I tuoi dipendenti lavorano da casa, dal bar, dal treno. Il problema? Anche i dati aziendali viaggiano con loro — su reti che non controlli. Secondo il rapporto Clusit 2025, il 35% degli attacchi alle aziende italiane ha sfruttato falle legate al lavoro remoto. Reti domestiche aperte, dispositivi personali senza protezione, Wi-Fi pubblici: la superficie di attacco si è allargata enormemente. In questa guida ti spieghiamo come far lavorare il tuo team da remoto in modo sicuro, a partire dalle VPN aziendali.
I Rischi Concreti dello Smart Working
Quando un dipendente è in ufficio, i dati aziendali passano su una rete controllata: firewall, sistemi di rilevamento intrusioni (IDS/IPS), filtri web e policy centralizzate. Quando lo stesso dipendente lavora da casa, il suo laptop aziendale si connette a una rete domestica condivisa con smart TV, console di gioco, dispositivi IoT non aggiornati e altri computer senza alcuna protezione. Di fatto, il perimetro di sicurezza della tua azienda si dissolve.
I rischi più concreti: qualcuno intercetta il traffico su connessioni non cifrate, un malintenzionato entra nei sistemi aziendali con credenziali rubate o troppo deboli, un malware dal PC personale si propaga alla rete aziendale, un laptop con dati sensibili viene perso o rubato, dati riservati finiscono su reti non sicure. Secondo il rapporto Clusit 2025, il 35% degli attacchi informatici alle aziende italiane ha sfruttato vulnerabilità legate al lavoro remoto.
Il falso senso di sicurezza del cloud
Tante aziende pensano che usare app in cloud (Microsoft 365, Google Workspace) renda superflua una VPN. In realtà, il cloud protegge i dati "a riposo" sui server del provider, ma non protegge il dispositivo del tuo dipendente, la rete su cui naviga, né le credenziali di accesso. Un attaccante che compromette il laptop di qualcuno del tuo team accede a tutti i dati cloud a cui quella persona può accedere.
VPN Aziendali: Come Funzionano e Quale Scegliere
La VPN (Virtual Private Network, cioè una rete privata virtuale) è lo strumento fondamentale per proteggere chi lavora da remoto. Crea un tunnel cifrato tra il dispositivo del dipendente e la rete aziendale, rendendo il traffico illeggibile a chiunque provi a intercettarlo. Ma non tutte le VPN funzionano allo stesso modo: ecco le principali tipologie.
VPN Client-to-Site (Remote Access VPN)
È la soluzione più diffusa per lo smart working. Ogni dipendente installa un client VPN sul proprio dispositivo (laptop, tablet, smartphone) e si connette al gateway VPN aziendale — in genere integrato nel firewall. Una volta collegato, il dispositivo remoto funziona come se fosse fisicamente in ufficio: accede a file server, gestionali, stampanti di rete e qualsiasi altra risorsa interna. Il traffico è cifrato con protocolli come IKEv2/IPsec o SSL/TLS. WatchGuard, il brand che noi di BullTech installiamo e configuriamo, offre soluzioni VPN robuste e semplici da gestire.
VPN Site-to-Site
La VPN Site-to-Site collega in modo permanente due o più sedi aziendali attraverso Internet, creando una rete unificata. A differenza della Client-to-Site, non richiede software sui dispositivi degli utenti: la connessione è gestita direttamente dai firewall delle due sedi. Perfetta per aziende con più filiali che devono condividere risorse (server, applicativi, telefonia VoIP). Con i firewall WatchGuard Firebox, configurare tunnel VPN site-to-site è un'operazione rapida e standardizzata, con failover automatico su connessioni di backup per garantire la continuità operativa.
VPN SSL vs VPN IPsec
Le due tecnologie VPN principali sono IPsec e SSL/TLS. Le VPN IPsec offrono prestazioni migliori e sono ideali per connessioni site-to-site e per client che accedono a tutte le risorse di rete. Le VPN SSL sono più flessibili: funzionano attraverso qualsiasi firewall o proxy (usano la porta 443, la stessa dell'HTTPS) e vanno benissimo quando i dipendenti si collegano da reti restrittive come hotel, aeroporti o hotspot pubblici. WatchGuard supporta entrambe le tecnologie, così puoi scegliere quella giusta per ogni situazione.
WatchGuard: la Soluzione VPN per le PMI
Come partner certificato WatchGuard, noi di BullTech Informatica installiamo e configuriamo soluzioni VPN basate sui firewall della famiglia Firebox. WatchGuard si distingue per la semplicità di gestione, le prestazioni elevate e la sicurezza integrata. Ecco le componenti principali per lo smart working.
Mobile VPN with IKEv2
Client VPN nativo su Windows, macOS, iOS e Android. Connessione rapida e stabile con riconnessione automatica.
Access Portal
Portale web per accedere a risorse interne (RDP, SSH, applicazioni web) senza installare un client VPN.
AuthPoint MFA
Autenticazione multi-fattore (MFA) integrata per VPN, portali web e app cloud. Elimina il rischio di credenziali rubate.
Endpoint Security
WatchGuard EPDR protegge i dispositivi remoti con EDR avanzato, anti-malware e controllo delle applicazioni.
Endpoint Security: Proteggere i Dispositivi dei Lavoratori Remoti
La VPN da sola non basta. Se il portatile del dipendente è infetto da un malware, la VPN diventa un canale diretto per l'attaccante verso la tua rete aziendale. Per questo la protezione degli endpoint è indispensabile. Una soluzione completa per lo smart working deve coprire diversi livelli.
Il primo livello è l'antimalware di nuova generazione (NGAV): usa intelligenza artificiale e analisi comportamentale per rilevare minacce sconosciute, non solo quelle già catalogate. Il secondo livello è l'EDR (Endpoint Detection and Response, cioè un sistema che monitora il dispositivo e reagisce alle minacce): controlla continuamente quello che succede, rileva comportamenti anomali e consente di rispondere in fretta agli incidenti. Il terzo livello è il controllo dei dispositivi: limita l'uso di chiavette USB, dischi esterni e altre periferiche che potrebbero portare malware o servire a portar fuori dati.
Noi di BullTech usiamo Bitdefender GravityZone come piattaforma EDR per i nostri clienti, integrata con la gestione centralizzata tramite NinjaOne. Questa combinazione ci permette di monitorare, aggiornare e proteggere tutti i dispositivi aziendali — in ufficio e da remoto — da un'unica console, con piena visibilità sullo stato di sicurezza di ogni singolo dispositivo.
Policy BYOD: Quando i Dipendenti Usano i Propri Dispositivi
Il BYOD (Bring Your Own Device, cioè "porta il tuo dispositivo") è la realtà di molte PMI italiane: per risparmiare o per comodità, i dipendenti usano il proprio smartphone, tablet o laptop per lavorare. Il problema? Se non gestisci la cosa, i rischi sono enormi. Un dispositivo personale potrebbe non avere l'antivirus aggiornato, potrebbe essere condiviso con i familiari, avere app non sicure installate, o essere perso o rubato senza che tu ne sappia nulla per giorni.
Una policy BYOD fatta bene deve chiarire: quali dispositivi sono ammessi, quali requisiti minimi di sicurezza devono avere (versione del sistema operativo, antivirus, disco cifrato, PIN o biometria), quali app aziendali possono essere usate, e cosa fare se il dispositivo viene smarrito o rubato. Strumenti di MDM (Mobile Device Management, cioè gestione centralizzata dei dispositivi mobili) applicano queste regole automaticamente, separando i dati aziendali da quelli personali e permettendo di cancellare da remoto solo i dati di lavoro se serve.
BYOD e GDPR: occhio alla compliance
Il GDPR impone che i dati personali siano trattati con misure di sicurezza adeguate. Se un dipendente accede ai dati dei clienti dal proprio smartphone personale non protetto, l'azienda è responsabile in caso di violazione. Una policy BYOD ben fatta non è solo buon senso: è un obbligo di legge.
Autenticazione Multi-Fattore (MFA): La Protezione Più Efficace
L'autenticazione multi-fattore (MFA) è probabilmente la singola misura di sicurezza che fa più differenza per chi lavora da remoto. Secondo Microsoft, l'MFA blocca il 99,9% degli attacchi automatizzati basati su credenziali rubate. Il concetto è semplice: oltre alla password (qualcosa che sai), ti viene chiesto un secondo fattore — in genere qualcosa che hai (smartphone con app authenticator, token hardware) o qualcosa che sei (impronta digitale, riconoscimento facciale).
WatchGuard AuthPoint è la soluzione MFA che installiamo per i nostri clienti. AuthPoint si integra nativamente con i firewall WatchGuard per proteggere l'accesso VPN, ma funziona anche con Microsoft 365, Google Workspace, applicazioni web aziendali, accesso RDP e qualsiasi servizio che supporti SAML o RADIUS. L'esperienza per l'utente è fluida: arriva una notifica push sullo smartphone, un tocco per approvare, e l'accesso è fatto. Per le situazioni in cui lo smartphone non è disponibile, AuthPoint supporta anche token hardware e codici OTP (cioè codici usa-e-getta).
Protezione dei Dati: In Viaggio e a Riposo
La protezione dei dati non finisce con la VPN. Una strategia completa per lo smart working deve proteggere i dati in ogni momento: quando viaggiano sulla rete, quando sono salvati sui dispositivi e quando stanno nelle app cloud. Per i dati in viaggio, oltre alla VPN, è fondamentale che tutte le comunicazioni aziendali usino protocolli cifrati: HTTPS per le applicazioni web, TLS per la posta elettronica, SFTP per il trasferimento file.
Per i dati salvati sui dispositivi, la cifratura del disco è irrinunciabile. Windows BitLocker e macOS FileVault devono essere attivi su tutti i dispositivi aziendali e BYOD che trattano dati sensibili. Se il portatile viene rubato o smarrito, la cifratura rende i dati inaccessibili senza le credenziali corrette. Per i dati nel cloud, è fondamentale configurare bene le regole di condivisione, i permessi di accesso e la Data Loss Prevention (DLP, cioè un sistema che impedisce la fuoriuscita accidentale o intenzionale di informazioni riservate).
Le Best Practice per lo Smart Working Sicuro nel 2026
Ecco le regole fondamentali che ogni PMI italiana dovrebbe seguire per uno smart working sicuro e produttivo.
Attiva una VPN aziendale con cifratura forte (IKEv2/IPsec o SSL) per tutti i lavoratori remoti
Attiva l’autenticazione multi-fattore (MFA) su VPN, email, app cloud e accesso RDP
Proteggi tutti i dispositivi con soluzioni EDR di nuova generazione e gestione centralizzata
Cifra i dischi di tutti i dispositivi aziendali e BYOD con BitLocker/FileVault
Scrivi e comunica una policy BYOD chiara con requisiti minimi di sicurezza
Segmenta la rete aziendale: chi si collega in VPN accede solo alle risorse che gli servono per il suo ruolo
Applica il principio del minimo privilegio: ogni utente accede solo a ciò di cui ha bisogno
Configura il web filtering anche per le connessioni VPN, così blocchi i siti malevoli
Fai backup regolari dei dati presenti sui dispositivi remoti (non solo sui server)
Forma i dipendenti periodicamente sui rischi del phishing, del social engineering e delle reti Wi-Fi pubbliche
Monitora le connessioni VPN per accessi anomali (orari strani, posizioni geografiche sospette)
Aggiorna subito tutti i dispositivi: sistema operativo, applicazioni, firmware VPN e client di sicurezza
Zero Trust: Il Futuro della Sicurezza per il Lavoro Remoto
Il modello Zero Trust sta diventando il punto di riferimento per la sicurezza del lavoro remoto. Il principio di base? "Non fidarti mai, verifica sempre": ogni richiesta di accesso viene controllata indipendentemente da dove si trova l'utente o da quale dispositivo usa. Non basta essere connessi alla VPN per essere considerati affidabili: l'identità dell'utente, lo stato di sicurezza del dispositivo, la posizione geografica, l'orario e il tipo di risorsa richiesta vengono valutati in tempo reale per ogni singola richiesta.
WatchGuard sta integrando sempre più principi Zero Trust nei propri prodotti, con funzionalità come il Network Access Enforcement che verifica lo stato di salute del dispositivo prima di concedere l'accesso VPN, e l'integrazione tra AuthPoint e i firewall Firebox per applicare regole di accesso granulari basate sull'identità. Per le PMI, il percorso verso lo Zero Trust è graduale: si parte con VPN, MFA ed endpoint security, e poi si aggiungono controlli più sofisticati passo dopo passo.
Come BullTech Può Aiutarti
Mettere in sicurezza lo smart working richiede competenze trasversali: reti, sicurezza, gestione dei dispositivi, identità e compliance. Come Managed Service Provider specializzato in sicurezza informatica e reti aziendali, noi di BullTech ti offriamo un servizio che copre tutto — dall'inizio alla fine.
Checkup della Sicurezza Remota
Analizziamo i tuoi server, PC e rete attuali, identifichiamo le vulnerabilità e progettiamo la soluzione VPN ottimale.
Configurazione VPN WatchGuard
Configuriamo VPN client-to-site e site-to-site con MFA AuthPoint e regole di accesso granulari.
Protezione Endpoint Gestita
Installiamo e gestiamo Bitdefender EDR su tutti i dispositivi con monitoraggio 24/7 tramite NinjaOne.
Formazione e Policy BYOD
Creiamo policy personalizzate e formiamo i dipendenti sulle best practice di sicurezza per il lavoro remoto.
Con sede a Vimercate, supportiamo le PMI lombarde con interventi rapidi on-site e assistenza remota immediata. Che tu debba attivare lo smart working per la prima volta o rafforzare la sicurezza di un'infrastruttura remota già esistente, il nostro team di tecnici certificati WatchGuard e Bitdefender è pronto a darti una mano. Non lasciare la sicurezza della tua azienda al caso: chiamaci per una consulenza gratuita.