Sicurezza informatica aziendale: guida completa per le PMI europee

In sintesi: La cybersecurity di una PMI europea nel 2026 si basa su sette pilastri: autenticazione forte (2FA/passkey obbligatoria per tutti), software aggiornato (patch mensili, sostituzione degli EOL), endpoint protection (EDR al posto del classico antivirus), email security con anti-phishing, backup cifrati e immutabili (3-2-1), formazione dei dipendenti e piano di incident response preparato. La combinazione di queste misure riduce la probabilità di un attacco riuscito di oltre il 90% con un investimento di 8–25.000 EUR annui — una frazione del costo di un singolo incidente ransomware.

Un attacco informatico è nel 2026 la crisi operativa più probabile che una PMI europea si troverà ad affrontare. Secondo le statistiche di ACN (Agenzia per la Cybersicurezza Nazionale) e ENISA, ogni terza PMI di medie dimensioni in Europa ha registrato nel 2025 un grave incidente di sicurezza, e il 12% di esse ha subito una perdita finanziaria superiore a 50.000 EUR. Gran parte di questi incidenti era completamente prevenibile con misure standard a una frazione del costo del danno.

Questo articolo pillar guiderà il titolare d’azienda e il responsabile IT attraverso l’intero spettro della difesa informatica — dai concetti di base (virus, malware, phishing, ransomware) alle misure tecniche concrete (2FA, SSL, VPN, EDR, backup) fino agli aspetti procedurali (formazione, incident response, notifica normativa). Non teoria astratta, ma passi concreti che funzionano realmente in una PMI di medie dimensioni.

Per il contesto normativo più ampio, consultare il pillar Sicurezza e compliance in cloud ERP 2026, che si concentra su ISO 27001, GDPR, NIS2 e DORA.

Il panorama delle minacce nel 2026: cosa è cambiato

Le minacce informatiche per le PMI europee si sono evolute qualitativamente negli ultimi tre anni. Prima della pandemia, l’80% degli attacchi era opportunistico — scansioni automatizzate di vulnerabilità, campagne di phishing di massa senza targeting. Oggi il quadro è diverso:

1. Gruppi ransomware mirati (LockBit, BlackCat, Cl0p) prendono di mira sistematicamente le medie imprese nell’UE con fatturati tra 10 e 100 milioni di EUR. Le aziende italiane ed europee sono nel loro raggio d’azione.
2. Campagne di phishing generate dall’AI sono in grado di imitare lo stile aziendale, il linguaggio di uno specifico manager e adattare l’attacco al contesto — gli errori grammaticali e gli URL sospetti appartengono al passato.
3. Attacchi alla supply chain mirati ai fornitori ICT colpiscono anche aziende che di per sé non sono un obiettivo interessante.
4. Insider threat crescono con il lavoro da remoto e la maggiore rotazione del personale — un ex dipendente con account ancora attivi è un problema reale nel 2026.
5. Pressione normativa (NIS2, DORA, GDPR) aumenta il costo del fallimento — al danno stesso si aggiungono sanzioni e obblighi legali di notifica.

Per il titolare d’azienda questo significa che l’igiene informatica non è più opzionale — è un minimo operativo paragonabile alla prevenzione incendi o alla sicurezza sul lavoro.

Glossario delle minacce: cos’è cosa

Nei media termini come virus, malware, ransomware e phishing vengono spesso usati in modo intercambiabile, ma tecnicamente rappresentano classi di minacce distinte con difese distinte.

Malware (termine ombrello)

Malware (malicious software) è il termine ombrello per qualsiasi codice dannoso. Comprende:

• Virus — programma che si diffonde allegandosi ad altri file e richiede un’azione dell’utente (apertura). Il classico virus PC degli anni ‘90 è oggi un fenomeno marginale.
• Worm (verme) — si auto-propaga, non ha bisogno di un file ospite. Si diffonde attraverso vulnerabilità di rete. Esempio: WannaCry (2017).
• Trojan — mascherato come software legittimo. Una volta eseguito, compie un’azione dannosa. L’ingresso più frequente nelle aziende.
• Ransomware — tipo speciale di malware che cifra i file e chiede un riscatto per la chiave di decifratura. Nel 2026 è la minaccia dominante.
• Spyware — raccoglie dati sull’utente (chiavi per altri account, documenti riservati).
• Rootkit — nasconde la sua presenza a livello profondo del OS, spesso persiste anche dopo la reinstallazione.
• Keylogger — cattura i tasti premuti, in particolare password e dati delle carte di pagamento.

Un’analisi più approfondita si trova nell’articolo cluster Virus e malware in azienda: come difendersi.

Phishing e ingegneria sociale

Phishing è il tentativo di ottenere dati (tipicamente credenziali di accesso) tramite un messaggio fraudolento — email, SMS (smishing), telefonata (vishing), o anche tramite social network. L’attaccante imita un soggetto affidabile (banca, supporto IT, dirigente aziendale).

Varianti avanzate:

• Spear phishing — phishing mirato a una persona specifica con contenuto personalizzato.
• Whaling — phishing rivolto al top management (CEO, CFO).
• Business Email Compromise (BEC) — l’attaccante imita l’email di un manager e istruisce il contabile a effettuare un bonifico. In Europa il danno medio di un attacco BEC nel 2025 era di 45.000 EUR.

Attacchi all’infrastruttura

• DDoS (Distributed Denial of Service) — sovraccarico del sito web/servizio con traffico falso. Per un’azienda B2B che usa un ERP generalmente non è la minaccia principale (a differenza degli e-commerce).
• Man-in-the-middle (MitM) — intercettazione della comunicazione di rete. Rischio principale nelle reti Wi-Fi pubbliche e nei canali scarsamente cifrati.
• Brute force / credential stuffing — indovinare le password in modo automatizzato o testare combinazioni nome+password trapelate da altri servizi.

Insider threat

• Insider malevolo — dipendente insoddisfatto con accesso che danneggia intenzionalmente (furto di dati, sabotaggio).
• Insider negligente — violazione involontaria (invio di un documento riservato all’indirizzo sbagliato, password debole, clic su phishing).

Secondo le statistiche ENISA, il 40% degli incidenti di sicurezza include una componente insider, nella maggior parte dei casi negligente.

I sette pilastri della difesa informatica aziendale

Nessuna tecnologia singola è sufficiente. Un’azienda resiliente si costruisce su sette livelli, ognuno dei quali affronta una minaccia diversa.

Pilastro 1: Identità e autenticazione

La causa più frequente di un attacco riuscito nel 2026 non è un hack sofisticato, ma una password compromessa. La difesa:

• Password manager per tutta l’azienda (1Password, Bitwarden, Dashlane). Genera password uniche di 20+ caratteri, elimina il riutilizzo.
• 2FA / MFA obbligatoria per tutti gli utenti, idealmente passkey/WebAuthn per gli account critici (admin, finance, HR).
• Single Sign-On (SSO) tramite Azure AD, Google Workspace o Okta — un unico punto di accesso, un unico audit log, disattivazione rapida del dipendente uscente.
• Principio del minimo privilegio (least privilege) — l’utente ha solo i diritti di cui ha effettivamente bisogno.
• Revisione periodica degli accessi (1 volta al trimestre) — chi ha quale accesso, è ancora necessario?

Una guida dettagliata all’implementazione del 2FA si trova nell’articolo cluster Autenticazione a due fattori (2FA): perché e come implementarla.

Pilastro 2: Aggiornamenti e patch management

Il 70% degli attacchi riusciti nel 2025 ha sfruttato vulnerabilità per cui era disponibile un patch da più di 30 giorni. Un patch management disciplinato elimina la maggior parte di questi.

• Sistemi operativi — aggiornamenti automatici, ciclo mensile per Windows, continuo per macOS/Linux.
• Applicazioni — in particolare browser (Chrome, Edge, Firefox), suite Office, lettori PDF, runtime Java/Adobe.
• Dispositivi di rete — firewall, router, gateway VPN. Spesso dimenticati, spesso presi di mira.
• Software specializzato — ERP, CRM, server email, server web. Ciclo di controllo mensile.
• Software End-of-Life (EOL) — Windows 7, Windows Server 2012, versioni legacy di PHP/Node. Sostituire senza eccezioni — nessun patch, vettore di attacco aperto.

Le soluzioni cloud SaaS (incluso Modulario) tolgono all’azienda questo onere — il provider gestisce il patching dell’infrastruttura e dell’applicazione in modo continuo.

Pilastro 3: Endpoint protection (EDR)

Il classico antivirus del 2010 è nel 2026 insufficiente. Gli endpoint moderni necessitano di EDR (Endpoint Detection and Response) — monitoraggio continuo del comportamento, rilevamento delle anomalie, risposta automatica.

La differenza:

Aspetto	Antivirus (signature-based)	EDR (behavior-based)
Rilevamento minacce note	Sì	Sì
Rilevamento minacce sconosciute (zero-day)	Limitato	Sì (euristica, ML)
Dati forensi dopo un attacco	Minimi	Completi (timeline completo)
Isolamento remoto dell’endpoint	No	Sì (1 clic)
Costo (annuo, per seat)	30–60 EUR	60–180 EUR

Vendor consigliati per PMI europee: Microsoft Defender for Endpoint (spesso incluso in M365), CrowdStrike, SentinelOne, ESET PROTECT.

Pilastro 4: Email security

Il 90% degli attacchi mirati inizia via email. Senza una solida sicurezza email tutto il resto è compromesso.

Livelli:

• SPF, DKIM, DMARC — autenticazione del mittente, elimina lo spoofing del proprio dominio.
• Anti-phishing engine — analisi del contenuto, URL, allegati. Microsoft Defender for Office 365, Google Workspace Security, Proofpoint, Mimecast.
• Sandbox per gli allegati — gli allegati pericolosi vengono aperti in un ambiente isolato prima della consegna.
• URL rewriting — i clic nelle email passano attraverso un proxy di sicurezza che controlla la destinazione in tempo reale.
• Banner per email esterne — identificazione visiva delle email provenienti dall’esterno dell’azienda.

Pilastro 5: Backup e ripristinabilità

Il backup è l’ultima difesa contro il ransomware. Senza backup funzionanti, immutabili e testati, il ransomware è la fine del business.

Regola 3-2-1-1-0:

• 3 copie dei dati (1 produzione + 2 backup)
• 2 supporti/provider diversi
• 1 off-site (geograficamente separata)
• 1 offline o immutabile (S3 Object Lock, air-gapped)
• 0 errori nel test di recovery (eseguire min. 1 volta all’anno)

Per il cloud ERP il backup primario è responsabilità del provider, ma l’azienda deve avere un backup indipendente proprio — export dei dati su bucket S3 sotto controllo proprio o backup offline. Modulario fornisce un export nativo di tutti i dati tramite API e dump UI, quindi l’azienda può automatizzare il backup indipendente.

Pilastro 6: Sicurezza di rete

• Firewall — perimetrale e host-based (Windows Defender Firewall su ogni endpoint).
• VPN per l’accesso remoto, idealmente ZTNA (Zero Trust Network Access) al posto della classica VPN IPsec/SSL. ZTNA verifica ogni accesso separatamente, non l’intera rete in una volta.
• Segmentazione di rete — separazione della rete produttiva, ufficio e Wi-Fi ospiti. Dispositivi IoT (telecamere, stampanti) su VLAN separata.
• DNS filtering (Cisco Umbrella, Cloudflare Gateway) — blocca l’accesso ai domini dannosi noti a livello DNS.

Per i fondamenti di VPN consultare il glossario /it/glossario/vpn.

Pilastro 7: Formazione dei dipendenti

L’anello più debole è quasi sempre l’essere umano. La formazione regolare lo trasforma dal punto più vulnerabile alla prima linea di difesa.

• Formazione di onboarding per ogni nuovo dipendente (1–2 ore).
• Aggiornamento annuale obbligatorio per tutti.
• Simulazioni di phishing 4–12 volte l’anno con feedback personalizzato (KnowBe4, Hoxhunt, NinjaPhish).
• Just-in-time training — quando un dipendente clicca in una simulazione di phishing, riceve immediatamente una breve lezione su perché si trattava di phishing.

Un investimento di 25–50 EUR/dipendente/anno in una formazione di qualità si ripaga al primo incidente evitato.

Cifratura: SSL/TLS, VPN, cifratura dei dati

La cifratura protegge la riservatezza (chi può leggere) e l’integrità (chi può modificare) dei dati. Tre contesti sono praticamente i più importanti.

SSL/TLS per la comunicazione web

SSL/TLS protegge la comunicazione tra browser e server. Nel 2026 TLS 1.3 è il minimo per i siti web pubblici, TLS 1.2 è tollerato per i client legacy.

Implicazioni pratiche per l’azienda:

• Ogni sito web aziendale deve avere un certificato SSL valido (HTTPS, non HTTP). Il Let’s Encrypt gratuito è sufficiente per la maggior parte dei casi d’uso.
• HSTS (HTTP Strict Transport Security) preload — impone HTTPS anche al primo accesso.
• Audit dei contenuti misti — nessuna risorsa HTTP (immagini, script) su pagine HTTPS.
• Certificate transparency monitoring — alert se qualcuno emette un certificato per il proprio dominio (possibile attacco).

I dettagli si trovano nell’articolo cluster Certificato SSL: guida completa per il sito web aziendale e nel glossario /it/glossario/ssl.

VPN e Zero Trust

La classica VPN dà all’utente connesso l’accesso all’intera rete interna. Questo è un anti-pattern di sicurezza — un account compromesso apre le porte a tutto.

Zero Trust Network Access (ZTNA) è nel 2026 l’approccio migliore:

• Ogni accesso è verificato separatamente (identità, dispositivo, contesto).
• Le applicazioni sono accessibili individualmente, non attraverso “l’intera rete”.
• Default-deny — autorizzazione esplicita, non fiducia implicita.

Vendor: Cloudflare Access, Tailscale, Twingate, Microsoft Entra Internet Access.

Cifratura dei dati at rest

• Cifratura del disco — BitLocker (Windows), FileVault (macOS), LUKS (Linux). Obbligatoria per i laptop.
• Cifratura dei database — TDE (Transparent Data Encryption) in PostgreSQL, MySQL, SQL Server.
• Cifratura dei backup — il software di backup cifra prima dell’upload nel cloud, la chiave è detenuta dall’azienda o da un KMS gestito.
• Cifratura delle email (S/MIME o PGP) — per la corrispondenza sensibile, in particolare legale o HR.

In Modulario i dati primari sono cifrati con AES-256 at rest e la comunicazione è protetta da TLS 1.3 in transit. Dettagli nella documentazione di sicurezza.

Hardware, software e rete: basi tecniche per il titolare

Alcune decisioni di sicurezza vengono prese dal titolare d’azienda prima ancora del responsabile IT — ad esempio la scelta dei laptop, dell’ERP, dei servizi cloud. Ecco una breve panoramica dei concetti necessari a tal fine. Un’analisi più approfondita si trova nell’articolo pillar Fondamenti IT per il titolare d’azienda.

Hardware

Dispositivi fisici: server, laptop, telefoni cellulari, dispositivi di rete, sensori IoT, lettori, stampanti. Aspetti di sicurezza:

• Lifecycle management — acquisto, inventario, manutenzione, dismissione. Obiettivo: nessun dispositivo scompare mai dall’inventario.
• Cifratura del disco obbligatoria per tutti i laptop.
• MDM (Mobile Device Management) — Microsoft Intune, Jamf, MobileIron. Gestione centralizzata, blocco remoto in caso di smarrimento.
• Dismissione sicura — disk wipe o distruzione fisica, non vendita al mercatino dell’usato.

Glossario: /it/glossario/hardver.

Software

Programmi e applicazioni. Aspetti di sicurezza:

• Inventario del software installato — cosa gira sui dispositivi aziendali.
• Whitelisting — applicazioni esplicitamente autorizzate, le altre bloccate (Microsoft Defender Application Control, AppLocker).
• Open source vs. commerciale — l’open source non è peggiore, ma richiede una manutenzione attiva (chi monitora i patch?).
• Shadow IT SaaS — i dipendenti si registrano con le email aziendali a servizi SaaS all’insaputa dell’IT. Un CASB (Cloud Access Security Broker) aiuta a mapparlo.

Glossario: /it/glossario/softver.

Rete: indirizzi IP, DNS, porte

Concetti rilevanti per la sicurezza:

• Indirizzo IP — identifica un dispositivo in rete. Pubblico (raggiungibile da internet) vs. privato (LAN). L’IP statico dell’azienda può essere usato come identità nel whitelisting (es. “accesso all’ERP solo dall’IP aziendale”). Glossario: /it/glossario/ip-adresa.
• DNS — traduzione del nome di dominio in IP. Il DNS poisoning è un attacco in cui un server malevolo restituisce un IP sbagliato. Difesa: DNSSEC, DNS over HTTPS/TLS.
• Porte — canali di comunicazione all’interno dell’IP. Una porta aperta = un punto di ingresso. Il firewall apre solo quelle necessarie.

Incident response: quando le prevenzioni falliscono

Indipendentemente dalla qualità della prevenzione, prima o poi qualcosa succede. Un piano di incident response preparato decide se sarà un episodio da 24 ore o una crisi operativa da 3 mesi.

Struttura del piano IR

1. Fase preparatoria — lista contatti (interni + esterni: esperto forense, avvocato, PR, assicurazione, autorità di vigilanza), runbook per i top 5 scenari, matrice dei ruoli (chi fa cosa).
2. Rilevamento e triage — canali di segnalazione (canale interno #security-incident, email security@azienda.it, linea telefonica), criteri di classificazione (severity 1-4).
3. Contenimento — azioni immediate per scenario (isolamento dell’endpoint, disattivazione dell’account, rotazione delle chiavi).
4. Eradicazione — rimozione della minaccia (rimozione malware, patch, reset account).
5. Recovery — ripristino dei sistemi, verifica dell’integrità, avvio graduale.
6. Lessons learned — post-mortem entro 2 settimane, aggiornamento delle misure.

Decisioni chiave in tempo reale

• Pagare il riscatto in caso di ransomware? La Polizia Postale e l’ACN sconsigliano. Il 35% delle aziende che hanno pagato ha ricevuto una chiave di decifratura funzionante. Il 65% non ha ricevuto nulla o solo una chiave parziale. Meglio investire nel recovery da backup immutabile.
• Notificare i clienti? GDPR art. 34: se c’è un rischio elevato per i diritti e le libertà degli interessati, sì, entro 72 ore. NIS2: early warning all’autorità (ACN/CSIRT Italia) entro 24h, notifica ufficiale entro 72h.
• Notificare il pubblico/i media? In modo strategico — neutralizzare le voci, ma non divulgare dettagli che possano aiutare l’attaccante. Un consulente PR nel team IR è un investimento che si ripaga.

Cyber insurance

La polizza cyber nel 2026 copre tipicamente:

• Costi forensi e di recovery IT
• Costi legali e di notifica
• Perdita di fatturato (business interruption)
• Sanzioni e penali normative (parzialmente)
• Riscatto (con condizioni rigorose)

Costo: 0,1–0,4% della somma assicurata annualmente. Per una PMI europea di medie dimensioni tipicamente 5.000–25.000 EUR all’anno per una copertura di 1–5 milioni di EUR. Necessaria per i settori regolamentati e il B2B con grandi clienti.

Compliance e normativa: contesto

L’igiene informatica non si basa su un’unica normativa. Per le PMI europee nel 2026 sono rilevanti:

• GDPR — il framework primario per i dati personali
• NIS2 (Direttiva UE 2022/2555) — cybersecurity per 18 settori
• DORA — settore finanziario + loro fornitori ICT
• AI Act — sistemi AI ad alto rischio (HR scoring, credit scoring)
• eIDAS 2 — firme elettroniche, identità digitale
• Normative settoriali — sanità (ASL/INPS/Min. Salute), energia (ARERA), tlc (AGCOM)

Un’analisi dettagliata del quadro normativo si trova nell’articolo pillar Sicurezza e compliance in cloud ERP 2026 e negli articoli cluster Direttiva NIS2, Regolamento DORA, GDPR checklist e ISO 27001 per le PMI.

Come Modulario gestisce la cybersecurity

Modulario come piattaforma ERP/CRM nativa UE fornisce misure di sicurezza out of the box:

• 2FA / SSO supportati (TOTP, WebAuthn, SAML 2.0, OIDC) — gli amministratori possono imporli per tutta l’azienda
• Role-based access control con granularità a livello di campo per i moduli sensibili (HR, finance)
• Audit log nativo di ogni modifica in ogni modulo, retention 12 mesi, export verso SIEM
• Cifratura AES-256 at rest, TLS 1.3 in transit, mTLS internamente
• Hosting EU con certificazione ISO 27001, nessun rischio CLOUD Act
• DPA standardizzato ad ogni contratto, senza necessità di trattative legali
• Backup con incrementali orari, replica multi-region, storage immutabile 7 giorni
• Supporto DSAR — export dei dati personali su richiesta entro 30 giorni
• Incident response SLA 24 ore per gli incidenti di sicurezza

Per una descrizione dettagliata consultare la pagina di sicurezza o i casi di studio di implementazioni in settori regolamentati.

Indice cluster: approfondimenti tematici

Questo pillar ha trattato l’agenda ad alto livello. Per temi specifici consultare gli articoli cluster:

• Sicurezza su internet per le aziende — igiene pratica per i dipendenti, gli errori più comuni e come evitarli.
• Virus e malware in azienda: come difendersi — tipologia delle minacce, scelta dell’EDR, procedura in caso di infezione.
• Autenticazione a due fattori (2FA): perché e come implementarla — TOTP vs. SMS vs. passkey, migrazione dell’azienda al 2FA.
• Certificato SSL: guida completa per il sito web aziendale — tipi, scelta, installazione, monitoraggio.
• Sicurezza e compliance in cloud ERP 2026 — ISO 27001, GDPR, NIS2, DORA: il framework normativo completo.

Sintesi e raccomandazioni

La cybersecurity di una PMI europea nel 2026 non è un lusso — è il minimo operativo. Ogni azienda che ha vissuto un grave incidente avrebbe retrospettivamente investito di più nella prevenzione di quanto abbia fatto. Il minimo standard pragmatico:

1. 2FA per tutti, passkey per amministratori e team finance
2. Ciclo di patch mensile per OS e applicazioni + sostituzione degli EOL senza eccezioni
3. EDR al posto del classico antivirus su tutti gli endpoint
4. Email security con anti-phishing, SPF/DKIM/DMARC configurati
5. Backup 3-2-1-1-0 con test di recovery annuale
6. Formazione dei dipendenti annuale + 4 simulazioni di phishing
7. Piano di incident response con lista contatti e runbook per i top 5 scenari

Investimento: 8–25.000 EUR annui per una PMI di medie dimensioni. Ritorno: un singolo incidente evitato.

Un ERP cloud con dati primari presso un provider ISO 27001 nativo UE (come Modulario) toglie all’azienda il 50–60% di questa agenda — infrastruttura primaria, cifratura, audit log, backup e incident response sono responsabilità del provider. L’azienda può concentrarsi su endpoint security, email, identità e formazione.

Per discutere la cyber hygiene specifica della propria azienda o un’implementazione Modulario in ambiente regolamentato, contattare tramite consulenza gratuita.

Domande frequenti

Quali sono i modi più comuni con cui gli hacker entrano nella rete aziendale? Nel 2026 dominano tre vettori: il phishing (circa il 60% degli attacchi inizia con un clic su un’email fraudolenta), le credenziali compromesse (password rubate da altri servizi e riutilizzate in azienda) e le vulnerabilità in software non aggiornato (soprattutto gateway VPN, server email, ERP con hosting proprio). Gli attacchi ransomware iniziano quasi sempre da uno di questi tre punti di ingresso, non attraverso un sofisticato bypass del firewall.

È sufficiente un antivirus o serve di più? L’antivirus è solo uno strato. La difesa moderna di un’azienda si basa su sei pilastri: (1) accesso sicuro con 2FA/SSO, (2) software e sistemi operativi aggiornati, (3) endpoint detection and response (EDR — più avanzato del classico AV), (4) backup con immutability, (5) email gateway con scansione anti-phishing, (6) formazione dei dipendenti. Senza 2FA e aggiornamenti, l’antivirus è marginalmente utile.

Qual è la differenza tra 2FA e passkey? Il classico 2FA (TOTP tramite Google Authenticator o SMS) è a due fattori — password + codice monouso. La passkey (FIDO2/WebAuthn) è passwordless — la password viene sostituita da una chiave crittografica memorizzata sul dispositivo, che non può essere sottratta tramite phishing né intercettata. La passkey è nel 2026 lo standard consigliato per gli account critici (accessi amministrativi, banking, email). Il 2FA via SMS è la forma più debole e va sostituita.

Quanto costa il ripristino da un attacco ransomware per una PMI di medie dimensioni? I costi reali di un attacco ransomware per una PMI europea con 50–200 dipendenti si collocano nell’intervallo 80.000–350.000 EUR. Sono composti da: downtime diretto (media 9 giorni × fatturato giornaliero), analisi forense (15–40.000 EUR), costi legali e di notifica (10–25.000 EUR per GDPR), reinstallazione dell’infrastruttura, sanzioni normative (NIS2 fino al 2% del fatturato) e perdita di fiducia dei clienti. Il riscatto, se pagato (sconsigliato), rappresenta solo il 15–25% dei costi totali.

Con quale frequenza devo fare i backup e dove archiviarli? Regola 3-2-1: 3 copie dei dati, 2 supporti/posizioni diverse, 1 offline o immutabile. Per le PMI nel 2026: dati primari nel cloud ERP, snapshot giornaliero su un secondo cloud (provider diverso, area geografica diversa), snapshot settimanale su storage immutabile (S3 Object Lock o air-gapped tape). Per i dati contabili e HR critici si consiglia un incrementale orario con retention di 30 giorni. I backup DEVONO essere testati almeno 1 volta all’anno — un backup non testato è inutilizzabile.