"Non fidarti di nessuno, verifica sempre." Sembra il motto di un film di spionaggio, e invece è il principio su cui si basa l'architettura Zero Trust — il modello di sicurezza che nel 2026 sta diventando lo standard per le aziende di ogni dimensione. Secondo Gartner, il 72% delle imprese europee sta adottando almeno un componente Zero Trust. E no, non serve essere una multinazionale: con BullTech si parte da €5/utente/mese.
Cos'è il Modello Zero Trust?
Il concetto di Zero Trust nasce nel 2010, quando John Kindervag di Forrester Research pubblica il paper "No More Chewy Centers". L'idea è semplice: il vecchio modello "castello e fossato" — dove tutto ciò che sta dentro la rete aziendale è considerato sicuro — non funziona più. Con il lavoro ibrido, il cloud e i dispositivi personali, il perimetro non esiste più.
L'architettura Zero Trust ribalta la logica: nessun utente, dispositivo o applicazione viene considerato affidabile a priori. Ogni singola richiesta di accesso viene verificata in base a identità, stato del dispositivo, posizione geografica e comportamento. Se qualcosa non torna, l'accesso viene bloccato — anche se l'utente è il titolare dell'azienda collegato dall'ufficio.
In pratica, il Zero Trust è un cambio di mentalità più che un singolo prodotto da comprare. Ma servono strumenti concreti per metterlo in piedi. E qui entra in gioco la parte che interessa a un imprenditore: quanto costa, cosa serve e quanto tempo ci vuole.
I 5 Principi dell'Architettura Zero Trust
Non esiste un prodotto "Zero Trust" da installare e via. L'architettura si fonda su cinque principi che guidano ogni decisione tecnica. Ecco cosa significano in parole semplici per una PMI.
1. Mai fidarsi, verificare sempre
Ogni richiesta di accesso viene autenticata e autorizzata, a prescindere da dove arriva. L'utente in ufficio passa gli stessi controlli di chi lavora da casa. Strumento chiave: MFA (autenticazione multi-fattore) su tutti gli account.
2. Privilegio minimo (Least Privilege)
Ogni utente ha accesso solo a quello che gli serve per lavorare, niente di piu'. Il commerciale non vede i dati contabili, l'amministrazione non accede ai server. Strumento chiave: Role-Based Access Control (RBAC) in Microsoft Entra ID.
3. Micro-segmentazione della rete
La rete viene divisa in zone isolate. Se un ransomware entra dal PC del magazzino, non riesce a raggiungere il server con i dati contabili. Strumento chiave: VLAN + firewall WatchGuard con policy per zona.
4. Monitoraggio continuo
Ogni accesso, ogni file aperto, ogni connessione viene registrata e analizzata in tempo reale. Se un account si comporta in modo anomalo (accesso alle 3 di notte dalla Romania), scatta il blocco automatico. Strumento chiave: EDR Bitdefender + SIEM.
5. Assume Breach (dai per scontata la violazione)
L'architettura viene progettata partendo dal presupposto che qualcuno entrera'. L'obiettivo non e' solo prevenire, ma contenere e rispondere. Strumento chiave: piano di incident response + backup immutabile con Veeam.
Zero Trust per PMI: Quanto Costa Davvero?
Parliamo di soldi, che è quello che interessa. Il Zero Trust non deve costare un capitale: si può attivare in modo graduale, partendo dai componenti che hanno il rapporto costo/impatto migliore. Ecco i tre piani che BullTech offre alle PMI italiane.
| Piano BullTech ZTA | Prezzo/utente/mese | Cosa include | Ideale per |
|---|---|---|---|
| ZTA Basic | da €5 | MFA su tutti gli account, conditional access, endpoint compliance check | PMI fino a 50 utenti, primo passo verso il Zero Trust |
| ZTA Business | da €12 | Tutto il Basic + micro-segmentazione rete, ZTNA (sostituzione VPN), RBAC avanzato | Aziende con lavoro ibrido e dati sensibili |
| ZTA Enterprise | da €20 | Full stack + SOC monitoring H24, EDR gestito, incident response, report compliance NIS2 | PMI soggette a NIS2, sanità, finance, infrastrutture critiche |
Costi una tantum — Assessment Zero Trust
- Zero Trust Assessment (gap analysis + roadmap)€2.500 – 5.000
- Configurazione MFA + Conditional Accessincluso nel piano ZTA
- Micro-segmentazione rete (firewall + VLAN)€1.500 – 4.000
- Formazione dipendenti (mezza giornata)€500 – 800
Per una PMI con 20 utenti che parte dal piano ZTA Basic, il costo è di €100/mese più l'assessment iniziale da €2.500. In un anno: circa €3.700. Meno del costo medio di un singolo incidente ransomware in Italia (€850.000 secondo il rapporto Clusit 2025). I numeri parlano da soli.
Come BullTech Attiva il Zero Trust in 4 Settimane
La parte che spaventa di più gli imprenditori non è il costo, ma la complessità. "Non voglio fermare l'azienda per un progetto di sicurezza" è la frase che sentiamo più spesso. Ecco perché abbiamo strutturato un percorso a impatto zero sull'operatività.
Settimana 1: Assessment e Gap Analysis
Mappiamo la situazione attuale: utenti, dispositivi, applicazioni, flussi di accesso. Identifichiamo i gap rispetto al modello Zero Trust e produciamo una roadmap con priorita' e costi. Costo: da 2.500 euro.
Settimana 2: MFA e Conditional Access
Attiviamo l'autenticazione multi-fattore su tutti gli account con WatchGuard AuthPoint o Microsoft Entra ID. Configuriamo le policy di conditional access: blocco da paesi a rischio, obbligo di dispositivi conformi, verifica in tempo reale.
Settimana 3: Endpoint Compliance e Segmentazione
Installiamo Bitdefender GravityZone su tutti gli endpoint per la compliance check. Configuriamo la micro-segmentazione della rete con il firewall WatchGuard: ogni zona (ufficio, server, Wi-Fi ospiti) diventa un compartimento stagno.
Settimana 4: Test, Formazione e Go-Live
Testiamo ogni scenario di accesso (ufficio, VPN, da casa, smartphone). Facciamo formazione al team (mezza giornata). Attiviamo il monitoraggio continuo e consegniamo il report di compliance. Da qui in poi, BullTech gestisce e monitora tutto.
Perimetro Tradizionale vs Zero Trust: Confronto Diretto
Per capire davvero perché il mondo della sicurezza IT si sta spostando verso il Zero Trust, metti a confronto i due modelli su situazioni che succedono tutti i giorni nelle PMI italiane.
| Scenario | Perimetro Tradizionale | Zero Trust |
|---|---|---|
| Dipendente collegato in VPN | Accesso completo alla rete interna | Accesso solo alle app autorizzate, verificato in tempo reale |
| Credenziali rubate via phishing | L'attaccante accede come l'utente, senza limiti | MFA blocca l'accesso; conditional access rileva anomalia |
| Ransomware sul PC del magazzino | Si propaga a tutta la rete (server, NAS, backup) | Micro-segmentazione contiene l'infezione alla zona magazzino |
| Lavoro da casa / smart working | VPN lenta, accesso piatto a tutto | ZTNA veloce, accesso granulare per app |
| Dispositivo personale (BYOD) | Bloccato o accesso libero — nessuna via di mezzo | Accesso condizionato: solo se il device rispetta le policy |
| Costo medio annuo (20 utenti) | €3.000–5.000 (firewall + VPN + antivirus) | €3.700–6.400 (ZTA Basic/Business + assessment) |
La differenza di costo è minima (poche centinaia di euro all'anno in più), ma la differenza di protezione è enorme. Il perimetro tradizionale è un castello con un fossato: se qualcuno attraversa il ponte levatoio, ha le chiavi di tutto. Il Zero Trust è un edificio dove ogni porta ha il suo badge, ogni stanza ha la sua telecamera e ogni accesso lascia una traccia.
Zero Trust e NIS2: Perché Serve dal 2026
La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024 ed efficace dal 2024, impone a migliaia di aziende italiane (non solo le grandi) obblighi stringenti in materia di cybersecurity. E molti di questi obblighi richiedono di fatto un'architettura Zero Trust.
In sostanza: se la tua azienda rientra nel perimetro NIS2 (e dal 2026 ci rientrano anche molte PMI nei settori energia, trasporti, sanità, manifatturiero, alimentare e servizi digitali), attivare il Zero Trust ti permette di coprire la maggior parte dei requisiti tecnici in un colpo solo. Per approfondire le scadenze, leggi la nostra guida NIS2 scadenze 2026: calendario completo.
Attenzione: il Zero Trust non basta da solo per la NIS2
La NIS2 richiede anche governance, formazione del personale, gestione della supply chain e notifica degli incidenti entro 24 ore. Il Zero Trust copre la parte tecnica, ma serve un piano di compliance completo. BullTech offre il pacchetto NIS2 Compliance + ZTA da €800 per l'adeguamento iniziale.
Le Tecnologie dello Stack BullTech Zero Trust
Niente marketing fumoso: ecco esattamente cosa usiamo e perché. Ogni componente dello stack è scelto per rapporto prezzo/efficacia e compatibilità con le infrastrutture tipiche delle PMI italiane.
| Componente | Tecnologia | Cosa fa |
|---|---|---|
| Identity & Access | Microsoft Entra ID | Gestione identità, conditional access, SSO, RBAC |
| MFA | WatchGuard AuthPoint | Autenticazione multi-fattore con token hardware/software e push |
| Endpoint Protection | Bitdefender GravityZone | EDR, compliance check, rilevamento anomalie comportamentali |
| Network Security | WatchGuard Firebox | Firewall UTM, micro-segmentazione, IPS, VPN/ZTNA |
| Backup & Recovery | Veeam Backup | Backup immutabile, disaster recovery, assume breach readiness |
Tutti i componenti vengono gestiti e monitorati dal NOC BullTech a Vimercate (MB). Non devi diventare un esperto di sicurezza: pensiamo a tutto noi. Per approfondire la protezione della rete, leggi la nostra guida completa al firewall aziendale. Se vuoi capire come funziona la protezione degli endpoint, dai un'occhiata alla guida EDR aziendale: guida completa 2026.
I 3 Errori Più Comuni sul Zero Trust
Dopo aver attivato il Zero Trust per decine di aziende lombarde, questi sono gli errori che vediamo più spesso:
"Pensare che basti attivare l'MFA"
L'MFA e' il primo passo (e il piu' importante), ma il Zero Trust richiede anche conditional access, endpoint compliance, segmentazione di rete e monitoraggio. L'MFA da sola copre circa il 30% del modello.
"Comprare un prodotto 'Zero Trust' e considerarsi a posto"
Nessun singolo prodotto e' Zero Trust. Serve un'architettura integrata: identity + endpoint + rete + monitoraggio. Diffida di chi vende un firewall e lo chiama 'soluzione Zero Trust'.
"Attivare tutto insieme il primo giorno"
Il percorso deve essere graduale per non bloccare l'operativita'. Prima MFA (settimana 1-2), poi conditional access, poi segmentazione. BullTech lo fa in 4 settimane proprio per questo.
Zero Trust Architettura: Tutto Quello che Devi Sapere
L'architettura Zero Trust è un modello di sicurezza informatica che elimina la fiducia implicita nella rete aziendale. A differenza del modello tradizionale "perimetro + firewall", il Zero Trust verifica ogni singola richiesta di accesso in base a identità, stato del dispositivo, posizione e comportamento dell'utente. Introdotto da Forrester nel 2010, nel 2026 è adottato dal 72% delle aziende europee (Gartner). I cinque pilastri sono: verifica continua, privilegio minimo, micro-segmentazione di rete, monitoraggio costante e progettazione assume-breach. Per una PMI italiana con 20 utenti, il costo parte da €100/mese (piano BullTech ZTA Basic) con un percorso di attivazione in 4 settimane. La direttiva NIS2 rende di fatto necessarie molte delle misure previste dall'architettura Zero Trust, anche per le piccole e medie imprese nei settori regolamentati.
Vuoi capire se il Zero Trust fa al caso della tua azienda? Contattaci per un assessment gratuito di 30 minuti: analizziamo la tua situazione e ti diciamo cosa serve, quanto costa e in quanto tempo si fa.