Logo Patrick Pasquillo - Digital Maker e consulente software in Ticino

mail@patrickpasquillo.net

+41 76 320 99 34

Sicurezza digitale e privacy per le PMI ticinesi: cosa impone la legge e come costruire una protezione concreta

Sicurezza digitale e privacy per le PMI ticinesi: cosa impone la legge e come costruire una protezione concreta

  • Patrick Pasquillo
  • 30 Maggio 2026
  • 4:14 pm
  • 0 commenti
15 minuti di lettura

"Un incidente di sicurezza informatica in una PMI svizzera costa in media tra i 50'000 e i 200'000 franchi tra ripristino, mancato fatturato e danni reputazionali. La maggior parte si sarebbe potuta prevenire con misure che costano meno di 1'000 franchi l’anno."

Sicurezza digitale e conformità nLPD: due facce dello stesso obbligo

La sicurezza digitale e la protezione dei dati personali vengono spesso trattate come due argomenti separati. La prima è di competenza tecnica, la seconda è di competenza legale. Nelle PMI ticinesi questa separazione è ancora più netta. La sicurezza informatica viene considerata un problema da risolvere quando qualcosa si rompe, la nLPD (legge sulla privacy svizzera) viene percepita come una questione che riguarda i grandi operatori o, al massimo, gli studi medici e le fiduciarie.

Entrambe queste percezioni sono sbagliate e il costo di tenerle separate si misura in modo molto concreto quando si verifica un incidente.

La nuova Legge federale sulla Protezione dei Dati, entrata in vigore il 1° settembre 2023, ha cambiato il quadro normativo in maniera sostanziale. Non si tratta di un aggiornamento cosmetico. La nLPD introduce il principio di accountability, ovvero l’obbligo per ogni organizzazione che tratta dati personali di poter dimostrare di averlo fatto in modo corretto. Non è più sufficiente non aver commesso violazioni. Occorre poter provare di aver adottato misure adeguate per prevenirle. E le misure di sicurezza tecnica, le protezione dei sistemi, il controllo degli accessi, i backup verificati, gli aggiornamenti dei software sono tutte parte integrante di queste misure.

In altre parole la sicurezza digitale non è più separabile dalla conformità normativa. Una PMI che gestisce in modo corretto i dati dei propri clienti ma ha i sistemi informatici esposti a vulnerabilità note non è conforme alla nLPD. Una PMI che ha un firewall aggiornato ma non sa dove vengono conservati i dati che raccoglie non è conforme alla nLPD. La conformità richiede entrambe le cose contemporaneamente.

Il problema reale: le PMI ticinesi sono più esposte di quanto credano

Esiste una convinzione diffusa tra i titolari di piccole e medie imprese ticinesi che li rende particolarmente vulnerabili: "siamo troppo piccoli per essere un bersaglio." Questa convinzione è empiricamente falsa e comprenderla è il primo passo per affrontare seriamente il problema.

Gli attacchi informatici contro le PMI non sono quasi mai mirati. Sono automatizzati da bot che scansionano sistematicamente migliaia di indirizzi IP alla ricerca di vulnerabilità note, plugin di WordPress non aggiornati, credenziali di accesso deboli, porte di comunicazione aperte. L’azienda ticinese di 5-10 dipendenti è un bersaglio esattamente quanto una grande organizzazione, perché la scansione non distingue per dimensioni. Distingue solo tra sistemi protetti e sistemi vulnerabili, perché i dati dal quale traggono profitto li hanno tutti.

I dati svizzeri confermano questa realtà. Secondo il Centro Nazionale per la Cibersicurezza (NCSC), i casi segnalati di attacchi informatici contro le PMI svizzere sono aumentati ogni anno dal 2020. Il ransomware, il tipo di attacco in cui i dati aziendali vengono cifrati e viene chiesto un riscatto per restituirli, colpisce in modo sproporzionato le organizzazioni di piccole dimensioni, proprio perché sono quelle meno preparate a rispondere.

A questo si aggiunge un rischio che molte PMI non considerano, ossia il rischio interno. La maggior parte degli incidenti di sicurezza non nasce da un attacco esterno sofisticato, ma da un collaboratore che clicca su un link in un’e-mail di phishing, che usa la stessa password su più sistemi, che scarica un allegato da un mittente sconosciuto. La formazione del personale non è un lusso per pochi ma è la misura di sicurezza con il miglior rapporto tra costo e impatto disponibile per una PMI.

"Il server di un’azienda ticinese può ricevere benissimo in un singolo giorno oltre 900 richieste automatizzate alla ricerca di backdoor e vulnerabilità note. Se le protezioni adeguate sono attive bloccano tutto. Senza quelle protezioni, il risultato sarebbe diverso."

L’errore più comune: trattare la sicurezza come un progetto una tantum

La sicurezza digitale non è uno stato che si raggiunge e poi si mantiene automaticamente. È un processo continuo che richiede attenzione periodica, aggiornamenti costanti e una cultura organizzativa che consideri la protezione dei dati parte del modo ordinario di lavorare, non un’eccezione riservata alle emergenze.

L’errore più diffuso nelle PMI ticinesi è quello di aver fatto "qualcosa per la sicurezza" in passato, forse un aggiornamento del firewall, forse l’installazione di un antivirus, forse la lettura di un articolo sulla nLPD, e di ritenere che questo basti per un periodo indefinito. Le vulnerabilità informatiche non si fermano ad aspettare. Ogni giorno vengono scoperte e pubblicate nuove vulnerabilità nei software più diffusi e ogni giorno i bot automatici cercano sistemi che non le hanno ancora corrette.

Il secondo errore, strettamente collegato al primo, è delegare interamente la sicurezza a un tecnico esterno senza che nessuno all’interno dell’azienda abbia la responsabilità di verificare che le misure siano effettivamente attive e funzionanti. Un contratto di manutenzione con un fornitore esterno non garantisce automaticamente che i backup vengano eseguiti e verificati, che i log di sicurezza vengano monitorati, che i collaboratori sappiano come riconoscere un tentativo di phishing. La sicurezza richiede sempre un referente che abbia consapevolezza di ciò che esiste e di ciò che funziona.

Il terzo errore è specifico alla conformità nLPD. Molte PMI hanno aggiornato la Privacy Policy sul sito web nel 2023 e ritengono di essere a posto. La Privacy Policy è un documento visibile verso l’esterno, ma la conformità nLPD richiede molto di più quasi per tutti. Un Registro dei Trattamenti aggiornato, contratti DPA con tutti i fornitori che trattano dati personali, procedure per rispondere alle richieste degli interessati e un piano di risposta agli incidenti che includa la notifica in caso di violazione. Il Registro dei Trattamenti, anche se non sempre obbligatoario, è meglio crearlo già quando si trattano dati di un solo dipendente, proprio per questione di dati possibilimente sensibili.

La soluzione corretta: un sistema di protezione a tre livelli

Un sistema di sicurezza digitale efficace per una PMI ticinese non deve essere né complesso né costoso. Deve essere strutturato in livelli progressivi, ciascuno dei quali aggiunge una linea di difesa specifica. I tre livelli descritti di seguito coprono la maggior parte dei rischi reali che una PMI affronta quotidianamente e possono essere implementati in modo sequenziale nell’arco di poche settimane.

Livello 1: Protezione tecnica dei sistemi

Il primo livello riguarda la protezione dell’infrastruttura tecnica. I dispositivi usati dal team, i sistemi di accesso, i siti web e le applicazioni cloud. Le misure prioritarie sono 5.

La prima è l’autenticazione a due fattori su tutti i sistemi critici: e-mail aziendale, gestionale, banking online, pannello di amministrazione del sito web. L’autenticazione a due fattori elimina il rischio legato al furto della password, che è la causa più frequente di compromissione degli account. Attivare questa misura costa zero franchi e richiede meno di un’ora per l’intero team.

La seconda è un gestore di password aziendale: uno strumento che genera password complesse e uniche per ogni servizio e le archivia in modo cifrato. L’alternativa, ossia usare la stessa password su più sistemi o conservare le credenziali in un file Excel condiviso, è sia una vulnerabilità tecnica sia un problema legale ai sensi della nLPD, che richiede misure adeguate per proteggere l’integrità dei dati personali.

La terza è la cifratura dei dispositivi: BitLocker su Windows, FileVault su macOS. Se un laptop aziendale viene smarrito o rubato, la cifratura del disco rende inaccessibili i dati anche a chi lo ha in mano fisicamente. La nLPD considera questo tipo di misura tra le "adeguate misure tecniche" richieste per la protezione dei dati personali.

La quarta è il firewall applicativo per i siti WordPress: la combinazione di Cloudflare a livello DNS e Wordfence (per esempio) a livello applicativo blocca automaticamente i pattern di attacco più comuni prima che raggiungano il sistema. Il 43% dei siti WordPress compromessi ha plugin non aggiornati al momento dell’attacco: questa misura riduce drasticamente la superficie di esposizione.

La quinta è il backup verificato: non basta che i backup esistano, occorre che vengano testati periodicamente con un ripristino reale su un ambiente di test. Un backup non verificato è una promessa senza garanzia. Il sistema raccomandato per le PMI ticinesi prevede backup giornalieri automatici conservati off-site su infrastruttura svizzera, come per esempio Swiss Backup di Infomaniak che è la soluzione più adatta per il mercato locale per localizzazione dei dati, conformità nLPD e rapporto qualità-prezzo.

Livello 2: Conformità documentale alla nLPD

Il secondo livello riguarda la struttura documentale che la nLPD impone a ogni organizzazione che tratta dati personali. 4 documenti sono fondamentali.

Il Registro dei Trattamenti è obbligatorio per le organizzazioni che trattano dati personali su larga scala o che trattano categorie particolari di dati sensibili. Anche se non rientra nell’obbligo formale, avere un registro è la misura più efficace per avere visibilità su cosa succede ai dati in azienda: quali dati si raccolgono, da chi, per quale scopo, per quanto tempo si conservano, a chi vengono trasmessi. Il registro non deve essere un documento complesso. Una tabella in un foglio di calcolo con sei colonne è sufficiente per la maggior parte delle PMI.

I contratti DPA con i fornitori di servizi cloud sono obbligatori ogni volta che un fornitore tratta dati personali per conto dell’azienda: il provider di hosting, il software CRM, la piattaforma di e-mail marketing, lo strumento AI usato per i processi interni. Senza questo contratto, in caso di incidente, la responsabilità ricade interamente sull’azienda cliente, indipendentemente da cosa ha fatto il fornitore.

La Privacy Policy sul sito web deve descrivere in modo preciso quali dati vengono raccolti, per quale scopo, dove vengono conservati e chi li tratta. Un aggiornamento del 2023 che non cita i fornitori AI adottati nel 2025 non è una Privacy Policy aggiornata.

Il piano di risposta agli incidenti è il documento che stabilisce cosa fare nelle prime 72 ore successive alla scoperta di una violazione dei dati: chi contattare internamente, come valutare la gravità dell’incidente, quando e come notificare il Garante federale, come comunicare con i clienti interessati. La nLPD impone la notifica al Garante entro 72 ore quando la violazione può comportare un rischio elevato per i diritti degli interessati. Senza un piano preparato in anticipo, queste 72 ore diventano un’emergenza caotica invece di una procedura gestibile.

Livello 3: Cultura della sicurezza nel team

Il terzo livello è quello più spesso trascurato e quello con il maggiore impatto a lungo termine, ossia la formazione del personale. La grande maggioranza degli incidenti di sicurezza origina da un errore umano: un’e-mail di phishing a cui viene dato credito, una password condivisa in modo non sicuro, un allegato aperto senza verificare il mittente.

La formazione non deve essere un corso formale da otto ore. Bastano tre regole che tutto il team conosce e applica: non cliccare su link in e-mail che non si aspettavano di ricevere, usare il gestore di password per tutti i sistemi aziendali, segnalare immediatamente al referente qualsiasi comportamento anomalo di un sistema. Queste tre regole, se interiorizzate, riducono il rischio di incidente in modo più efficace di qualsiasi software di sicurezza installato rispetto a un team non formato.

Procedura pratica: come valutare la posizione di sicurezza della tua PMI in sei passi

Questa sequenza operativa permette a qualsiasi PMI di avere un quadro chiaro della propria posizione di sicurezza in meno di una giornata di lavoro, senza richiedere competenze tecniche specializzate.

  1. Passo 1 Fai un inventario di tutti i sistemi e i software che la tua azienda usa.

Includi i dispositivi (computer, telefoni aziendali), i servizi cloud (e-mail, gestionale, CRM, strumenti AI), il sito web e qualsiasi altra piattaforma che raccoglie, usa o conserva dati aziendali o di clienti. Questo inventario è il punto di partenza per qualsiasi valutazione di sicurezza e per la costruzione del Registro dei Trattamenti.

  • Passo 2 Verifica se l’autenticazione a due fattori è attiva su tutti i sistemi critici.

Controlla e-mail aziendale, gestionale, banking, pannello WordPress e qualsiasi altro sistema che contenga dati personali di clienti o dati finanziari. Se non è attiva attivala immediatamente. È la misura con il miglior rapporto costo-beneficio disponibile.

  • Passo 3 Verifica che i backup esistano, che siano automatici e che siano stati testati negli ultimi trenta giorni.

Apri il pannello del tuo sistema di backup e verifica l’ultimo backup eseguito con successo. Se non esiste un sistema di backup automatico, o se l’ultimo test di ripristino non è mai stato fatto, questo è il punto più urgente da correggere.

  • Passo 4 Controlla la lista dei fornitori cloud che trattano dati personali e verifica l’esistenza di un DPA firmato con ognuno.

Per ogni servizio cloud nella lista dell’inventario che tratta dati di clienti o dipendenti, cerca il DPA nella documentazione del fornitore. Se non esiste, quel fornitore non è adatto al trattamento di dati personali in un contesto professionale svizzero e va sostituito o eliminato.

  • Passo 5 Aggiorna la Privacy Policy del sito con i fornitori effettivamente in uso.

Confronta la Privacy Policy attuale con l’inventario dei sistemi. Se ci sono fornitori nella lista che non sono citati nella Privacy Policy, aggiornala. Questo aggiornamento è sia un obbligo normativo sia un segnale di professionalità verso i tuoi clienti.

  • Passo 6 Redigi un piano di risposta agli incidenti di una sola pagina.

Non deve essere un documento complesso. Deve rispondere a tre domande: chi è il referente per la sicurezza, come si valuta se un incidente richiede la notifica al Garante, e come si comunica con i clienti in caso di violazione che li riguarda. Una pagina, aggiornata ogni sei mesi, è infinitamente meglio di nessun piano.

Un esempio: la fiduciaria di Lugano

Una fiduciaria con sede a Lugano, di cinque collaboratori, si trova a dover affrontare un incidente di phishing. Un collaboratore aveva ricevuto un’e-mail apparentemente proveniente da un cliente importante, con un allegato che simulava una fattura. L’allegato conteneva un malware che aveva cifrato i file sul dispositivo locale e tentato di propagarsi alla cartella di rete condivisa.

La buona notizia è che il ransomware non raggiunge i backup, che sono configurati su un sistema off-site separato. La cattiva notizia è che il ripristino richiede due giorni di lavoro tecnico, il dispositivo è inutilizzabile per quarantott’ore, e la fiduciaria deve valutare se l’incidente richiede la notifica al Garante federale. Un processo che, senza un piano di risposta preparato in anticipo, occupa il titolare per un’intera mattinata di valutazioni legali.

La valutazione post-incidente identifica tre lacune precise: nessun sistema di autenticazione a due fattori sull’email aziendale, nessun filtro di sicurezza sulle e-mail in entrata capace di rilevare i pattern di phishing più comuni, e nessuna formazione del team sui segnali di riconoscimento delle e-mail fraudolente.

Il percorso di adeguamento successivo richiede sei settimane e meno di 800 franchi di investimento tecnico: attivazione dell’autenticazione a due fattori su tutta la suite Microsoft 365, configurazione di Microsoft Defender per la protezione, sessione di formazione di due ore con tutto il team. Il titolare usa poi l’incidente come argomento per convincere i soci a formalizzare un Registro dei Trattamenti e a firmare i DPA mancanti con i fornitori cloud: la prova concreta che il rischio è reale rende la conversazione molto più semplice.

"Non si sono mai preoccupati di questi aspetti perché pensavano di essere troppo piccoli. L’incidente dimostra che la dimensione non c’entra nulla. I bot non sanno quanti dipendenti hai."

Mini-riassunto

Questo articolo spiega come le PMI ticinesi possono costruire un sistema di sicurezza digitale conforme alla nLPD, affrontando sia la protezione tecnica dei sistemi sia gli obblighi documentali della nuova normativa svizzera sulla protezione dei dati. I punti chiave sono:

  • La nLPD (in vigore dal 1° settembre 2023) introduce il principio di accountability. Ogni azienda che tratta dati personali deve poter dimostrare di averlo fatto in modo corretto, adottando misure tecniche e organizzative adeguate. La sicurezza digitale e la conformità normativa non sono più separabili.
  • Le PMI ticinesi non sono bersagli troppo piccoli per gli attacchi informatici. La grande maggioranza degli attacchi è automatizzata e colpisce qualsiasi sistema con vulnerabilità note, indipendentemente dalle dimensioni dell’organizzazione.
  • Il sistema di protezione corretto si articola in tre livelli. Protezione tecnica dei sistemi (autenticazione a due fattori, cifratura dei dispositivi, firewall, backup verificati), conformità documentale (Registro dei Trattamenti, contratti DPA, Privacy Policy aggiornata, piano di risposta agli incidenti), cultura della sicurezza nel team (formazione sulle regole fondamentali).
  • La nLPD impone la notifica al Garante federale entro 72 ore dalla scoperta di una violazione che può comportare un rischio elevato per i diritti degli interessati. Senza un piano di risposta preparato in anticipo, questo obbligo diventa una crisi gestita male sotto pressione.
  • La procedura di valutazione in sei passi permette a qualsiasi PMI di avere un quadro chiaro della propria posizione di sicurezza in meno di una giornata, senza competenze tecniche specializzate.
  • Io supporto le PMI ticinesi nella valutazione della posizione di sicurezza, nella costruzione del sistema documentale nLPD e nella selezione degli strumenti di protezione tecnica attraverso consulenza diretta e presto anche con i percorsi formativi di Ticinocorsi Academy.

Approfondisci

Questo articoli approfondiscono temi più specifici:

La tua azienda ha già un sistema di backup verificato, i DPA firmati con i propri fornitori cloud e un piano di risposta agli incidenti? Se una sola di queste tre cose manca, hai una lacuna che la nLPD considera rilevante. Contattami su mail@patrickpasquillo.net per una valutazione della posizione di sicurezza della tua PMI. In una sessione identifichiamo le priorità di intervento e il percorso più rapido per mettere tutto in ordine.

"Resta agile. Continua a eccellere. Guida il cambiamento." Patrick Pasquillo, Digital Collaboration Specialist

Chi sono

Sono Patrick Pasquillo, Digital Collaboration Specialist e consulente tecnologico strategico per micro-imprese, professionisti, associazioni e piccole realtà aziendali in Svizzera e in Italia. Aiuto i business locali a progettare processi di lavoro più agili e sostenibili attraverso l’uso efficace di strumenti software affidabili, conformi alla LPD e alle normative europee.

Lavoro ogni giorno per la contabilità digitale (con soluzioni agili come Banana Contabilità+), CRM utili a livello strategico aziendale, automazioni operative, gestione, sicurezza, backup, manutenzione e aggiornamento di siti WordPress, sicurezza digitale pratica per persone e aziende, e ottimizzazione dei flussi di collaborazione aziendale interna.

La mia filosofia professionale è semplice: rendere la tecnologia comprensibile, utile e realmente applicabile, affinché ogni organizzazione, anche la più piccola, possa rimanere agile, continuare a eccellere e guidare il proprio cambiamento.

Ultime news

×

Caricamento...