Il 23 febbraio 2026, tra l’una di notte e le dieci e mezza del mattino, la mia infrastruttura web, ospitata su server Infomaniak a Ginevra, quindi interamente su suolo svizzero, ha registrato sei eventi ostili distinti: due scansioni alla ricerca di webshell, un flooding applicativo, un tentativo di clonazione del sito, una scansione di vulnerabilità e una ricognizione preliminare. Oltre novecento richieste anomale in meno di dieci ore provenienti da tre provider cloud diversi.
Accessi riusciti: zero. Uno degli attaccanti operava da un’infrastruttura Microsoft Azure. La segnalazione di abuso è stata aperta, presa in carico e chiusa come accertata e con presi provvedimenti da Microsoft con un riferimento del caso verificabile.
Questa non è una simulazione, non è uno scenario di vendita e non è un dato di settore preso da una ricerca americana. È una giornata di lavoro documentata, con orari, volumi e provenienze registrati nei miei logs.
Se la tua azienda ha un sito web, una casella di posta elettronica e un gestionale collegato a internet, quella giornata riguarda sicuramente anche te. La differenza fra chi archivia l’episodio come statistica e chi si ritrova a spiegare ai clienti perché i loro dati sono finiti in mano a qualcun altro non sta nell’essere o meno un bersaglio interessante, perché lo siamo tutti dal momento in cui abbiamo dati di qualsiasi tipo. La differenza sta in ciò che l’attaccante trova quando bussa alla tua porta.
Questa guida spiega che cosa significa davvero sicurezza informatica per una piccola o media impresa di servizi ticinese, quali sono i cinque livelli di difesa che contano, in che ordine costruirli e come dimostrare a un cliente, a un revisore o all’Incaricato federale della protezione dei dati, nello scenario peggiore, di averlo fatto.
1. Che cos’è davvero la sicurezza informatica per una PMI
La sicurezza informatica non è un prodotto che si acquista una tantum, ma una disciplina di gestione del rischio: un insieme di decisioni, procedure e verifiche che riducono la probabilità che un evento ostile danneggi l’azienda, e che ne limitano l’impatto quando l’evento si verifica comunque.
Tecnicamente protegge tre proprietà dell’informazione aziendale. La riservatezza: solo chi deve, vede le cose. L’integrità : i dati non vengono alterati senza che nessuno se ne accorga. La disponibilità : quando servono i dati ci sono. Per una PMI svizzera si aggiunge però una quarta proprietà , che i manuali tecnici trascurano e che nel nostro contesto normativo pesa quanto le altre tre messe insieme: la dimostrabilità .
Non basta essere protetti. Bisogna poter provare di esserlo stati, e poter ricostruire che cosa è successo, quando, e che cosa si è fatto.
La nuova Legge federale sulla protezione dei dati (nLPD), in vigore dal settembre 2023, non chiede alle aziende di essere inattaccabili, ma chiede di adottare misure tecniche e organizzative adeguate al rischio, e di essere in grado di reagire e notificare quando una violazione della sicurezza dei dati comporta un rischio elevato per le persone interessate. La notifica va fatta all’Incaricato federale della protezione dei dati e della trasparenza il più rapidamente possibile. Chi non ha registri, non ha procedure e non sa nemmeno che cosa sia stato toccato, non è semplicemente meno sicuro, ma è nell’impossibilità materiale di adempiere a un obbligo di legge.
L’analogia che uso con i miei clienti
La sicurezza informatica non è una porta blindata. È il fatto di sapere quante chiavi esistono, chi le ha in tasca, quando le hai cambiate l’ultima volta, se qualcuno ha provato a girarne una nella serratura la notte scorsa, e che cosa fai esattamente se domani mattina scopri che la porta è stata aperta. La porta blindata è un componente di tutto il sistema. Il resto è organizzazione, ed è la parte che quasi nessuna PMI ticinese ha mai messo per iscritto.
2. Il problema reale: la tua azienda è già in una lista
Quando si parla di attacchi informatici, l’immagine che viene in mente è quella del criminale che sceglie con cura la sua vittima. La realtà documentata è diversa e, per certi versi, più scomoda di quello che può sembrare: la stragrande maggioranza degli attacchi contro le piccole e medie imprese è condotta da software automatici che scandagliano liste di migliaia di domini (siti web), ventiquattro ore su ventiquattro, alla ricerca di una porta lasciata aperta.
Un attacco automatizzato è un programma che prova in sequenza centinaia di percorsi noti a priori, backdoor lasciate da attacchi precedenti e mai scoperti, file di configurazione esposti pubblicamente, pannelli di amministrazione non protetti, versioni vecchie di plugins o temi per WordPress o altre piattaforme con vulnerabilità pubblicate e semplicemente passa al dominio successivo se non trova nulla. L'attaccante non ti conosce, non sa che cosa fai, non gli interessa quanto fatturi.
Il tuo dominio non è stato scelto da qualcuno seduto a una scrivania, è una voce in una lista, come lo è in questo preciso momento il sito della tua azienda.
Che cosa succede davvero quando la porta è aperta
Le conseguenze non sono astratte, e nel tessuto economico ticinese, fatto di fiduciarie, studi medici, studi legali, immobiliari, artigiani con pochi dipendenti e un rapporto di fiducia costruito in decenni, sono spesso più reputazionali che tecniche.
- Sito web clonato: una copia del tuo sito viene usata per fare phishing contro i tuoi stessi clienti, con il tuo nome, il tuo logo e la tua grafica. Il danno lo subisci tu anche se il server compromesso non è il tuo.
- Spoofing della posta elettronica: qualcuno invia e-mail che sembrano partite esattamente dal tuo ufficio. Il caso classico è la fattura falsa con le coordinate bancarie modificate, inviata a un tuo cliente che paga in buona fede. La conversazione che segue è sempre la stessa ma non finisce bene.
- Blocco operativo: un ransomware cifra i dati e ferma l’azienda. L'azienda non si ferma per un pomeriggio, ma per giorni. La domanda non è quanto costa il riscatto, è quanto costa una settimana con la contabilità , gli ordini e la posta elettronica inaccessibili.
- Violazione dei dati dei clienti: qui non si tratta più di informatica, si tratta di nLPD, privacy, di notifica all’Incaricato federale e di una conversazione scomoda con le persone che ti hanno affidato i loro dati.
C’è poi un’asimmetria di costo che ogni titolare dovrebbe avere chiara in testa, perché è l’unico calcolo che conta davvero. Il costo della prevenzione è noto, pianificabile e distribuito nel tempo. Il costo del ripristino è sconosciuto, immediato e arriva sempre nel momento peggiore. Non sono due voci di spesa comparabili, ma sono due categorie diverse di spesa. Una potrebbe anche essere fallimentare per alcuni.
3. L’errore comune: tre convinzioni che costano care
Errore 1: "Non siamo un bersaglio interessante"
È la frase più ricorrente e la più comprensibile. Nasce da un ragionamento sensato che fa più o meno così: siamo piccoli, non abbiamo segreti industriali, chi vuoi che ci attacchi? Purtroppo questo modo di pensare viene applicato a un fenomeno che non ragiona così. L’attacco automatizzato non valuta l’interesse nella tua azienda, non hanno modo di stare a pensare questo perché semplicemente vanno a pesca e i dati possono essere vendibili sempre. Valutano invece molto spesso la tua resistenza. Le PMI vengono colpite più frequentemente delle grandi aziende proprio perché hanno meno difese, non perché abbiano dati più preziosi. Le grandi aziende hanno un responsabile della sicurezza a tempo pieno. Tu hai un fornitore IT che chiami quando la stampante non funziona più.
Errore 2: la delega cieca al fornitore informatico
Questo è l’errore più diffuso e il più insidioso, perché assomiglia a una decisione responsabile ma non lo è. L’azienda ha un informatico di fiducia, quindi la sicurezza è "coperta". Ma coperta da che cosa, esattamente? Poniti tre domande e verifica se sai rispondere senza telefonare a nessuno:
- Il contratto con il tuo fornitore include il monitoraggio degli accessi, o solo l’assistenza quando qualcosa si rompe?
- Chi verifica che i backup siano ripristinabili, e quando è stata fatta l’ultima verifica reale?
- Se domani mattina i dati fossero inaccessibili, in quante ore torneresti operativo? Esiste un numero, o esiste una speranza?
Se non sai rispondere non è colpa tua e non è necessariamente colpa del tuo fornitore. È che nessuno ti ha mai mostrato dove guardare. Un buon informatico risolve i problemi tecnici, ma la sicurezza è una decisione di governo dell’azienda, e quella decisione e responsabilità resta tua.
Errore 3: confondere il backup con la continuitÃ
Avere un backup significa avere una copia. Essere protetti significa avere verificato che quella copia si ripristina, che si ripristina in un tempo accettabile, che non è stata cifrata anche lei dallo stesso attacco perché era collegata alla stessa rete, e che qualcuno in azienda sa come si fa a ripristinare. Ho visto backup perfettamente funzionanti che nessuno aveva mai provato a riaprire. Un backup mai testato non è una protezione adeguata, è un’ipotesi che scopri solo quando è troppo tardi.
4. La soluzione corretta: i cinque livelli di difesa in ordine
La sicurezza informatica di una PMI si costruisce per livelli, e l’ordine non è negoziabile: proteggere il sito web mentre la casella e-mail del titolare non ha l’autenticazione a due fattori significa mettere l’allarme alle finestre lasciando la chiave sotto lo zerbino. Ecco i livelli nell’ordine in cui vanno affrontati, con il segnale che ti dice se quel livello nella tua azienda è scoperto.
| Livello di difesa | Che cosa protegge | Il segnale che manca |
| Identità | Gli accessi: e-mail, e-banking, gestionale, social, hosting. | Nessuna autenticazione a due fattori. |
| Superficie esposta | Il sito web, il dominio, la e-mail, i servizi raggiungibili da internet. | Plugins non aggiornati da mesi e nessun record DMARC sul dominio. |
| Dati | Dove risiedono i dati dei clienti e chi può accedervi. | Nessun contratto di trattamento dati con i fornitori software. |
| Persona | La capacità dei collaboratori di riconoscere un attacco. | Nessuna formazione documentata negli ultimi dodici mesi. |
| Ripristino | La capacità di tornare operativi dopo un incidente. | Backup presenti ma mai testati con un ripristino reale. |
| Dimostrabilità | La possibilità di provare che cosa è successo e come si è reagito. | Nessun registro degli eventi e nessuna procedura di notifica. |
Livello 1 - Identità : chi entra e come entra
La maggior parte delle compromissioni che ho visto sul campo non nasce da una vulnerabilità esotica, ma nasce da una credenziale. Password riutilizzate, caselle di posta senza secondo fattore, accessi condivisi tra colleghi. Le tre misure che cambiano davvero il quadro sono l’autenticazione a due fattori su tutti gli accessi critici (posta, banca elettronica, hosting, gestionale), un gestore di password aziendale al posto del file Excel o del post-it, e la separazione netta fra gli account pubblici e gli account sensibili, ossia la casella con cui pubblichi sui social non deve essere la stessa con cui accedi all’hosting.
Livello 2 - Superficie esposta: ciò che si vede da internet
Il sito web e il dominio sono la parte della tua azienda visibile a chiunque, e quindi a ogni scanner automatico dei criminali. Qui contano gli aggiornamenti (WordPress, temi e plugin, perché la stragrande maggioranza delle compromissioni sfrutta vulnerabilità note da mesi e già corrette), la riduzione dei componenti installati, ogni plugin in più è una porta in più, e la protezione del dominio di posta con i record SPF, DKIM e DMARC che sono ciò che impedisce a un terzo di inviare e-mail spacciandosi per te e rovinando la fiducia con i tuoi clienti. La maggior parte dei domini aziendali ticinesi che ho analizzato non ha un record DMARC in modalità di applicazione. Seppure sia gratuito in molti casi non c’è.
Livello 3 - Dato: dove sono e chi può vederli
Questo livello è il ponte fra la sicurezza informatica e la conformità nLPD, e nel contesto svizzero non è un dettaglio giuridico ma è una scelta di sovranità . Sapere fisicamente dove risiedono i dati dei tuoi clienti, avere un contratto di trattamento dei dati (DPA) con ogni fornitore che li tocca, e valutare consapevolmente se un servizio ospitato negli Stati Uniti sia compatibile con la sensibilità delle informazioni che gestisci. Uno studio medico e una fiduciaria non hanno lo stesso margine di manovra di un negozio di biciclette, e queste particolarità devono saperle.
Livello 4 - Persona: l’anello che ogni attaccante prende di mira
Nessuna tecnologia protegge da un collaboratore che clicca. Ed è importante essere chiari, non clicca perché è sprovveduto ma clicca perché l’e-mail era credibile, arrivava in un momento di fretta e portava il nome di un fornitore reale. La formazione non serve a colpevolizzare nessuno, serve a costruire il riflesso di fermarsi mezzo secondo prima. È l’investimento con il rapporto costo-efficacia più alto di tutta la sicurezza aziendale, ed è anche l’unico che si può documentare come misura organizzativa ai sensi della nLPD.
Livello 5 - Ripristino: quanto tempo ti serve per tornare in piedi
La regola operativa è quella del 3-2-1: tre copie dei dati, su due supporti diversi, di cui una fuori sede e non collegata alla rete aziendale. Ma la regola vale zero se non è accompagnata da un ripristino di prova periodico, con un cronometro. Il numero che devi conoscere non è "quanti backup ho", ma "in quante ore torno operativo". Se non hai quel numero, non hai un piano, hai un archivio.
Il livello trasversale - La dimostrabilitÃ
Questo livello attraversa tutti gli altri e li rende difendibili. Significa tenere un registro degli eventi, sapere chi ha accesso a che cosa, avere una procedura scritta che dica chi chiama chi nelle prime tre ore di un incidente, e conservare le evidenze. Nel caso del 23 febbraio 2026 di cui ho parlato nell'introduzione, ciò che ha trasformato un attacco in un asset aziendale non è stata soltanto la difesa tecnica, ma è stata la documentazione. Orari, volumi, provenienze, segnalazione inviata, risposta ricevuta, caso chiuso. Un attacco non documentato è solo un brutto ricordo. Un attacco documentato è al contrario una prova di competenza.
5. La procedura: novanta giorni per mettere in sicurezza una PMI
Questo è il percorso che applico realmente con le aziende che seguo. Non richiede un budget da grande impresa, richiede sequenza. Il valore non sta nell’elenco delle attività da svolgere, ma sta nel farle in quest’ordine e nel verificarle davvero.
Giorni 1-30: fermare l’emorragia
- Inventario degli accessi: elenca ogni servizio digitale aziendale, chi vi accede e con quale account. Quasi nessuna azienda completa questo elenco senza scoprire almeno un accesso ancora attivo di qualcuno che non lavora più lì.
- Autenticazione a due fattori su posta elettronica, e-banking, hosting web e gestionale. Priorità assoluta, costo zero, mezza giornata di lavoro.
- Aggiornamento completo del sito web: core, temi, plugin, magari con un abbonamento di manutenzione che già offro ai miei clienti. Disinstallazione di tutto ciò che non serve.
- Attivazione dei record SPF, DKIM e DMARC in modalità di monitoraggio sul dominio di posta elettronica.
- Verifica del backup con un ripristino reale, cronometrato, che non è un controllo del pannello di amministrazione ma un ripristino vero e proprio.
Giorni 31-60: chiudere le porte laterali
- Rafforzamento del sito: limitazione dei tentativi di accesso, protezione dell’area di amministrazione, monitoraggio delle modifiche ai file.
- Rimozione delle dipendenze non conformi: font e servizi esterni che trasmettono dati verso terzi senza base legale.
- Contratti di trattamento dei dati (DPA) con i fornitori software. È l’adempimento nLPD più dimenticato in assoluto e il più semplice da sanare.
- Passaggio del DMARC da monitoraggio ad applicazione, dopo aver verificato i flussi legittimi.
- Policy interna sulle password e sugli accessi, scritta, breve e letta da tutti.
Giorni 61-90: rendere l’azienda capace di reagire
- Formazione del personale sul riconoscimento del phishing e delle truffe telefoniche, con esempi reali del settore in cui l’azienda opera.
- Simulazione controllata di phishing interno, senza colpevolizzare nessuno, perché il risultato serve a calibrare la formazione, non a fare classifiche inutili.
- Piano di risposta agli incidenti: chi rileva, chi decide, chi comunica, chi notifica. Con nomi e numeri di telefono, non con ruoli generici.
- Monitoraggio continuo: qualcuno deve guardare i logs, e quel qualcuno deve avere il tempo per farlo e esserne sufficientemente esperto.
Le tre attività che quasi nessuna azienda porta a termine da sola sono il ripristino cronometrato, il passaggio del DMARC in applicazione senza bloccare la posta legittima e la scrittura del piano di risposta. Non perché siano difficili, ma perché richiedono di prendersi la responsabilità di una decisione. È il punto in cui serve qualcuno che l’abbia già fatto prima.
6. Un esempio: lo studio medico e i dati che escono dalla porta di servizio
Uno studio medico, con sito WordPress apparentemente ordinario e nessun incidente noto, nessun allarme. All’analisi tecnica emerge che i plugin installati trasmettono dati verso server statunitensi senza una base legale adeguata: Google Analytics attivo senza consenso valido, reCaptcha sulle richieste di contatto, Google Maps, font caricati dai server di Google a ogni visita.
Tradotto: ogni paziente che apriva la pagina dei contatti quindi, verosimilmente, una persona che stava cercando assistenza sanitaria, comunicava il proprio indirizzo IP e i dati di navigazione a un’infrastruttura estera, in relazione a una struttura sanitaria. Nessuno lo aveva deciso, ma era semplicemente il comportamento predefinito degli strumenti installati da un web designer che tuttavia non si era mai chiesto queste cose.
L’intervento dovrebbe essere chirurgico: rimozione delle dipendenze esterne, sostituzione con alternative conformi ospitate su infrastruttura svizzera, riscrittura dell’informativa e produzione di un documento di conformità pronto per un eventuale controllo. Nessun attacco, nessun danno, nessun titolo di giornale. Solo una porta di servizio chiusa prima che qualcuno la notasse.
Il costo di un intervento simile è una frazione di quello che sarebbe costata una singola notifica di violazione dei dati, e una frazione infinitesimale di ciò che costa a uno studio medico la frase "abbiamo avuto un problema con i dati dei pazienti" pronunciata in una sala d’attesa.
Questo è il punto che voglio lasciarti: la sicurezza informatica che funziona raramente ha l’aspetto di un’emergenza risolta. Ha l’aspetto di una giornata in cui non è successo niente. Ed è esattamente per questo che è così difficile venderla anche per me, e così facile rimandarla da chiunque.
7. In sintesi
Che cos’è la sicurezza informatica per una PMI?
È la gestione del rischio digitale su cinque livelli: identità , superficie esposta, dato, persona, ripristino, accompagnata dalla capacità di dimostrare le misure adottate. Non è un prodotto acquistabile una tantum, ma è un’organizzazione aziendale.
Perché una piccola azienda dovrebbe essere attaccata?
Perché gli attacchi non sono mirati. Sono automatici e scandagliano liste di domini alla ricerca di sistemi non aggiornati. Nel mio caso documentato del 23 febbraio 2026, un’infrastruttura svizzera ha registrato sei eventi ostili e oltre novecento richieste anomale in meno di dieci ore, senza essere stata scelta da nessuno a tavolino.
Qual è la prima cosa da fare?
Attivare l’autenticazione a due fattori sulla casella di posta elettronica aziendale e verificare che il backup si ripristini davvero. Il costo è prossimo allo zero, l'impatto è più alto di qualunque altro intervento.
Che cosa chiede la nLPD in materia di sicurezza?
Misure tecniche e organizzative adeguate al rischio e, in caso di violazione della sicurezza dei dati che comporti un rischio elevato per le persone interessate, la notifica all’Incaricato federale della protezione dei dati e della trasparenza il più rapidamente possibile. Senza registri e senza procedure, quell’obbligo è materialmente inadempibile.
Quanto tempo serve per mettere in sicurezza una PMI?
Novanta giorni per un percorso completo e verificabile. Trenta per fermare l’emorragia, trenta per chiudere le porte laterali, trenta per rendere l’azienda capace di reagire.
Articoli di approfondimento correlati
- Leggi: Sicurezza digitale e privacy per le PMI ticinesi: cosa impone la legge e come costruire una protezione concreta
- Leggi: Sicurezza informatica PMI Ticino: 6 attacchi in un giorno, zero accessi (caso reale)
- Leggi: Quando privacy e sicurezza diventano marketing: da obbligo a leva strategica
- Leggi: Farmacie e studi medici: i rischi digitali nascosti
- Leggi: Professionalità digitale: certificazione, assicurazione e conformità alle nuove leggi
- Leggi: Lo spoofing email: il rischio che pochi considerano ma che può costare caro
- Leggi: Il tuo sito WordPress ha bisogno di protezione
- Leggi: Attenzione alle truffe telefoniche in Svizzera
- Leggi: Proteggersi davvero: tools necessari oggi
Fai il punto della situazione
Non ti sto chiedendo di comprare un prodotto. Ti sto chiedendo di sapere dove si trova la tua azienda su questi cinque livelli, perché il giorno in cui te lo chiederà qualcun altro, che sia un cliente, un revisore o un giudice, sarà troppo tardi per scoprirlo.
L’analisi di sicurezza che propongo parte esattamente dalle domande di questa guida, applicate alla tua infrastruttura reale, e si chiude con un documento che puoi mostrare. Nessun allarmismo, nessun preventivo gonfiato dalla paura, solo un quadro chiaro di ciò che è coperto, di ciò che non lo è, e dell’ordine in cui intervenire.
Scrivimi su mail@patrickpasquillo.net e fai il punto della situazione.
"Resta agile. Continua a eccellere. Guida il cambiamento." Patrick Pasquillo - Digital Collaboration Specialist APF

