in metropolitana sta gridando "Cerco BullTech-Produzione" a tutti. Meglio un SSID visibile con WPA3-Enterprise che un SSID nascosto con WPA2-Personal.
Filtraggio MAC = controllo accessi? No.
Il MAC address si clona in 5 secondi con un comando. Se un attaccante e abbastanza bravo da provare a entrare nella tua rete, cambiare il MAC del proprio dispositivo e la prima cosa che fa. Il filtraggio MAC e solo una seccatura per te (devi aggiungere manualmente ogni nuovo dispositivo) senza nessun beneficio reale di sicurezza. Usa 802.1X al suo posto: stessa funzione (controllo accessi), sicurezza vera.
WPA2 basta ancora? Dipende, ma meglio di no.
WPA2-Enterprise con AES e ancora tecnicamente accettabile se hai dispositivi legacy che non supportano WPA3. Ma WPA2-Personal e da considerare obsoleto per uso aziendale: la PSK condivisa e vulnerabile ad attacchi offline con hashcat (una GPU moderna testa miliardi di combinazioni al secondo). Se devi mantenere WPA2, almeno usa la variante Enterprise con RADIUS. E pianifica la migrazione a WPA3 entro 12 mesi.
Monitoraggio Wireless: Tenere la Rete Sotto Controllo
Configurare la rete Wi-Fi bene e il primo passo. Mantenerla sicura nel tempo richiede monitoraggio continuo. Ecco cosa monitorare e con quali strumenti.
Cosa monitorare
- Access point non autorizzati (rogue AP): un dipendente che attacca un suo access point personale alla rete cablata crea un buco di sicurezza enorme. I controller Wi-Fi Enterprise rilevano automaticamente i rogue AP.
- Dispositivi sconosciuti: chi si connette? Da dove? Con quale dispositivo? I log RADIUS ti danno tutte queste informazioni.
- Interferenze e copertura: canali sovrapposti, potenza del segnale, zone morte. Un site survey periodico (annuale) ti evita lamentele e problemi di performance.
- Tentativi di autenticazione falliti: 50 tentativi falliti dallo stesso MAC in 5 minuti? Qualcuno sta provando a entrare. Alert automatico.
- Firmware degli access point: AP non aggiornati = vulnerabilita note. Aggiorna almeno trimestralmente.
Strumenti di monitoraggio
Per PMI consigliamo una combinazione di: controller Wi-Fi (UniFi, Aruba Instant On) per la gestione centralizzata, monitoraggio rete con SNMP/syslog verso un sistema di logging (Graylog, ELK gratuiti), e alert automatici via email o Telegram per eventi critici. Il tutto gestibile dal tuo MSP senza che tu debba fare nulla.
Wi-Fi 6E in Azienda: Vale la Pena nel 2026?
Wi-Fi 6E (802.11ax sulla banda 6 GHz) e disponibile in Italia dal 2023 e i prezzi degli access point sono scesi parecchio. Ma serve davvero alla tua azienda? Dipende.
Quando Wi-Fi 6E fa la differenza
- Uffici in edifici con molte reti vicine: la banda 6 GHz e ancora poco affollata, meno interferenze = performance migliori
- Uso intensivo di videoconferenze: latenza sotto i 2 ms e jitter ridotto migliorano notevolmente Teams, Zoom, Meet
- Trasferimento file grandi: canali a 160 MHz = throughput reale fino a 1-2 Gbps, contro i 300-500 Mbps tipici del Wi-Fi 6 a 5 GHz
- Densita di dispositivi alta: open space con 50+ dispositivi Wi-Fi contemporanei
Quando Wi-Fi 6 classico basta
- Uffici piccoli (sotto 20 persone) con pochi vicini
- Uso prevalente di email, web browsing, gestionali cloud
- Budget limitato e access point attuali ancora funzionanti
| Modello AP | Standard | Prezzo | Per chi |
|---|---|---|---|
| UniFi U6 Lite | Wi-Fi 6 | ~100 EUR | Uffici piccoli, budget contenuto |
| UniFi U6 Pro | Wi-Fi 6 | ~160 EUR | PMI standard, ottimo rapporto qualita/prezzo |
| UniFi U7 Pro | Wi-Fi 7 | ~300 EUR | PMI che vogliono futureproofing |
| Aruba Instant On AP25 | Wi-Fi 6 | ~250 EUR | PMI con gestione cloud semplice |
| Cisco Meraki MR36 | Wi-Fi 6 | ~500 EUR + licenza | Enterprise, gestione cloud avanzata |
Checklist: Best Practice per la Sicurezza Wi-Fi Aziendale
Ricapitoliamo tutto quello che abbiamo visto in una checklist pratica. Se spunti tutti i punti, la tua rete wireless e solida.
WPA3-Enterprise con autenticazione RADIUS/802.1X
Segmentazione VLAN: produzione, BYOD, IoT, guest su reti separate
Firewall inter-VLAN con regole esplicite (deny all di default)
SSID visibile (non nascosto) con nome che non rivela il brand aziendale
Niente filtraggio MAC come misura di sicurezza (usa 802.1X)
Captive portal per la rete guest con accettazione condizioni d'uso
Banda limitata sulla rete guest (10-20 Mbps)
Firmware AP aggiornato almeno trimestralmente
Monitoraggio rogue AP e tentativi di accesso falliti
Site survey annuale per verificare copertura e interferenze
Log centralizzati delle autenticazioni RADIUS (retention minimo 6 mesi per GDPR)
Disabilitazione WPS (Wi-Fi Protected Setup) su tutti gli AP
Quanto Costa Mettere in Sicurezza il Wi-Fi Aziendale
Parliamo di numeri concreti per una PMI tipica: ufficio 200-400 mq, 20-30 dipendenti, 3-4 access point.
| Componente | Costo |
|---|---|
| 3-4 Access Point Wi-Fi 6 (UniFi U6 Pro) | 480-640 EUR |
| Switch managed 24 porte PoE | 300-500 EUR |
| Configurazione VLAN + RADIUS + firewall rules | 800-1.500 EUR (una tantum) |
| Site survey iniziale | 300-500 EUR |
| Totale investimento iniziale | 1.880-3.140 EUR |
| Gestione e monitoraggio mensile (MSP) | 100-200 EUR/mese |
Confrontalo con il costo di una violazione: secondo il Rapporto Clusit 2025, il costo medio di un incidente di sicurezza per una PMI italiana e di 140.000 EUR. L'investimento per un Wi-Fi sicuro si ripaga alla prima minaccia bloccata.
Come BullTech Puo Aiutarti
Noi di BullTech Informatica gestiamo la rete aziendale completa per PMI in tutta la Lombardia. Dal site survey iniziale alla configurazione di VLAN, RADIUS e firewall, fino al monitoraggio continuo.
Se vuoi approfondire la sicurezza della rete aziendale nel suo complesso, o hai bisogno di un firewall gestito per proteggere tutto il perimetro, siamo a disposizione. Chiamaci al 039 5965390 o scrivici per un sopralluogo gratuito.
Domande Frequenti sulla Sicurezza Wi-Fi Aziendale
WPA3 e necessario per il Wi-Fi aziendale?
Si, nel 2026 WPA3 e lo standard minimo consigliato per qualsiasi rete aziendale. WPA2 ha vulnerabilita note (attacco KRACK, dictionary attack sulla PSK) che rendono la rete attaccabile anche con strumenti gratuiti. WPA3 introduce SAE (Simultaneous Authentication of Equals) che elimina gli attacchi a dizionario e Protected Management Frames obbligatori. Per una PMI la versione WPA3-Enterprise con autenticazione RADIUS e la scelta migliore: ogni dipendente ha le proprie credenziali, se qualcuno lascia l'azienda disabiliti il suo account senza cambiare password a tutti. Costo aggiuntivo: zero per il software (FreeRADIUS), 500-1.500 EUR per la configurazione iniziale.
Come separare la rete guest dalla rete di produzione?
Con la segmentazione VLAN. In pratica crei due (o piu) reti logiche separate sullo stesso hardware fisico. La VLAN di produzione (es. VLAN 10) ha accesso a server, NAS, stampanti e risorse aziendali. La VLAN guest (es. VLAN 99) ha solo accesso a internet, con banda limitata e isolamento completo. Il firewall tra le VLAN impedisce qualsiasi comunicazione laterale. Cosi se un ospite ha il portatile infetto, non puo raggiungere i tuoi server. Servono access point che supportino SSID multipli su VLAN diverse (qualsiasi AP business da 150 EUR in su li supporta) e uno switch managed. BullTech configura questa separazione in mezza giornata.
Ogni quanto bisogna cambiare la password del Wi-Fi aziendale?
Dipende dal tipo di autenticazione. Con WPA2/WPA3-Personal (password condivisa): dovresti cambiarla ogni volta che un dipendente lascia l'azienda, e comunque almeno ogni 90 giorni. Il problema e che devi riconfigurare tutti i dispositivi. Con WPA3-Enterprise (RADIUS): non esiste una password Wi-Fi condivisa. Ogni utente ha le proprie credenziali personali. Quando qualcuno se ne va, disabiliti il suo account e basta. Nessun impatto sugli altri. Questo e uno dei motivi principali per cui consigliamo Enterprise anche a PMI con 10-15 dipendenti: la gestione diventa molto piu semplice e sicura.
Quali sono le differenze tra Wi-Fi 6 e Wi-Fi 6E?
Wi-Fi 6 (802.11ax) opera sulle bande 2,4 GHz e 5 GHz, con velocita fino a 9,6 Gbps teorici. Wi-Fi 6E aggiunge la banda 6 GHz, che offre 1.200 MHz di spettro completamente nuovo e pulito, senza interferenze da dispositivi vecchi. In ufficio la differenza si sente: Wi-Fi 6E ha latenza piu bassa (sotto i 2 ms), meno interferenze con il Wi-Fi dei vicini, e piu canali a 160 MHz per trasferimenti veloci. Il limite: la banda 6 GHz ha portata inferiore, quindi servono piu access point. Per un ufficio di 200-400 mq, con Wi-Fi 6 bastano 2-3 AP, con Wi-Fi 6E ne servono 3-4. Costo AP Wi-Fi 6E business: 400-800 EUR (Aruba, Cisco Meraki, UniFi U7 Pro).
Serve un controller Wi-Fi per gestire gli access point?
Per uffici con 1-3 access point puoi farne a meno, configurandoli singolarmente. Da 4 AP in su, un controller diventa quasi indispensabile. Il controller centralizza la gestione: aggiorni il firmware di tutti gli AP con un click, vedi la mappa di copertura, gestisci il roaming tra AP (i dispositivi passano da un AP all'altro senza disconnessioni), e monitori chi e connesso e con quale banda. Le opzioni: controller hardware (Aruba, Cisco, Ruckus: da 1.500 EUR), controller software on-premise (UniFi Network Server: gratuito), controller cloud (Cisco Meraki, Aruba Central: 10-20 EUR/AP/mese). Per PMI fino a 20 AP, la soluzione UniFi con controller gratuito e il miglior rapporto qualita-prezzo.