Qual e la differenza tra VPN site-to-site e client-to-site?

La VPN site-to-site collega due sedi aziendali in modo permanente: i due firewall creano un tunnel cifrato sempre attivo e tutte le risorse di entrambe le sedi sono accessibili come se fossero nella stessa rete locale. Esempio: la sede di Milano vede i server della sede di Vimercate e viceversa. La VPN client-to-site (o remote access VPN) collega un singolo utente alla rete aziendale: il dipendente installa un client VPN sul PC o smartphone, si connette e accede alle risorse aziendali da casa o dal cliente. La site-to-site e sempre attiva, la client-to-site si attiva on-demand quando l'utente si connette.

Quanto costa una VPN aziendale?

Il costo dipende dalla soluzione scelta. Con un firewall WatchGuard o Fortinet che gia hai in azienda, la funzione VPN e inclusa senza costi aggiuntivi — paghi solo l'eventuale licenza di manutenzione del firewall (300-800 euro/anno). Per una VPN site-to-site tra 2 sedi con firewall dedicati, il costo e di 1.500-3.000 euro per i due apparati piu 600-1.600 euro/anno di licenze. Per soluzioni ZTNA cloud-based come Zscaler o Cloudflare Access, il costo e di 5-15 euro/utente/mese. Per 20 utenti in smart working, parliamo di 100-300 euro/mese. BullTech puo configurarti una VPN su firewall esistente in 2-4 ore di lavoro.

La VPN rallenta la connessione Internet?

Si, ma meno di quanto pensi. La VPN aggiunge un overhead di crittografia che causa una riduzione della velocita del 5-15% con i protocolli moderni (WireGuard, IKEv2). Con protocolli piu vecchi (PPTP, L2TP) o con server VPN sottodimensionati, la riduzione puo arrivare al 30-40%. Per lo smart working, la percezione di lentezza dipende piu dalla qualita della connessione Internet di casa che dalla VPN stessa. Il consiglio: usa WireGuard o IKEv2, assicurati che il firewall aziendale abbia capacita VPN sufficiente (i firewall entry-level gestiscono 50-100 tunnel, quelli mid-range 200-500) e configura lo split tunneling per non far passare tutto il traffico dalla VPN.

WireGuard e adatto per un'azienda?

WireGuard e un protocollo VPN moderno, veloce e con una base di codice minima (4.000 righe contro le 400.000 di OpenVPN). E perfetto per le prestazioni, ma ha limitazioni per l'uso enterprise: non ha un sistema di autenticazione centralizzato (non si integra nativamente con Active Directory), non supporta il push di configurazione da remoto, e la gestione dei certificati e manuale. Per una PMI con 5-15 utenti in smart working, WireGuard funziona benissimo su un firewall che lo supporta (pfSense, OPNsense). Per aziende piu grandi con Active Directory e gestione centralizzata, IPSec IKEv2 o SSL VPN su WatchGuard/Fortinet restano la scelta migliore.

Cos'e lo split tunneling e perche e importante?

Lo split tunneling e una configurazione VPN che fa passare attraverso il tunnel cifrato SOLO il traffico diretto alla rete aziendale, mentre il resto (navigazione web, YouTube, streaming) va direttamente su Internet. Senza split tunneling, tutto il traffico dell'utente passa dal firewall aziendale: la VPN e piu lenta, il firewall e piu carico e la navigazione web e limitata dalla banda Internet dell'ufficio. Il rischio dello split tunneling: se il PC del dipendente e compromesso, l'attaccante puo accedere alla rete aziendale attraverso la VPN. Per questo lo split tunneling va sempre accompagnato da: antivirus/EDR aggiornato, firewall locale attivo e policy di sicurezza sul dispositivo.

La VPN serve ancora se uso Microsoft 365 nel cloud?

Dipende. Se hai spostato TUTTO nel cloud (email su Microsoft 365, file su SharePoint, gestionale SaaS), la VPN tradizionale serve meno perche gli utenti accedono ai servizi direttamente via Internet. In questo caso, la sicurezza si sposta sulla protezione dell'identita (MFA, Conditional Access) piuttosto che sulla rete. Ma se hai ancora servizi on-premise (gestionale locale, file server, stampanti, Active Directory), la VPN resta indispensabile per lo smart working. L'alternativa moderna alla VPN per ambienti full-cloud e lo ZTNA (Zero Trust Network Access): verifica l'identita e il dispositivo prima di dare accesso a ogni singola applicazione, senza esporre l'intera rete.

Qual e il protocollo VPN migliore per lo smart working nel 2026?

Per lo smart working aziendale nel 2026, la scelta dipende dall'infrastruttura: SSL VPN (WatchGuard Mobile VPN with SSL o FortiClient SSL) e la nostra raccomandazione per le PMI perche attraversa qualsiasi rete (hotel, aeroporti, 4G) senza problemi di porte bloccate. WireGuard e piu veloce ma richiede gestione manuale dei certificati. IKEv2 e ottimo per dispositivi mobili (iOS e Android lo supportano nativamente) e gestisce bene il cambio di rete (Wi-Fi al 4G senza disconnessione). BullTech configura SSL VPN su WatchGuard con MFA integrato: l'utente apre il client, inserisce username + codice OTP e si connette in 30 secondi.

Quanti utenti concorrenti puo gestire una VPN aziendale?

Dipende dal firewall. Un WatchGuard T45 (entry-level per PMI fino a 50 utenti) gestisce fino a 75 tunnel VPN concorrenti. Un WatchGuard M390 (mid-market, 150-300 utenti) ne gestisce 500. Fortinet FortiGate 60F gestisce 200 tunnel SSL e 500 IPSec. Il collo di bottiglia non e quasi mai il numero di tunnel, ma la banda Internet dell'azienda: con 100 Mbit/s in upload, puoi gestire circa 50 utenti in smart working attivi contemporaneamente (ognuno usa 1-2 Mbit/s). Se hai piu utenti, considera la banda dedicata o soluzioni ZTNA cloud-based che non gravano sulla connessione dell'ufficio.

La VPN aziendale e conforme a GDPR e NIS2?

La VPN da sola non garantisce la conformita, ma e uno strumento fondamentale. Il GDPR richiede misure tecniche adeguate per proteggere i dati personali in transito: la VPN con AES-256 soddisfa questo requisito. La NIS2 (recepita in Italia con D.Lgs. 138/2024) impone misure di sicurezza per le reti aziendali: la VPN con autenticazione MFA, logging degli accessi e segmentazione della rete copre i principali requisiti. Per essere pienamente conformi servono anche: firewall con IPS, endpoint protection, backup e un piano di risposta agli incidenti. BullTech accompagna le PMI nel percorso di compliance NIS2 con un assessment completo.

Quanto costa implementare una VPN aziendale nel 2026?

I costi reali nel 2026 sono: (1) VPN su firewall gia presente (WatchGuard, Fortinet): costo zero per la licenza VPN, servono 2-4 ore di configurazione (300-600 euro una tantum). (2) Firewall nuovo WatchGuard T45 + configurazione VPN completa con MFA: 1.500-2.500 euro una tantum + 50-100 euro/mese di licenza. (3) VPN cloud-based (Cloudflare Access, Zscaler): 5-15 euro/utente/mese senza hardware da acquistare. (4) Con un contratto MSP BullTech: la VPN e inclusa nel canone di assistenza a partire da 25 euro/postazione/mese. Per 20 utenti in smart working, la soluzione piu economica e la VPN su firewall esistente; la piu flessibile e lo ZTNA cloud-based.

Come configurare una VPN aziendale per lo smart working?

La configurazione tipica per lo smart working aziendale richiede 5 step: (1) Scegli il protocollo — SSL VPN per massima compatibilita, WireGuard per massime prestazioni. (2) Attiva l'MFA — codice OTP o app authenticator su tutti gli utenti, non solo gli admin. (3) Configura lo split tunneling — solo il traffico verso risorse aziendali passa dalla VPN, il resto va diretto su internet. (4) Distribuisci il client VPN via GPO o Intune ai PC aziendali con certificato pre-installato. (5) Monitora gli accessi — log centralizzati su chi si connette, da dove, per quanto tempo. BullTech configura VPN per smart working in 24h per PMI gia dotate di firewall WatchGuard.

VPN Aziendale: WireGuard vs OpenVPN, Costi 2026

Q: Come faccio a rendere la VPN aziendale piu sicura?

Cinque interventi immediati: (1) Attiva l'MFA su tutti gli accessi VPN — se un attaccante ruba le credenziali, senza il secondo fattore non entra. (2) Usa certificati digitali invece di solo username/password — molto piu difficili da rubare. (3) Segmenta la rete: gli utenti VPN devono accedere solo alle risorse di cui hanno bisogno, non a tutta la rete. (4) Monitora gli accessi: chi si connette, da dove, a che ora — gli accessi anomali vanno indagati. (5) Aggiorna il firmware del firewall: le vulnerabilita VPN sono tra le piu sfruttate dagli attaccanti. BullTech configura VPN con tutti e 5 questi livelli di sicurezza per ogni cliente.

Nel 2026 una VPN aziendale costa da 5 a 15 €/utente/mese per soluzioni cloud (WireGuard, OpenVPN) e da 2.000 a 8.000 € per appliance on-premise (Fortinet, SonicWall). Secondo Gartner (2025), entro il 2027 il 70% delle nuove implementazioni di accesso remoto sarà ZTNA (Zero Trust Network Access) anziché VPN tradizionale. BullTech Informatica, MSP dal 2009 a Vimercate (MB), ha configurato oltre 200 VPN site-to-site e remote access per PMI multi-sede. In questa guida: ZTNA vs VPN classica, WireGuard vs OpenVPN vs IPSec, costi reali e setup. Chiama il 039 5787 212 per una consulenza gratuita.

Definizione

Una VPN aziendale (Virtual Private Network) e un tunnel cifrato che collega in modo sicuro un utente remoto o una sede distaccata alla rete aziendale attraverso Internet. La VPN cripta tutto il traffico con algoritmi come AES-256, rendendo i dati illeggibili per chiunque intercetti la comunicazione. Per le PMI, la VPN e lo strumento principale per abilitare lo smart working sicuro, collegare sedi multiple e proteggere l'accesso remoto ai sistemi aziendali.

Fatti chiave — VPN Aziendale 2026

78% delle aziende italiane usa VPN per lo smart working (Osservatorio Politecnico, 2025)
3 tipi principali: IPSec (IKEv2), SSL/TLS, WireGuard
2 modalita: site-to-site (tra sedi) e client-to-site (remote access)
AES-256: lo standard di crittografia usato da governi e militari
5-15%: overhead tipico sulla velocita con protocolli moderni
200+ VPN aziendali configurate da BullTech per PMI lombarde (2009-2026)

I tipi di VPN aziendale: quale serve alla tua azienda

Non tutte le VPN sono uguali. La scelta del protocollo e della modalita dipende da cosa devi fare, quanti utenti hai e che livello di sicurezza ti serve. Partiamo dalle due modalita di base.

VPN Site-to-Site: collegare le sedi

La VPN site-to-site crea un tunnel permanente tra due (o piu) sedi aziendali. I firewall delle due sedi si parlano in continuazione e tutto il traffico tra le sedi e cifrato. I dipendenti non devono installare nulla: accedono alle risorse dell'altra sede come se fossero sulla stessa rete locale. E la soluzione standard per aziende con piu sedi che devono condividere gestionale, file server o Active Directory.

VPN Client-to-Site: lo smart working

La VPN client-to-site (o remote access VPN) permette a un singolo utente di connettersi alla rete aziendale dal proprio PC o smartphone. L'utente installa un client VPN, inserisce le credenziali (con MFA, speriamo) e accede alle risorse aziendali come se fosse in ufficio. E la soluzione per lo smart working, i dipendenti in trasferta e i consulenti esterni che devono accedere ai sistemi.

I protocolli VPN a confronto: IPSec, SSL, WireGuard

IPSec con IKEv2 — Lo standard enterprise

IPSec e il protocollo VPN piu diffuso in ambito aziendale. Lavora a livello di rete (Layer 3) e cifra tutto il traffico IP tra i due endpoint. IKEv2 e la versione moderna del protocollo di scambio chiavi: e veloce, stabile e gestisce bene il passaggio tra reti (esempio: il dipendente passa dal Wi-Fi al 4G senza perdere la connessione VPN). Tutti i firewall enterprise lo supportano nativamente: WatchGuard, Fortinet, Cisco, Palo Alto. E la nostra raccomandazione standard per le VPN site-to-site e per le aziende con Active Directory.

SSL/TLS VPN — La praticita

La SSL VPN lavora a livello di applicazione (Layer 7) e usa lo stesso protocollo HTTPS dei siti web sicuri. Il vantaggio principale: funziona anche dietro firewall e proxy restrittivi, perche il traffico VPN e indistinguibile dal normale traffico HTTPS sulla porta 443. Non serve aprire porte speciali. E la scelta ideale per le remote access VPN quando i dipendenti si collegano da reti non controllate (hotel, aeroporti, Wi-Fi pubblici). WatchGuard la chiama “Mobile VPN with SSL”, Fortinet la chiama “SSL VPN”.

WireGuard — Il nuovo arrivato veloce

WireGuard e il protocollo VPN piu moderno: base di codice minima (4.000 righe vs le 400.000 di OpenVPN), crittografia moderna di livello militare (ChaCha20, Curve25519), prestazioni eccellenti (meno overhead, meno latenza). I limiti per l'uso enterprise: nessuna integrazione nativa con Active Directory, gestione certificati manuale, logging minimale. Quando usarlo: PMI piccole (5-15 utenti) con pfSense/OPNsense che vogliono la VPN piu veloce possibile senza complessita enterprise.

Caratteristica	IPSec IKEv2	SSL/TLS	WireGuard
Velocita	Alta	Media	Molto alta
Integrazione AD	Nativa	Nativa	No
Attraversa proxy/firewall	No	Si (porta 443)	No
Stabilita mobile	Eccellente	Buona	Eccellente
Complessita setup	Media	Bassa	Bassa
Uso consigliato	S2S + enterprise RA	Remote access	Piccole PMI

VPN per PMI 2026: quale protocollo scegliere

Riepilogo pratico dei protocolli VPN più usati dalle PMI italiane nel 2026, con indicazione del caso d'uso ideale.

Protocollo	Velocità	Sicurezza	Configurazione	Ideale per
WireGuard	Molto alta	Alta	Semplice	PMI moderne, smart working
IPSec/IKEv2	Alta	Molto alta	Complessa	Site-to-site, compliance
OpenVPN	Media	Alta	Media	Compatibilità universale
SSL VPN (WatchGuard)	Alta	Alta	Semplice	BullTech consiglia per PMI

Soluzioni VPN enterprise a confronto

La VPN non e un prodotto a se: e una funzionalita del firewall aziendale. La scelta del firewall determina quale VPN avrai. Ecco le soluzioni che installiamo e gestiamo per i nostri clienti.

WatchGuard Firebox — La nostra raccomandazione per PMI

WatchGuard offre sia IPSec IKEv2 che SSL VPN (Mobile VPN with SSL). Il client VPN e gratuito, facile da installare e si integra con Active Directory via RADIUS o LDAP. Il punto di forza: l'interfaccia di gestione e chiara anche per non-esperti e la configurazione VPN si fa in 10 minuti. BullTech e partner WatchGuard e configura la maggior parte delle VPN aziendali su questa piattaforma.

Fortinet FortiGate — Per esigenze avanzate

FortiGate ha la VPN SSL integrata con FortiClient (gratuito in versione base) e IPSec con performance eccellenti grazie ai chip ASIC dedicati. Il vantaggio rispetto a WatchGuard: prestazioni VPN piu alte con molti tunnel concorrenti (100+), SD-WAN integrata e FortiClient con endpoint protection (nella versione a pagamento). Lo svantaggio: configurazione piu complessa e curva di apprendimento piu ripida.

Alternative moderne: ZTNA e SASE

La VPN tradizionale ha un problema architetturale: una volta connesso, l'utente ha accesso a tutta la rete (o a una buona parte). Se le sue credenziali vengono compromesse, l'attaccante ha lo stesso accesso. Le alternative moderne:

ZTNA (Zero Trust Network Access): verifica identita, dispositivo e contesto prima di dare accesso a ogni singola applicazione, non all'intera rete. Esempio: Zscaler Private Access, Cloudflare Access, Microsoft Entra Private Access. Per le PMI che hanno spostato tutto nel cloud, lo ZTNA e il sostituto naturale della VPN.

SD-WAN con VPN integrata: per le aziende multi-sede, la SD-WAN sostituisce le VPN site-to-site con una rete overlay intelligente che ottimizza il traffico tra le sedi e verso il cloud. WatchGuard, Fortinet e Meraki offrono SD-WAN integrata nei firewall.

Come configurare una VPN aziendale sicura

Una VPN mal configurata e peggio di nessuna VPN: da un falso senso di sicurezza. Ecco le best practice che applichiamo a ogni installazione.

MFA obbligatorio: ogni accesso VPN richiede username + password + secondo fattore (app authenticator o token hardware)

Certificati digitali: oltre alla password, ogni dispositivo ha un certificato univoco — se il PC viene rubato, revochi il certificato e blocchi l'accesso

Split tunneling controllato: solo il traffico aziendale passa dalla VPN, il resto va diretto su Internet — ma con policy di sicurezza sul dispositivo

Segmentazione post-VPN: gli utenti VPN accedono SOLO alle risorse di cui hanno bisogno, non a tutta la rete — commerciali vedono il CRM, non i server

Logging e monitoraggio: ogni connessione VPN viene registrata (chi, quando, da dove, quanto tempo) per audit e rilevamento anomalie

Aggiornamento firmware: il firewall VPN deve essere sempre aggiornato — le CVE sui servizi VPN sono tra le piu sfruttate dagli attaccanti

Timeout automatico: le sessioni VPN si chiudono dopo 8 ore o 30 minuti di inattivita — evita tunnel dimenticati aperti per giorni

Costi reali di una VPN aziendale

Scenario	Costo iniziale	Costo annuo
VPN su firewall esistente (10 utenti)	300-600 € (config)	Incluso nella licenza FW
VPN site-to-site 2 sedi (nuovi FW)	3.000-5.000 €	600-1.600 € (licenze)
ZTNA cloud-based (20 utenti)	500-1.000 € (setup)	2.400-3.600 €
SD-WAN 3 sedi con VPN integrata	6.000-10.000 €	2.000-4.000 € (licenze)

Il consiglio BullTech: se hai gia un firewall WatchGuard o Fortinet in azienda, la VPN e probabilmente gia inclusa — basta configurarla correttamente. Non serve comprare nulla di nuovo. Se il firewall e vecchio o sottodimensionato, l'upgrade e il momento giusto per avere VPN, SD-WAN e sicurezza aggiornata in un colpo solo.

VPN vs ZTNA: cosa scegliere nel 2026

La domanda che ci fanno piu spesso: “La VPN e superata? Devo passare al Zero Trust?” La risposta: dipende dalla tua infrastruttura.

Tieni la VPN se: hai server e applicazioni on-premise (gestionale locale, file server, Active Directory), hai bisogno di collegare piu sedi con tunnel permanenti, hai un firewall recente che gia supporta VPN e MFA.

Valuta lo ZTNA se: hai spostato il 70%+ dei servizi nel cloud (Microsoft 365, gestionali SaaS), i tuoi dipendenti lavorano prevalentemente da remoto, vuoi un approccio “verifica sempre, non fidarti mai” per ogni accesso.

Approccio ibrido (il piu comune per le PMI nel 2026): VPN site-to-site per collegare le sedi e accedere alle risorse on-premise, MFA e Conditional Access per le risorse cloud (Microsoft 365), graduale migrazione verso ZTNA man mano che i servizi si spostano nel cloud. Noi di BullTech accompagniamo le aziende in questa transizione graduale, senza strappi.

Costi VPN Aziendale 2026: riepilogo per PMI

Tre scenari reali di costo per una VPN aziendale nel 2026:

Soluzione	Costo iniziale	Costo mensile	Note
VPN software (WireGuard)	Gratuito	€20–50 (server)	Serve competenze Linux per la gestione
VPN hardware (WatchGuard)	Da €900 (firewall)	€0 VPN integrata	SSL e IPSec inclusi nel firewall
VPN managed (BullTech)	Setup incluso	Da €100/mese tutto incluso	Firewall, VPN, MFA, monitoraggio

WireGuard vs OpenVPN vs IPsec: Confronto 2026

Il costo medio di una VPN aziendale gestita è 5-15€/utente/mese per soluzioni ZTNA cloud, oppure un setup una tantum di 500-2.000€ su firewall dedicato (WatchGuard, Fortinet). Ecco il confronto tra i 3 protocolli più usati nel 2026:

Protocollo	Velocità	Sicurezza	Compatibilità	Ideale per
WireGuard	Eccellente (−5% overhead)	Molto alta (ChaCha20)	Linux, Android, iOS, Windows	PMI con gestione Linux, team tecnico
OpenVPN	Buona (−15% overhead)	Altissima (AES-256)	Tutti i SO, firewall, router	Ambienti eterogenei, compliance
IPsec IKEv2	Ottima (−8% overhead)	Altissima	Nativo iOS/Android/Windows	Dispositivi mobili, smart working
SSL VPN	Buona	Alta	Universale (passa ogni firewall)	Smart working, hotel, 4G, reti restrittive

Per proteggere gli accessi remoti al livello successivo, leggi la guida su Zero Trust Security per aziende. Per abilitare lo smart working sicuro end-to-end, scopri il nostro approccio al smart working aziendale sicuro. Approfondisci anche le best practice per la sicurezza degli accessi remoti aziendali.

FAQ: VPN vs Zero Trust e Scelta per PMI

Quale VPN scegliere per PMI nel 2026?

Per la maggior parte delle PMI italiane con 10-50 utenti, la raccomandazione BullTech è SSL VPN su firewall WatchGuard o Fortinet: passa qualsiasi rete (hotel, 4G, aeroporti), si integra con Active Directory e supporta MFA nativo. Il costo di setup è 500-1.500€ una tantum; la gestione mensile è inclusa nel contratto MSP. Per aziende con team tecnico Linux, WireGuard è più veloce e gratuito, ma richiede gestione manuale dei certificati.

VPN vs Zero Trust: quale è meglio per le aziende?

Non si escludono: la VPN protegge il tunnel di connessione alla rete aziendale, Zero Trust (ZTNA) verifica identità e dispositivo prima di ogni accesso alle singole applicazioni. Per PMI con infrastruttura on-premise (server, file server, gestionale), la VPN è ancora la scelta più pratica. Per aziende full-cloud (tutto su Microsoft 365, SaaS), lo ZTNA con Conditional Access è più moderno ed efficace. Il costo ZTNA cloud: 5-15€/utente/mese (Cloudflare Access, Zscaler). Il costo VPN su firewall già presente: praticamente zero.

VPN, ZTNA e SASE: Quale Scegliere nel 2026

La VPN non è più l'unica soluzione per l'accesso remoto sicuro. Nel 2026 le PMI hanno tre opzioni principali: VPN tradizionale, ZTNA (Zero Trust Network Access) e SASE (Secure Access Service Edge). Non si escludono: spesso coesistono.

Parametro	VPN Tradizionale	ZTNA	SASE
Modello di accesso	Rete intera (una volta dentro, accesso a tutto)	App per app — solo ciò che serve	Cloud-native — tutto convergente
Sicurezza	Media — lateral movement possibile	Alta — zero trust per default	Molto alta — CASB + SWG + ZTNA
Performance	Buona (on-premise) / media (cloud)	Ottima (PoP globali)	Ottima (edge distribuito)
Complessità gestione	Bassa (già configurata)	Media (policy per app)	Alta (infrastruttura cloud)
Costo mensile (PMI 30 utenti)	Quasi zero (firewall già presente)	€150–450/mese (€5–15/utente)	€600–1.500/mese (€20–50/utente)
Ideale per	PMI con infrastruttura on-premise	PMI ibride (on-prem + SaaS)	Aziende multi-sede full-cloud

Soluzioni ZTNA e SASE concrete per PMI italiane

Cloudflare Access (ZTNA)

Da €3/utente/mese — piano gratuito fino a 50 utenti

Protegge l'accesso a singole applicazioni web/SaaS senza VPN. Integrazione con Microsoft Entra ID (ex Azure AD). Ideale per aziende con app web interne esposte su internet.

Zscaler Private Access (ZTNA)

€8–15/utente/mese

Standard enterprise per ZTNA. Connette utenti alle app aziendali senza aprire porte sul firewall perimetrale. Richiede configurazione professionale.

Palo Alto Prisma Access (SASE)

€20–40/utente/mese

Piattaforma SASE completa: ZTNA + SWG (Secure Web Gateway) + CASB + SD-WAN. Per aziende multi-sede con esigenze di sicurezza enterprise.

WatchGuard SASE (TDR + DNSWatch)

Incluso nel contratto MSP BullTech

La nostra scelta per le PMI: componenti SASE integrati nel firewall WatchGuard già presente. Zero costi aggiuntivi per chi ha già un contratto MSP con noi.

Per approfondire la sicurezza degli accessi, leggi anche la nostra guida sull' SD-WAN per aziende e la guida al firewall aziendale.

FAQ: VPN vs ZTNA — le domande che ci fanno ogni giorno

Devo migrare dalla VPN allo ZTNA?

Non necessariamente. Se la tua infrastruttura è prevalentemente on-premise (server fisici, file server, gestionale locale), la VPN su firewall è ancora la scelta più efficiente e meno costosa. Devi valutare ZTNA quando: hai molti dipendenti in smart working con accesso a SaaS, hai subito incidenti di sicurezza legati alla VPN (credential stuffing, accessi non autorizzati), sei soggetto a compliance NIS2 che richiede controllo granulare degli accessi.

Quanto costa passare da VPN a ZTNA per una PMI di 20 utenti?

Il costo dipende dalla soluzione: Cloudflare Access parte da €3/utente/mese (€60/mese per 20 utenti) e ha un tier gratuito fino a 50 utenti. Zscaler e Microsoft Entra Private Access costano €8–15/utente/mese (€160–300/mese). A questi si aggiunge il costo di configurazione iniziale: 500–1.500€ una tantum con un MSP. La VPN già presente sul firewall costa essenzialmente zero di gestione mensile — ZTNA ha senso solo se i vantaggi di sicurezza giustificano la spesa.

SASE è adatto a una PMI italiana?

SASE è la scelta giusta per PMI con almeno 2-3 sedi, team distribuiti e infrastruttura prevalentemente cloud (Microsoft 365, Azure, AWS). Per PMI con una sede e server on-premise, SASE è sovradimensionato: aggiunge complessità e costi senza proporzionali benefici. La soluzione ibrida — VPN per on-premise + ZTNA cloud per SaaS — è la più diffusa tra le PMI italiane nel 2026.

VPN per Smart Working PMI 2026: Cosa Serve Davvero

Nel 2026, il 78% delle PMI italiane ha almeno parte del personale in smart working (Osservatorio Politecnico, 2025). La VPN resta il pilastro, ma le esigenze sono cambiate: non basta più “connettersi al server”, serve un accesso sicuro, veloce e gestibile anche per chi non è tecnico.

Ecco cosa serve davvero a una PMI con 10-50 dipendenti in smart working:

VPN SSL su firewall WatchGuard o Fortinet — funziona da qualsiasi rete (hotel, 4G, Wi-Fi pubblico) senza problemi di porte bloccate

MFA obbligatorio — username + password + app authenticator. Senza MFA, una password rubata = rete aziendale compromessa

Split tunneling controllato — solo il traffico aziendale (gestionale, file server, CRM) passa dalla VPN, il resto va diretto. Riduce il carico sul firewall del 60-70%

Endpoint protection (Bitdefender EDR) su ogni PC che si collega in VPN — un PC compromesso in smart working diventa un ponte per il ransomware

Policy di accesso per ruolo — i commerciali vedono il CRM, non i server. Gli amministrativi vedono il gestionale, non il database SQL

Monitoraggio accessi VPN — chi si connette, da dove, a che ora. Gli accessi anomali (login alle 3 di notte da un IP estero) generano alert immediato

Il costo? Se hai già un firewall WatchGuard o Fortinet, la VPN è inclusa. Serve solo configurarla correttamente (2-4 ore di lavoro, 300-600€ una tantum). Per chi parte da zero: un firewall WatchGuard T45 + configurazione VPN + MFA costa circa 1.500-2.500€ una tantum + 50-100€/mese di licenza. Con un contratto MSP BullTech, è tutto incluso nel canone mensile.

Per approfondire la sicurezza dello smart working, leggi la guida smart working sicuro per aziende. Se hai bisogno di collegare più sedi, scopri il nostro servizio reti aziendali.

Domande frequenti sulla VPN aziendale

Piano	Prezzo	Include
VPN Remote Access (fino a 10 utenti)	da €150/mese	SSL/IPSec + MFA + monitoraggio accessi
VPN Site-to-Site (2 sedi)	da €250/mese	IPSec + failover automatico + SD-WAN
Setup una tantum (configurazione completa)	€300-600	Analisi rete, configurazione firewall, test e documentazione