Il problema non è lo smart working, è come è configurato

In Italia lavorano da remoto oltre 3,5 milioni di persone. Molte di queste si connettono ogni giorno alle risorse aziendali da casa, da spazi di coworking o dalla rete del cliente. Reti che l'azienda non controlla, non monitora e spesso nemmeno conosce.

Questo non significa che lavorare da remoto sia pericoloso per definizione. Significa che serve una configurazione adeguata. E che senza di essa, il rischio è concreto.

Secondo il Rapporto Clusit 2026, gli incidenti informatici gravi in Italia sono aumentati del 42% nel 2025 rispetto all'anno precedente. Il dato più rilevante per chi gestisce team distribuiti: una quota significativa di questi attacchi ha sfruttato vulnerabilità legate proprio al lavoro remoto.

Una PMI su quattro ha subito una violazione informatica negli ultimi tre anni. Non è una statistica astratta: sono aziende con 10, 30, 80 dipendenti. Aziende normali. — Cyber Index PMI 2025, Confindustria & Generali

I vettori di attacco più comuni nel lavoro remoto

Prima di scegliere gli strumenti, è utile capire da dove arrivano i problemi reali.

RDP esposto su internet

Il Remote Desktop Protocol — quello che permette di prendere il controllo di un PC da remoto — è ancora oggi uno dei vettori più sfruttati. Quando la porta 3389 è aperta su internet senza protezioni, diventa un bersaglio facile per attacchi automatizzati. Nel 2025, una quota rilevante degli attacchi ransomware in Italia è partita proprio da RDP esposto.

Se nella tua azienda qualcuno si collega ai computer in ufficio tramite desktop remoto diretto, senza VPN, questo è il primo problema da correggere.

Credenziali rubate o deboli

Il Verizon Data Breach Investigations Report 2025 attribuisce al furto di credenziali oltre un quinto delle violazioni come vettore iniziale. I team distribuiti usano più servizi su più reti: email aziendale, gestionale, cloud storage, VPN stessa. Ogni account con una password debole o riutilizzata è una porta potenzialmente aperta.

Appliance VPN senza aggiornamenti

Paradossalmente, anche la VPN può diventare un problema. Gli incidenti legati a VPN aziendali sono aumentati in modo significativo negli ultimi anni, spesso perché i dispositivi fisici (firewall, concentratori VPN) non vengono aggiornati con regolarità. Una vulnerabilità nota su un'appliance non patchata è un ingresso garantito per chi sa cercarlo.

VPN aziendale: quando serve e come sceglierla

La VPN crea un tunnel cifrato tra il dispositivo del collaboratore e la rete aziendale. Tutto il traffico passa attraverso quel tunnel, come se il dipendente fosse fisicamente in ufficio. È lo strumento giusto per accedere a risorse interne: server, cartelle condivise, gestionali on-premise.

Per una PMI sotto i 50 utenti, la VPN rimane la scelta più pratica. Molte aziende hanno già un firewall — Fortinet, Sophos, pfSense — che include la funzionalità VPN nella licenza esistente, senza costi aggiuntivi. Il problema, nella maggior parte dei casi, non è la mancanza dello strumento: è che non è configurato o non è usato.

Cosa verificare sulla tua VPN oggi

  • Il firmware del firewall/appliance è aggiornato all'ultima versione stabile?
  • L'accesso VPN richiede l'autenticazione a due fattori (MFA)?
  • Ogni utente ha credenziali individuali, o si condivide una password di gruppo?
  • Chi non lavora più in azienda ha ancora un account VPN attivo?
  • I log di accesso vengono conservati e controllati periodicamente?

Se anche solo una di queste risposte è "non lo so", è il punto da cui partire.

VPN vs Zero Trust: una distinzione utile

Si sente spesso parlare di Zero Trust Network Access (ZTNA) come alternativa alla VPN tradizionale. La logica è diversa: invece di dare accesso all'intera rete, si concede accesso solo alla singola applicazione o risorsa necessaria, verificando identità e dispositivo a ogni connessione.

Per una PMI con pochi utenti e un'infrastruttura semplice, ZTNA può essere sovradimensionato. Vale la pena valutarlo quando si gestiscono collaboratori esterni, fornitori con accesso parziale, o quando si lavora interamente in cloud. In ogni caso, non è una scelta urgente se la VPN non è ancora configurata correttamente.

Autenticazione: l'MFA non è opzionale

Il Cyber Index PMI 2025 (Confindustria e Generali, su oltre 1.500 aziende) fotografa una situazione chiara: solo il 50% delle PMI italiane ha introdotto l'autenticazione multi-fattore. L'altra metà accede ai propri sistemi con la sola password.

L'MFA aggiunge un secondo passaggio di verifica dopo la password: un codice temporaneo via app (Google Authenticator, Microsoft Authenticator), un SMS, o una chiave hardware. Anche se la password viene rubata, l'attaccante non riesce ad entrare senza il secondo fattore.

È la misura con il miglior rapporto tra costo e beneficio in assoluto. Quasi tutti i servizi cloud aziendali la supportano già: Microsoft 365, Google Workspace, i principali firewall. Attivarla richiede un pomeriggio di configurazione e qualche minuto di formazione per i dipendenti. Non farlo è una scelta difficile da giustificare.

Priorità d'attivazione consigliata:

  1. Email aziendale (è la chiave di tutto il resto)
  2. Accesso VPN
  3. Gestionale e ERP
  4. Strumenti di collaborazione (Teams, Slack, Drive)

Dispositivi gestiti: il confine tra sicuro e non sicuro

Un dipendente che lavora da casa con il PC personale rappresenta un problema strutturale. Non perché sia malintenzionato, ma perché quel dispositivo non è sotto il controllo dell'azienda: potrebbe avere software non aggiornato, antivirus assente o scaduto, applicazioni installate senza controllo, altri utenti familiari che lo usano.

La gestione centralizzata dei dispositivi — spesso chiamata MDM (Mobile Device Management) o UEM (Unified Endpoint Management) — permette all'IT aziendale di applicare policy di sicurezza su tutti i dispositivi aziendali, anche da remoto. Significa poter garantire che tutti i PC abbiano:

  • Sistema operativo e applicazioni aggiornati
  • Cifratura del disco attiva (BitLocker su Windows, FileVault su Mac)
  • Antivirus/EDR installato e funzionante
  • Schermata di blocco automatica dopo inattività
  • Possibilità di cancellazione remota in caso di furto o smarrimento

Solo il 30% delle PMI italiane adotta cifratura dei dati e segmentazione di rete, secondo il Cyber Index PMI 2025. La cifratura del disco è il minimo: se un laptop viene rubato o smarrito, senza cifratura i dati sono accessibili a chiunque rimuova il disco.

Soluzioni MDM come Microsoft Intune (incluso in molte licenze Microsoft 365 Business Premium) o strumenti equivalenti permettono di gestire fino a decine di dispositivi senza un reparto IT dedicato. Il costo è spesso già coperto da licenze esistenti.

Da dove iniziare: un ordine pratico

Se parti da zero o quasi, non serve fare tutto insieme. Serve fare le cose nell'ordine giusto.

  1. Chiudi RDP su internet. Se qualcuno si connette via desktop remoto diretto, fallo passare per VPN. Subito.
  2. Attiva MFA sull'email aziendale. È il punto di accesso a quasi tutto il resto.
  3. Verifica e aggiorna il firmware del firewall/VPN. Controlla la versione attuale e confrontala con l'ultima disponibile sul sito del produttore.
  4. Revisiona gli account attivi. Disabilita gli account di chi non lavora più in azienda, su tutti i servizi.
  5. Attiva la cifratura del disco su tutti i dispositivi aziendali usati da remoto.
  6. Valuta un sistema MDM se gestisci più di 5-10 dispositivi distribuiti.

Nessuno di questi passaggi richiede un budget elevato. La maggior parte richiede tempo, attenzione e una decisione. Il Cyber Index PMI 2025 indica un punteggio medio di maturità cyber delle PMI italiane a 55 su 100, sotto la soglia di sufficienza fissata a 60. Questi sei passi bastano già a superarla.

Se vuoi un'analisi della tua situazione attuale — VPN, accessi, dispositivi — scrivici. Lavoriamo con PMI in Alto Adige e nel resto d'Italia: partiamo sempre da quello che c'è già, non da una lista di cose da comprare.