TL;DR
- • Zero Trust significa “non fidarsi mai, verificare sempre”: ogni accesso viene autenticato, anche dall'interno della rete.
- • L'MFA con Microsoft 365 Business Premium copre il 70% dei benefici Zero Trust ed è già incluso a €22/utente/mese.
- • Una roadmap completa per una PMI con 20-50 utenti richiede 6 mesi e un budget da €5.000 a €15.000.
- • BullTech offre assessment Zero Trust gratuito: analizziamo i rischi attuali e il percorso ottimale per la tua azienda.
Hai una VPN aziendale, un firewall, e pensi di essere al sicuro. Ma se un dipendente lavora da casa con un PC infetto, o se le credenziali di un account vengono rubate con un attacco di phishing, quella VPN diventa la porta aperta che permette agli attaccanti di muoversi liberamente dentro la tua rete. Il modello Zero Trust nasce esattamente per risolvere questo problema: non esiste una “zona sicura”, ogni accesso viene verificato ogni volta. In questa guida spieghiamo cos'è, i 5 pilastri concreti, e come le PMI italiane possono implementarlo senza spendere un capitale.
Cos'è il Modello Zero Trust (Senza Gergo)
Il modello di sicurezza tradizionale funziona come un castello medievale: c'è un fossato (il firewall), chi entra dentro le mura è considerato amico. Il problema è che nel 2026, il “dentro le mura” non esiste più: i dipendenti lavorano da casa, dal bar, dai clienti. I dati sono su cloud, su server interni, su laptop personali. Il perimetro si è dissolto.
Zero Trust ribalta la logica: nessuno è automaticamente fidato, neanche chi è già dentro la rete. Ogni richiesta di accesso viene valutata in tempo reale considerando: chi sei (identità verificata con MFA), da dove ti connetti (dispositivo aziendale o personale? Italia o Nigeria?), a cosa stai cercando di accedere (serve davvero a questo utente?), e il contesto (comportamento anomalo? orario insolito?).
Il principio è “Never trust, always verify” — non fidarti mai, verifica sempre. Non una volta sola al login, ma ad ogni sessione, ad ogni accesso a una risorsa critica.
I 5 Pilastri del Zero Trust per la PMI
Verifica ogni identità
MFA obbligatorio per tutti gli utenti, senza eccezioni. Accesso condizionale: blocca login da paesi insoliti, da dispositivi non gestiti, fuori orario di lavoro. Con Microsoft 365 Business Premium (€22/utente/mese), questa funzionalità è già inclusa e configurabile in mezza giornata.
Controlla ogni dispositivo
Solo i dispositivi gestiti e conformi possono accedere alle risorse aziendali. Con Microsoft Intune (incluso in M365 Business Premium) puoi applicare policy di sicurezza su tutti i PC, Mac e smartphone aziendali: cifratura disco obbligatoria, antivirus aggiornato, Windows Update attivo. I dispositivi non conformi vengono bloccati automaticamente.
Micro-segmenta la rete
Suddividi la rete aziendale in segmenti isolati: i PC di produzione non devono ‘vedere’ i server gestionali, i dispositivi IoT devono essere in una VLAN separata. Se un ransomware colpisce un PC, non deve poter raggiungere il server dei dati. Firewall next-gen con micro-segmentazione: €2.000-5.000 per una PMI.
Accesso minimo alle app
Ogni utente accede solo alle applicazioni che gli servono davvero. L'addetto alla contabilità non deve vedere i dati HR, il commerciale non deve accedere ai server di produzione. Revisione periodica dei permessi: almeno ogni 6 mesi, rimuovi gli accessi degli ex dipendenti e dei collaboratori che non lavorano più con voi.
Classifica e proteggi i dati
Non tutti i dati sono uguali. Classifica: pubblico, interno, riservato, confidenziale. Applica crittografia ai dati riservati e confidenziali, sia in transito che a riposo. Con Microsoft Purview (incluso in alcuni piani M365), puoi classificare automaticamente i documenti e applicare policy di protezione. I dati sensibili dei clienti devono essere cifrati sempre.
Implementazione Pratica per PMI: Da Dove Iniziare
Il Zero Trust non si implementa tutto in una settimana. Si procede per fasi, partendo dalle aree a rischio più alto e dal valore più immediato. Ecco la sequenza ottimale per una PMI italiana con 10-50 dipendenti.
Fase 1: Identità e MFA (settimane 1-4)
Il 90% degli attacchi passa per credenziali compromesse. Attivare l'MFA su tutti gli account è il singolo intervento con il miglior rapporto impatto/costo. Con Microsoft 365, si fa in poche ore:
- Abilita l'MFA per tutti gli utenti dall'Admin Center
- Configura l'accesso condizionale (blocca login da paesi non usati)
- Abilita SSPR (Self-Service Password Reset) per ridurre le chiamate al supporto
- Rivedi gli account admin: chi ha davvero bisogno di privilegi elevati?
- Attiva Privileged Identity Management (PIM) per i diritti admin temporanei
Costo: incluso in Microsoft 365 Business Premium (€22/utente/mese). Se non avete ancora M365, il piano Business Basic a €6/utente/mese copre almeno l'MFA base.
Fase 2: Dispositivi e Conformità (mese 2)
Configura Microsoft Intune per gestire tutti i dispositivi aziendali. Imposta le policy: cifratura BitLocker obbligatoria, antivirus attivo e aggiornato, patch management automatico, PIN/password sullo schermo, blocco automatico dopo 5 minuti di inattività. I dispositivi che non rispettano queste policy vengono bloccati automaticamente dall'accesso alle risorse aziendali.
Attenzione ai dispositivi personali (BYOD): se i dipendenti usano i propri smartphone o PC per lavorare, devi decidere una policy chiara. Le opzioni sono: vieta il BYOD (più sicuro), oppure usa la gestione parziale del dispositivo con Intune (solo l'app aziendale viene gestita, i dati personali rimangono separati). L'accesso senza nessuna gestione è un rischio che nel 2026, con il NIS2 in vigore, non puoi più permetterti.
Fase 3: Rete e Micro-segmentazione (mesi 3-4)
Rivedi l'architettura di rete con un esperto di sicurezza IT. Gli interventi tipici per una PMI:
- VLAN separate per PC dipendenti, server, dispositivi IoT/stampanti, WiFi ospiti
- Regole firewall per limitare il traffico tra segmenti (default deny)
- Sostituisci la VPN tradizionale con ZTNA se hai molti lavoratori da remoto — leggi la nostra guida su VPN vs ZTNA per PMI
- Implementa DNS filtering per bloccare domini malevoli e siti non categorizzati
Un firewall di nuova generazione con funzionalità di micro-segmentazione e IPS/IDS costa tra €2.000 e €5.000 per una PMI con 20-50 postazioni, inclusa la configurazione.
Fase 4: Applicazioni e Dati (mesi 5-6)
- Revisione completa dei permessi su tutti i sistemi (chi accede a cosa)
- Rimozione accessi non necessari (principio del minimo privilegio)
- Classificazione dei dati sensibili con Microsoft Purview o strumenti equivalenti
- Cifratura dei dati a riposo sui server e nei backup
- Log centralizzato di tutti gli accessi (SIEM leggero o Microsoft Sentinel)
Costi Reali Zero Trust 2026: Quanto Spende una PMI
| Componente | Soluzione | Costo indicativo | Note |
|---|---|---|---|
| MFA + Accesso Condizionale | Microsoft 365 BP | €22/utente/mese | Già incluso se hai M365 BP |
| Gestione dispositivi (MDM) | Microsoft Intune | €0 | Incluso in M365 BP |
| Firewall next-gen + segmentazione | Fortinet / Sophos / Palo Alto | €2.000–5.000 | Una tantum + licenza annua ~€500 |
| ZTNA (sostituisce VPN) | Microsoft Entra / Zscaler | €3.000–8.000 | Setup + licenze annuali |
| Classificazione dati | Microsoft Purview | €0–2.000 | Base incluso in M365, avanzato a parte |
| Assessment + consulenza | BullTech | Gratuito | Assessment iniziale senza impegno |
| Totale implementazione base | MFA + dispositivi + firewall | ~€2.000–5.000 una tantum | |
| Totale ZTNA completo (20-50 utenti) | Tutti i 5 pilastri | ~€5.000–15.000 una tantum | |
* Prezzi indicativi Q2 2026, IVA esclusa. I costi mensili M365 sono per utente. Configurazione e consulenza BullTech inclusa nell'assessment gratuito.
Roadmap 6 Mesi: Piano Operativo per la Tua PMI
MFA e identità
- • Abilita MFA per tutti gli utenti M365
- • Configura accesso condizionale (blocca paesi esteri, dispositivi non gestiti)
- • Verifica e riduci i permessi admin
- • Disattiva account ex dipendenti
Dispositivi e conformità
- • Deploy Intune su tutti i PC e smartphone aziendali
- • Applica policy: BitLocker, antivirus, blocco schermo
- • Definisci policy BYOD
- • Prima verifica stato di conformità
Audit rete e piano segmentazione
- • Inventario completo: tutti i dispositivi in rete
- • Mappatura traffico tra segmenti
- • Piano VLAN: uffici, server, IoT, ospiti
- • Scelta e ordine firewall next-gen (se mancante)
Micro-segmentazione
- • Deploy nuovo firewall o riconfigura l'esistente
- • Crea VLAN separate per ogni segmento
- • Configura regole default-deny tra segmenti
- • Attiva DNS filtering
Applicazioni e permessi
- • Revisione permessi su tutti i sistemi
- • Principio minimo privilegio applicato
- • Accesso condizionale anche per le app on-premise
- • ZTNA per remote worker (se numerosi)
Dati e monitoraggio
- • Classificazione dati sensibili
- • Cifratura dati a riposo
- • Log centralizzato accessi
- • Verifica finale e documentazione della postura Zero Trust
Domande Frequenti sul Zero Trust
Cos'è il modello Zero Trust?
È un approccio alla sicurezza informatica dove ogni accesso viene verificato, anche dall'interno della rete aziendale. Il principio è “non fidarti mai, verifica sempre”. Niente più “sei dentro la VPN quindi sei sicuro”: ogni utente, ogni dispositivo, ogni applicazione deve autenticarsi e dimostrare di avere i permessi necessari prima di accedere a qualsiasi risorsa. MFA obbligatorio, segmentazione della rete, monitoraggio continuo.
Quanto costa implementare Zero Trust?
L'MFA è praticamente gratis con Microsoft 365 Business Premium (€22/utente/mese — già incluso se lo usate). La micro-segmentazione con un firewall next-gen costa €2.000-5.000. Un ZTNA completo costa €5.000-15.000 per una PMI con 20-50 utenti. BullTech offre un assessment Zero Trust gratuito: prenota una chiamata e ti diciamo da dove vale la pena iniziare.
Zero Trust è adatto a una PMI piccola?
Sì, e il punto di partenza è più semplice di quanto sembri. Le PMI piccole possono ottenere il 70% dei benefici Zero Trust con solo MFA e accesso condizionale su Microsoft 365, senza investimenti aggiuntivi. I passaggi successivi si aggiungono gradualmente in base al rischio e al budget. Non serve fare tutto in una volta.
Zero Trust sostituisce la VPN?
Lo ZTNA (Zero Trust Network Access) è pensato proprio per sostituire la VPN tradizionale. La differenza fondamentale: la VPN dà accesso all'intera rete una volta connessi, lo ZTNA dà accesso solo alle specifiche applicazioni autorizzate. Se un account VPN viene compromesso, l'attaccante entra nella rete intera. Con ZTNA, anche un account compromesso ha accesso limitato a pochissime risorse. Vedi la nostra guida su VPN aziendale e ZTNA.
Bottom Line
Zero Trust non è un prodotto che si compra, è un approccio che si implementa per gradi. Il primo passo — attivare l'MFA su tutti gli account Microsoft 365 — si fa in meno di un giorno e blocca il 99% degli attacchi basati su password rubate. Parti da lì.