Nel 2025, il 68% delle violazioni aziendali in Italia ha sfruttato credenziali rubate o accessi laterali dentro la rete — non attacchi dall'esterno. Il modello "dentro la rete sei al sicuro" non funziona più. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB) con oltre 200 clienti B2B, ha implementato Zero Trust per più di 40 aziende. Ecco come funziona davvero e come implementarlo senza spendere una fortuna.
Cos'è Zero Trust: "Never Trust, Always Verify"
Zero Trust non è un prodotto che compri. È un modello di sicurezza basato su un principio semplice: non fidarti di nessuno, verifica sempre. Non importa se sei collegato dalla rete dell'ufficio o dalla VPN aziendale — ogni richiesta di accesso viene autenticata, autorizzata e criptata. Ogni volta.
Il concetto nasce da una constatazione banale: il perimetro aziendale non esiste più. Con lo smart working, il cloud, i dispositivi personali e le app SaaS, i dati aziendali sono ovunque. Costruire un muro attorno alla rete e sperare che tenga è come mettere un cancello in mezzo a un campo aperto. Zero Trust parte dal presupposto che la rete è già compromessa e agisce di conseguenza.
Sicurezza perimetrale vs Zero Trust
Per capire perché Zero Trust è necessario, confrontiamolo con il modello tradizionale che la maggior parte delle PMI usa ancora oggi.
| Aspetto | Sicurezza Perimetrale | Zero Trust |
|---|---|---|
| Filosofia | Fidati di chi è dentro la rete | Non fidarti mai, verifica sempre |
| Perimetro | Firewall = confine unico | Micro-perimetri attorno a ogni risorsa |
| Accesso | VPN = accesso completo alla rete | Accesso solo alle risorse specifiche necessarie |
| Movimento laterale | Libero una volta dentro | Bloccato: ogni risorsa richiede autenticazione |
| Smart working | Richiede VPN, lento | Nativo: funziona da ovunque |
| Visibilità | Limitata al traffico nord-sud | Completa: ogni richiesta è loggata |
| Costo per PMI | Basso (solo firewall) | Medio (3.000-15.000 € setup) |
Se la tua azienda usa ancora solo un firewall aziendale come unica difesa, stai giocando con le regole del 2010. Non è che il firewall non serva — è che non basta più. La gestione di Active Directory rimane fondamentale per il controllo dell'accesso alle risorse aziendali, anche in un modello Zero Trust.
I 5 pilastri di Zero Trust
Microsoft, NIST e Forrester concordano su 5 pilastri fondamentali. Vediamoli con esempi concreti per PMI, non per enterprise da 10.000 dipendenti.
1. Identity (Identità)
Ogni utente deve essere verificato con certezza. La password da sola non basta — servono MFA (Multi-Factor Authentication), conditional access (accesso condizionato in base a rischio, posizione, dispositivo) e SSO (Single Sign-On). Con Microsoft Entra ID (ex Azure AD), puoi impostare regole tipo: "se l'utente accede da un Paese diverso dall'Italia, richiedi approvazione MFA aggiuntiva". Costo: incluso in Microsoft 365 Business Premium (20,60 €/utente/mese).
2. Device (Dispositivi)
Un utente può essere legittimo, ma se il suo laptop ha Windows 7 senza antivirus, non deve accedere ai dati aziendali. Zero Trust verifica la conformità del dispositivo: sistema operativo aggiornato, antivirus attivo, disco criptato, pin/password impostati. Con Microsoft Intune (incluso in M365 Business Premium) puoi definire policy di compliance e bloccare automaticamente i dispositivi non conformi.
3. Network (Rete)
La rete va segmentata in micro-segmenti. Un contabile non deve poter raggiungere il server di sviluppo. Un tecnico di manutenzione non deve vedere i dati HR. La segmentazione di rete (NAC) limita il raggio d'azione di un eventuale attaccante. Anche con un semplice switch managed e VLAN, puoi creare segmenti separati per amministrazione, produzione, ospiti e IoT.
4. Application (Applicazioni)
Ogni applicazione deve autenticare l'utente indipendentemente dalla rete. ZTNA (Zero Trust Network Access) sostituisce la VPN tradizionale: invece di dare accesso a tutta la rete, dà accesso solo all'applicazione specifica. Tool come Cloudflare Access, Zscaler Private Access o Fortinet ZTNA permettono di pubblicare le applicazioni interne senza esporre la rete. Un utente accede al gestionale, non alla rete dove gira il gestionale.
5. Data (Dati)
I dati vanno classificati e protetti in base alla sensibilità. Microsoft Purview (incluso in M365 E5 o acquistabile separatamente) permette di etichettare i documenti come "confidenziale", "interno" o "pubblico" e applicare automaticamente crittografia, watermark e restrizioni di condivisione. Un foglio Excel con i dati dei dipendenti non dovrebbe poter essere inoltrato via email a un indirizzo esterno.
Implementazione Zero Trust step-by-step per PMI
Non serve comprare tutto subito. Ecco un percorso graduale in 4 fasi che funziona per PMI da 10 a 50 utenti.
Fase 1: Identity & MFA (settimana 1-2)
Attiva MFA per tutti gli utenti. Tutti. Nessuna eccezione, nemmeno il titolare. Configura conditional access con Entra ID: blocca accessi da Paesi non autorizzati, richiedi MFA per accessi da dispositivi non gestiti, blocca protocolli legacy (IMAP, POP3, SMTP autenticato). Solo questa fase blocca il 99,9% degli attacchi basati su credenziali rubate. Costo aggiuntivo: zero se hai già M365 Business Premium.
Fase 2: Device compliance & ZTNA (settimana 3-6)
Registra tutti i dispositivi aziendali in Intune. Definisci le policy di compliance: Windows 11 aggiornato, BitLocker attivo, antivirus aggiornato, firewall attivo. I dispositivi non conformi vengono bloccati automaticamente. Sostituisci la VPN con ZTNA per le applicazioni critiche. Costo: 2.000-5.000 € per la configurazione iniziale.
Fase 3: Segmentazione rete e protezione dati (mese 2-3)
Crea VLAN separate: una per il management, una per i client, una per i server, una per gli ospiti, una per i dispositivi IoT. Configura regole firewall inter-VLAN restrittive. Implementa la classificazione dei dati con Microsoft Purview o almeno con policy DLP base in M365. Costo: 1.000-5.000 € per la segmentazione di rete (dipende dall'infrastruttura esistente).
Fase 4: Monitoring e tuning continuo (mese 3-4 e poi ongoing)
Configura il logging centralizzato: tutti gli accessi, tutti i tentativi falliti, tutte le modifiche ai permessi. Microsoft Sentinel (SIEM cloud) o un SIEM on-premise raccolgono e correlano i log. Rivedi mensilmente le policy, rimuovi gli accessi non più necessari, aggiorna le regole di conditional access. Zero Trust non è un progetto con una fine — è un processo continuo.
Tool per Zero Trust: cosa serve davvero
Non servono 10 tool diversi. Per una PMI, bastano questi:
| Tool | Funzione | Costo indicativo |
|---|---|---|
| Microsoft Entra ID (P2) | Identity, MFA, Conditional Access | 9 €/utente/mese |
| Microsoft Intune | Device compliance, MDM | Incluso in M365 Business Premium |
| Cloudflare Access | ZTNA, pubblicazione app interne | Gratuito fino a 50 utenti |
| Zscaler Private Access | ZTNA enterprise | ~15 €/utente/mese |
| Fortinet ZTNA | ZTNA integrato con FortiGate | Incluso nella licenza FortiGate |
| Microsoft Sentinel | SIEM cloud, monitoring | Da 2 €/GB di log ingeriti |
Il consiglio pratico: se hai già Microsoft 365 Business Premium, hai già il 60% degli strumenti necessari. Aggiungi Cloudflare Access (gratuito) per il ZTNA e hai una base solida. Non serve comprare Zscaler a 15 €/utente/mese se hai 20 dipendenti.
Costi reali di Zero Trust per PMI
Parliamo di numeri concreti, non di "contattaci per un preventivo". Per una PMI con 10-50 utenti:
- Setup iniziale: 3.000-15.000 € (assessment, configurazione identity, conditional access, ZTNA, segmentazione rete, formazione)
- Licenze mensili: 500-1.500 €/mese (M365 Business Premium + eventuali add-on)
- Gestione continuativa MSP: 500-1.500 €/mese (monitoring, tuning policy, incident response)
- ROI: un singolo incidente ransomware costa in media 120.000 € a una PMI italiana (fonte: Clusit 2025). Zero Trust costa meno di un incidente.
Come BullTech implementa Zero Trust
Non vendiamo "Zero Trust" come pacchetto magico. Facciamo un cybersecurity assessment iniziale per capire dove sei oggi. Poi costruiamo un piano graduale in 4 fasi, senza stravolgere le operazioni quotidiane. I nostri clienti continuano a lavorare normalmente mentre migriamo l'infrastruttura verso Zero Trust.
Gestiamo l'intero ciclo: configurazione Entra ID e conditional access, enrollment dei dispositivi in Intune, segmentazione di rete con firewall Fortinet o Sophos, implementazione ZTNA, monitoring continuo. Come azienda informatica Milano specializzata in sicurezza, affianchiamo le PMI in ogni fase. Per i clienti con contratto MSP, il tuning mensile delle policy è incluso nel canone.
Vuoi implementare Zero Trust nella tua azienda?
BullTech offre un assessment gratuito della sicurezza della tua infrastruttura. Analizziamo identità, dispositivi, rete e applicazioni per costruire un piano Zero Trust su misura. Chiamaci al 039 6099 023 o scrivici.