Smart Working Sicuro: Guida Aziendale 2026

Nel 2025, il 67% degli attacchi informatici alle PMI italiane e passato attraverso endpoint remoti non protetti: PC personali collegati a reti Wi-Fi domestiche, VPN mal configurate, sessioni RDP esposte su internet. Il costo medio di una violazione legata allo smart working: 85.000-180.000 euro tra downtime, risposta incidente, sanzioni GDPR e danno reputazionale. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB), ha configurato ambienti di smart working sicuro per oltre 80 aziende. In questa guida ti spiego cosa funziona davvero — non teorie, ma le misure concrete che implementiamo ogni giorno.

I 5 rischi dello smart working non protetto

Lo smart working “alla buona” — quello con il PC personale, la password del Wi-Fi che e il nome del cane, e i file aziendali su una chiavetta USB — e una bomba a orologeria. Ecco cosa puo andare storto.

1. Dati aziendali su reti domestiche

La rete Wi-Fi di casa non e la rete dell'ufficio. Non c'e firewall enterprise, non c'e segmentazione, non c'e monitoraggio. Il router del provider ha la password di default nel 40% dei casi. Chiunque sia sulla stessa rete (figli, coinquilini, vicini col Wi-Fi “aperto”) potenzialmente puo intercettare il traffico non cifrato. I documenti aziendali che viaggiano su questa rete sono esposti.

2. Shadow IT

Quando i dipendenti lavorano da casa, usano gli strumenti che trovano comodi: Dropbox personale per condividere file, WhatsApp per mandare documenti, Gmail personale per le email pesanti. Nessuno di questi strumenti e sotto il controllo dell'IT aziendale. I dati finiscono su server di terze parti, senza cifratura, senza backup, senza audit trail. Il 35% delle fughe di dati nelle PMI nel 2025 e avvenuto tramite shadow IT.

3. Phishing potenziato

Da remoto, il dipendente e solo davanti all'email di phishing. Non puo girarsi e chiedere al collega “ma questa email e vera?”. I tassi di click su phishing sono 3 volte piu alti in smart working rispetto all'ufficio. E con un PC non gestito, il malware scaricato ha campo libero.

4. Dispositivi non aggiornati

Il PC personale del dipendente ha Windows 10 con gli aggiornamenti di 6 mesi fa. L'antivirus e quello gratis. Il browser ha 15 estensioni di dubbia provenienza. Nessun EDR, nessun patching automatico, nessun controllo. E questo dispositivo accede ai dati aziendali ogni giorno.

5. Accessi non controllati

Senza MFA, basta rubare una password (phishing, credential stuffing, password riutilizzata da un altro breach) per avere accesso completo ai sistemi aziendali. Il 81% delle violazioni passa da credenziali compromesse. Da remoto, nessuno si accorge che qualcun altro sta usando il tuo account.

10 best practice per lo smart working sicuro

Queste sono le misure che implementiamo per tutti i nostri clienti con smart working. Non servono budget da multinazionale — ma servono tutte. Saltarne anche una sola apre una falla che un attaccante trovera.

1. VPN always-on (o ZTNA)

Ogni connessione dal PC remoto ai sistemi aziendali deve passare per un tunnel cifrato. La VPN always-on si attiva automaticamente all'accensione del PC — l'utente non deve fare niente (e non puo disattivarla). Alternative: Cisco AnyConnect (5-8 EUR/utente/mese), FortiClient (3-5 EUR/utente/mese), WireGuard su firewall (0 EUR se hai gia il firewall). Per un approccio Zero Trust, guarda la guida ZTNA per PMI. Per approfondire la sicurezza degli accessi remoti: guida completa alla sicurezza degli accessi remoti.

2. MFA su tutto

Multi-Factor Authentication su ogni accesso: email, VPN, applicazioni cloud, gestionale. Non solo la password — anche un secondo fattore (app authenticator, notifica push, chiave FIDO2). Con Microsoft 365 Business Premium, l'MFA e inclusa e si configura in 30 minuti per tutta l'azienda. Blocca il 99,9% degli attacchi da credenziali rubate. Non ci sono scuse per non averla.

3. EDR su ogni endpoint

Ogni PC che accede ai dati aziendali deve avere un EDR (Endpoint Detection and Response) gestito centralmente. Non un antivirus consumer — un EDR che rileva comportamenti sospetti e risponde automaticamente. Per dettagli, leggi la guida EDR aziendale. Noi installiamo SentinelOne (3-6 EUR/endpoint/mese) o Microsoft Defender for Business (incluso in M365 Business Premium).

4. DLP (Data Loss Prevention)

Il DLP impedisce che i dati aziendali escano dall'ambiente controllato. Blocca il copia-incolla di dati sensibili su app personali, impedisce l'invio di file riservati via email esterna, e segnala comportamenti anomali (download massivo di file, accesso fuori orario). Microsoft Purview DLP e incluso in M365 E5 (35 EUR/utente/mese) o come add-on (5-10 EUR/utente/mese).

5. ZTNA (Zero Trust Network Access)

L'evoluzione della VPN: non dai accesso alla rete, ma solo alle applicazioni specifiche che servono a quell'utente. Verifica identita + stato del dispositivo + contesto a ogni richiesta. Soluzioni: Zscaler Private Access (10-15 EUR/utente/mese), Fortinet ZTNA (8-12 EUR/utente/mese), Microsoft Entra Private Access (incluso in Entra Suite, 12 EUR/utente/mese). Approfondimento: Zero Trust per PMI.

6. Patching automatico

Il 60% delle violazioni sfrutta vulnerabilita note con patch disponibile da piu di 30 giorni. Con un RMM (NinjaOne, Datto, ConnectWise), le patch di Windows, Office e software di terze parti vengono installate automaticamente — anche sui PC in smart working. Finestra di patching: notte o pausa pranzo, senza disturbare l'utente.

7. Backup endpoint

I file creati sul PC in smart working devono essere salvati. Se il notebook viene rubato, si rompe o viene cifrato dal ransomware, i dati devono essere recuperabili. OneDrive for Business (incluso in M365) sincronizza automaticamente i file in cloud con versioning. Per un backup completo dell'endpoint: Veeam Agent (2-3 EUR/endpoint/mese) o Acronis Cyber Protect (3-5 EUR/endpoint/mese).

8. Formazione periodica

Il 91% degli attacchi inizia con un'email. La formazione anti-phishing riduce i click del 80% in 6 mesi. Non basta un corso una tantum — servono simulazioni periodiche (mensili) e micro-training (5 minuti, su un argomento specifico). Piattaforme: KnowBe4 (2-4 EUR/utente/mese), Proofpoint Security Awareness (3-5 EUR/utente/mese).

9. BYOD policy

Se i dipendenti usano il PC personale, serve una policy chiara: requisiti minimi (OS aggiornato, antivirus/EDR, cifratura disco), cosa possono e non possono fare, cosa succede se lasciano l'azienda (wipe remoto dei dati aziendali). Con Microsoft Intune (MAM), puoi isolare i dati aziendali in un container separato sul dispositivo personale. Per approfondire: guida BYOD aziendale.

10. Monitoring e logging

Non puoi proteggere cio che non vedi. Un sistema di monitoring centralizzato (SIEM o il log di Microsoft 365 + Defender) deve registrare: accessi riusciti e falliti, connessioni VPN, download anomali, accessi fuori orario, tentativi di accesso da paesi sospetti. Se qualcuno ruba le credenziali del tuo dipendente e le usa dalla Russia alle 3 di notte, devi saperlo — non scoprirlo 3 mesi dopo.

Architettura sicura per lo smart working

Come si mette tutto insieme? Ecco lo schema che implementiamo per i nostri clienti PMI. Il percorso dei dati dal PC del dipendente ai sistemi aziendali:

Costi implementazione smart working sicuro

Ecco i tre livelli di protezione che proponiamo, con i costi reali per utente al mese. Ogni livello include il precedente.

Per la maggior parte delle PMI, il Tier Standard e la scelta giusta: protezione completa senza la complessita (e il costo) del Tier Enterprise. Con 30 utenti, stiamo parlando di 900-1.500 euro/mese — meno del costo di mezza giornata di downtime.

Tool consigliati per lo smart working sicuro

Ecco lo stack che installiamo piu spesso per i nostri clienti PMI. Non e l'unico possibile, ma e quello che conosciamo meglio e che funziona.

• Microsoft Intune (incluso in M365 Business Premium, 20,60 EUR/utente/mese) — MDM e MAM per gestire PC e dispositivi mobili. Enrollment automatico, policy di compliance, wipe remoto. La base di tutto.
• Cisco AnyConnect / FortiClient (3-8 EUR/utente/mese) — VPN always-on con split tunnel configurabile. Si integra col firewall aziendale. AnyConnect se hai Cisco, FortiClient se hai Fortinet.
• SentinelOne / Defender for Business (3-6 EUR/endpoint/mese o incluso in M365 BP) — EDR gestito centralmente. Rileva e blocca ransomware, malware zero-day, lateral movement. Rollback automatico dei file cifrati.
• Fortinet FortiSASE / Zscaler (10-15 EUR/utente/mese) — ZTNA + Secure Web Gateway. Per chi vuole il massimo della protezione senza VPN tradizionale.

Come BullTech configura lo smart working sicuro

Il nostro percorso in 5 step per mettere in sicurezza lo smart working di una PMI:

1. Assessment (gratuito) — Mappiamo la situazione attuale: quanti utenti in smart working, che dispositivi usano, come accedono ai dati, cosa e protetto e cosa no. Identifichiamo le falle e le priorita.
2. Design dell'architettura — Progettiamo lo stack di sicurezza adatto al tuo budget e alle tue esigenze. VPN o ZTNA? BYOD o COPE? Quale EDR? Quale tier di protezione?
3. Deployment (5-10 giorni) — Configuriamo tutto: VPN/ZTNA, MFA, EDR, MDM, policy di accesso condizionato. Per i PC aziendali: enrollment Intune con Autopilot. Per i BYOD: enrollment MAM con container isolato.
4. Formazione utenti (1 giorno) — Training pratico per i dipendenti: come funziona la VPN, perche serve l'MFA, cosa fare se ricevono un'email sospetta. Niente slide noiose — simulazioni pratiche.
5. Monitoring continuo — Monitoriamo gli endpoint remoti 24/7 con il nostro RMM. Alert automatici per: EDR che rileva qualcosa, PC non aggiornato da piu di 7 giorni, accessi anomali. Report mensile sullo stato di sicurezza.

Domande frequenti sullo smart working sicuro