Microsoft Defender for Endpoint è sufficiente per una PMI?

Per una PMI già su Microsoft 365 Business Premium, Defender for Endpoint P1 (incluso) copre una larga parte dei bisogni di base: antimalware di nuova generazione, EDR di base, riduzione della superficie di attacco, controllo delle applicazioni. Per una copertura più profonda (threat hunting, sandboxing automatico, rollback nativo del ransomware), è preferibile il Plan 2 o un prodotto dedicato come CrowdStrike Falcon Go o SentinelOne. Il fattore decisivo: hai un team di sicurezza interno? In caso contrario, scegli un'offerta Managed Detection Response (MDR) piuttosto che un EDR autonomo.

L'MFA ovunque è realistico per una PMI?

Sì, nel 2026 è un prerequisito per l'assicurazione cyber. Microsoft Entra ID e Google Workspace permettono di attivare l'MFA in pochi clic su tutti gli account. Per i SaaS di terze parti (Salesforce, HubSpot, Slack), l'attivazione si trova nelle impostazioni di sicurezza di ogni strumento. Per VPN e RDP, usa Duo, Microsoft Authenticator o una chiave FIDO2. Il costo aggiuntivo è marginale (spesso zero con le licenze esistenti), l'attrito per l'utente è minimo dopo la formazione, e l'MFA blocca la stragrande maggioranza degli attacchi automatizzati basati sulle credenziali.

L'assicurazione cyber vale il suo costo?

Sì per le PMI che trattano dati dei clienti, gestiscono proprietà intellettuale o dipendono dalla loro IT per la produzione. Un premio annuale copre i costi di indagine, ripristino, interruzione dell'attività e responsabilità civile – tipicamente una piccola frazione di ciò che un incidente grave può costare. Avvertenza: gli assicuratori ora richiedono MFA, EDR, backup offline e formazione. Senza questi prerequisiti, sarai rifiutato o escluso al momento del sinistro.

Un piano di continuità operativa (BCP/DRP) è obbligatorio?

Legalmente, sì per gli Operatori di Servizi Essenziali (OSE) ai sensi di NIS2, recepito in Francia nell'aprile 2025. Per le altre PMI non è obbligatorio ma è diventato un prerequisito assicurativo e contrattuale (i grandi clienti lo richiedono nelle gare). Un BCP minimo (RTO documentato, RPO, procedura di ripristino testata mensilmente, contatti di emergenza) basta per una PMI standard.

La formazione anti-phishing è davvero efficace?

Sì. Le campagne simulate trimestrali (KnowBe4, Mantra, Cymulate) tendono a far calare nettamente nel tempo i tassi di clic sul phishing simulato. Il segreto: regolarità, scenari credibili adattati all'attività, e debriefing pedagogici (mai punitivi) dopo ogni campagna. Combina con una formazione di sensibilizzazione di base per costruire una cultura della sicurezza profonda.

Cosa fare nelle prime 24 ore dopo un attacco?

Ora H: isolamento della rete (taglia Internet e l'SMB interno), attivazione della cellula di crisi, contatta il DFIR. H+2: conservazione dei log e copia forense, identificazione della variante. H+4: notifica regolamentare se applicabile e apertura del sinistro assicurativo cyber. H+12: avvio del ripristino dal backup immutabile su un ambiente isolato. H+72: notifica della violazione GDPR / statale se è probabile una fuga di dati personali. Tutte queste azioni devono essere prescritte nel runbook degli incidenti, non improvvisate.

Protezione ransomware per le aziende 2026: stack completo e conformità

Il ransomware non è più una minaccia astratta riservata alle grandi imprese. Le piccole e medie imprese costituiscono oggi una larga parte delle vittime di ransomware in tutto il mondo, e il costo di un singolo incidente – indagine, ripristino, fermo, perdita di fatturato – può bastare a minacciare la sopravvivenza di un'azienda più piccola. Una percentuale significativa delle PMI colpite da un attacco grave non si riprende mai del tutto.

Questa guida si rivolge a CISO, direttori IT, titolari d'azienda e responsabili IT delle PMI. Descrive lo stack difensivo minimo considerato lo stato dell'arte nel 2026, mappa i requisiti regolamentari (GDPR, NIS2, DORA, leggi statali USA) e propone una roadmap pragmatica per costruire una difesa in profondità senza budget da grande azienda.

Perché questa strategia è cambiata radicalmente tra il 2022 e il 2026

La dottrina anti-ransomware per le PMI pubblicata dalle principali agenzie nel 2019 e leggermente rivista nel 2022 riteneva che backup regolari + un antivirus aggiornato + una formazione di base degli utenti bastassero per la stragrande maggioranza delle strutture. Questa dottrina non regge più nel 2026 per diverse ragioni strutturali.

In primo luogo, la sofisticazione degli operatori di ransomware ha fatto un salto qualitativo. Gruppi come LockBit, Akira e Black Basta operano ora in modalità RaaS (Ransomware-as-a-Service) con affiliati professionali che hanno accesso a strumenti di ricognizione, movimento laterale e cifratura di livello industriale. Questi affiliati spesso passano giorni all'interno del sistema della vittima prima di scatenare la cifratura, durante i quali mappano l'infrastruttura, identificano i backup da distruggere, esfiltrano i dati più sensibili per la doppia estorsione e disabilitano gli strumenti di sicurezza. Una PMI che rileva l'attacco solo al momento della cifratura finale ha già perso – le difese devono funzionare durante quel periodo di permanenza invisibile.

In secondo luogo, la generalizzazione della doppia e tripla estorsione cambia il calcolo economico della difesa. I gruppi ransomware ora esfiltrano abitualmente i dati prima di cifrare, e alcuni gestiscono un terzo livello di estorsione: telefonate a clienti e fornitori per informarli della fuga, molestie ai familiari dei dirigenti, o attacchi DDoS contro i siti aziendali. Persino una PMI con backup perfetto e ripristino rapido può essere costretta a negoziare per evitare la pubblicazione. La difesa si sposta così da «poter ripristinare rapidamente» a «prevenire l'esfiltrazione a monte», il che richiede una strategia EDR + DLP che poche PMI padroneggiano.

Infine, la regolamentazione si è inasprita. NIS2, recepita in Europa da fine 2024, estende a molte più aziende (tra cui una parte significativa delle PMI sopra determinate soglie di organico o fatturato in certi settori) l'obbligo di notificare gli incidenti entro 24 poi 72 ore, un'analisi del rischio di cybersicurezza documentata e verificabile, e la responsabilità personale dei dirigenti in caso di colpa grave. Una PMI che considera ancora la cybersicurezza un costo opzionale si espone a sanzioni amministrative E alla responsabilità personale civile e penale dei dirigenti. Gli assicuratori cyber ora rifiutano di indennizzare i sinistri in cui la difesa minima non era presente e documentata.

Conseguenza: lo stack difensivo per le PMI nel 2026 non somiglia più a quello del 2022. Richiede un'architettura a strati con EDR, backup off-site immutabile, segmentazione di rete, MFA ovunque, formazione ricorrente degli utenti e una procedura di incidente provata annualmente. Il budget obiettivo passa da qualche migliaio di euro all'anno a 15-50 mila € a seconda della dimensione, ma l'investimento è ormai inevitabile.

Perché le PMI sono diventate il bersaglio principale

I gruppi ransomware (LockBit, BlackCat/ALPHV, Play, 8Base, Akira) hanno operato uno spostamento strategico a partire dal 2022. Le grandi imprese, meglio attrezzate, pagano meno e negoziano più duramente. Le PMI, sotto-dotate in organico di cybersicurezza, pagano più in fretta e senza pubblicità. Il modello di business RaaS (Ransomware-as-a-Service) si basa ora sul volume: centinaia di attacchi opportunistici che prendono di mira PMI mal protette, anziché campagne costose contro i giganti.

Vettori di attacco dominanti nel 2025-2026:

Account RDP esposti su Internet senza MFA: ancora una delle vie di intrusione più comuni.
Phishing con allegati macro Office o link a falsi portali Microsoft 365 che raccolgono credenziali.
Sfruttamento di CVE non corrette su SSL VPN (Fortinet, SonicWall, Citrix), server Exchange, applicazioni aziendali esposte su Internet.
Compromissione della supply chain (MSP infetto, aggiornamento avvelenato).
Credenziali rubate vendute sui mercati degli Initial Access Broker.

La difesa in profondità non mira al 100% di prevenzione – statisticamente impossibile. Mira a moltiplicare gli strati per rendere l'attacco economicamente non redditizio, e a garantire un ripristino rapido quando riesce comunque.

La regola 3-2-1-1-0: backup a prova di ransomware

La classica regola 3-2-1 (tre copie, due supporti, una off-site) ha mostrato i suoi limiti contro il ransomware moderno che prende di mira attivamente i backup connessi. Gli apparati di backup connessi (Veeam, Synology, Datto e altri) vengono frequentemente cifrati insieme ai dati di produzione quando restano raggiungibili dalla rete compromessa. L'evoluzione standard attuale è la regola 3-2-1-1-0:

Elemento	Significato	Implementazione PMI tipica
3 copie	Dati originali + 2 backup	Produzione + backup primario + backup secondario
2 supporti	Tipi di supporto diversi	Disco (NAS) + nastro LTO o cloud
1 off-site	Una copia fuori dall'edificio	Cloud cifrato (AWS S3, Azure Blob, Wasabi) o DC remoto
1 offline / immutabile	Una copia air-gapped o WORM	LTO in cassaforte, o Object Lock (S3, Azure, Backblaze)
0 errori	Test di ripristino senza fallimenti	Ripristino documentato mensile, alert sugli errori di verifica

Tre opzioni tecniche per la copia immutabile:

Nastro LTO in rotazione settimanale conservato in una cassaforte off-site ignifuga. Collaudato, economico nel lungo termine (LTO-9 = 18 TB nativi, ~150 $/cartuccia), ma lento da ripristinare.
Cloud con object lock (S3 Object Lock in modalità compliance, Azure Blob immutability policy, Wasabi Object Lock, Backblaze B2). Il lock impedisce ogni eliminazione – anche da parte di un attaccante con credenziali cloud rubate – per la durata definita (tipicamente 30-90 giorni).
NAS con snapshot WORM: Synology Hyper Backup con ritenzione immutabile, QNAP HBS 3 con SnapSync bloccato. Pratico ma resta in sede, quindi vulnerabile a un disastro fisico.

Per il backup primario di endpoint e server Windows, EaseUS Todo Backup Business gestisce nativamente la cifratura AES-256, la rotazione della ritenzione, la verifica CRC post-backup e la copia multi-destinazione (NAS + cloud + USB rotante).

Scelta editoriale

4.5 / 5

EaseUS Todo Backup Business per le PMI

Fondata nel 2004Garanzia di 30 giorniVersione gratuita da 2 GB

Vedi l'offerta

Per la documentazione dettagliata della strategia 3-2-1, vedi la nostra guida Backup automatico Windows / Mac 2026.

EDR: il pilastro del rilevamento moderno

L'antivirus legacy basato su firme è morto contro il ransomware. Gli operatori RaaS ricompilano i loro payload più volte al giorno, aggirando sistematicamente le firme. Lo strato difensivo di riferimento nel 2026 è l'EDR (Endpoint Detection and Response): un agente leggero che monitora i comportamenti, telemetria trasmessa a una console cloud, capacità di rollback, hunting proattivo.

Confronto EDR per le PMI

Soluzione	Target	Prezzo indicativo	Rollback ransomware	Threat hunting	Opzione MDR	Distribuzione
CrowdStrike Falcon Go	PMI da 5 a 50 endpoint	~8 $/endpoint/mese	Sì (limitato)	No in Go, sì in Pro	Falcon Complete	Molto rapida, agente singolo
SentinelOne Singularity Core	PMI da 10 a 500 endpoint	8-12 $/endpoint/mese	Sì (rollback nativo)	Sì in Control	Vigilance Respond	Rapida, console intuitiva
Microsoft Defender for Endpoint P1	Incluso con M365 Business Premium	Incluso	Parziale	Limitato	MDE Plan 2 o terze parti	Nativo Intune / Entra ID
Microsoft Defender for Endpoint P2	PMI con bisogni maturi	~5 $/endpoint/mese aggiuntivo	Sì	Advanced Hunting KQL	Partner MDR	Nativo Intune
Sophos Intercept X Advanced	PMI EMEA / globale	7-10 $/endpoint/mese	Sì (CryptoGuard)	Sì in XDR	Sophos MTR	Cloud Sophos Central
Bitdefender GravityZone Business Security	PMI attenta ai costi	4-6 $/endpoint/mese	Sì (Ransomware Mitigation)	Limitato in Business	Premium / MDR	Cloud, semplice

Criteri pratici di selezione:

Team di sicurezza interno nullo o limitato: preferisci un'offerta MDR (Managed Detection Response). Il SOC del fornitore monitora 24/7, rileva e neutralizza. Costo più elevato (15-30 $/endpoint/mese a seconda del fornitore), ma prezioso per una PMI senza un responsabile sicurezza a tempo pieno.
Già su Microsoft 365 Business Premium: Defender for Endpoint P1 è incluso – attivalo correttamente (policy Intune, regole ASR, accesso condizionale) prima di considerare un prodotto di terze parti.
Ambiente eterogeneo (Windows + Mac + Linux + server): SentinelOne e CrowdStrike coprono tutto con un agente unificato. Defender copre male Linux e i server non-AD.
Vincolo di sovranità: Sophos (UK) e Bitdefender (Romania, UE) sono scelte difendibili fuori dall'ecosistema USA.

L'EDR non sostituisce il backup immutabile. Riduce la probabilità di un attacco riuscito, accelera il rilevamento e abilita il rollback; non garantisce mai l'inviolabilità assoluta.

MFA ovunque: il controllo con il ROI più alto

L'autenticazione a più fattori è costantemente citata come una delle misure di cybersicurezza con il ROI più alto per le PMI. L'MFA blocca la stragrande maggioranza degli attacchi automatizzati basati sulle credenziali, indipendentemente dalla qualità della password.

Copertura obiettivo

Account Microsoft 365 / Google Workspace: MFA obbligatoria per il 100% degli utenti, nessuna eccezione. Conditional Access (Entra ID) o 2-Step Verification impongono (Google).
Accesso remoto VPN: MFA via Duo, Microsoft Authenticator, Cisco Duo, o soluzione integrata nel firewall (Fortinet FortiToken, SonicWall TOTP).
RDP: non esporlo mai a Internet. Se l'accesso remoto è obbligatorio, mettilo dietro una VPN con MFA, o usa una soluzione PAM come CyberArk, Senhasegura, BeyondTrust.
SaaS aziendali: Salesforce, HubSpot, Slack, Notion, GitHub, GitLab, Atlassian. Attiva l'MFA nelle impostazioni di ogni strumento. Per le organizzazioni mature, federa via SSO (Okta, Entra ID, Google) per centralizzare il controllo.
Account webmail: MFA sempre attiva, nessuna tolleranza.
Account admin e privilegiati: richiedi una chiave FIDO2 fisica (YubiKey 5 Series, Token2, Feitian). Gli SMS sono vietati (SIM swap), il TOTP via app è accettabile per i non-admin, FIDO2 per gli admin.

Dismissione definitiva degli SMS

Gli SMS come secondo fattore sono obsoleti dal 2017 (NIST SP 800-63B). Vulnerabili a SIM swap, intercettazione SS7, proxy phishing (Evilginx). Nel 2026, la loro presenza in uno stack PMI è una non conformità di base.

Percorso di migrazione: distribuisci Microsoft Authenticator o Google Authenticator su tutti i telefoni aziendali, importa gli account, disattiva gli SMS in quest'ordine: email aziendale, SaaS critici, account utente normali, account admin (per ultimi, dopo i test).

Segmentazione di rete: isolare per limitare la propagazione

Una volta all'interno, il ransomware si diffonde lateralmente via SMB, RDP, WMI, PsExec, a volte in pochi minuti. La segmentazione limita la superficie contaminabile.

Modello PMI minimalista

VLAN postazioni: isolata dai server tranne i flussi necessari (RPC, SMB verso le condivisioni aziendali).
VLAN server: isolata dalla VLAN postazioni, comunicazioni limitate da regole firewall interne.
VLAN IoT e stampanti: rigorosamente isolata. Questi dispositivi sono raramente aggiornati e costituiscono un punto d'ingresso frequente.
VLAN ospiti: Wi-Fi visitatori con solo accesso Internet, che non raggiunge mai le risorse interne.
VLAN admin / gestione: interfacce di gestione di switch, firewall, hypervisor accessibili solo via bastion host.

Firewall interno: un pfSense (open source, gratuito) o Fortigate 40F / 60F (3.000-5.000 $ hardware + manutenzione) basta per la maggior parte delle PMI. Andando oltre: microsegmentazione Zero Trust (Illumio, Akamai Guardicore, Zscaler ZPA) che definisce le policy a livello applicativo – più difficile da implementare ma incomparabile nella riduzione della superficie di attacco.

Regole di base inviolabili

L'RDP non è mai esposto direttamente a Internet. Se serve un accesso remoto, è VPN + MFA + restrizione IP di origine, o ZTNA.
Gli admin non usano mai i loro account admin per navigare sul web o aprire la posta. Account admin dedicati, postazioni di gestione isolate (PAW — Privileged Access Workstation).
Bastion / jump host per tutta l'amministrazione dei server, con registrazione delle sessioni.
Inventario aggiornato degli asset esposti su Internet (Shodan, censys; strumenti interni).

Per lo scenario specifico degli attacchi a NAS e array di storage, vedi la nostra guida dedicata Attacco ransomware a NAS Synology / QNAP: prevenzione e recupero.

Formazione anti-phishing: lo strato umano

Nessuna tecnologia sostituisce un team formato. Il phishing resta uno dei principali vettori d'ingresso per gli incidenti delle PMI. Gli esseri umani sono al contempo il bersaglio preferito degli attaccanti e la prima linea di difesa.

Programma di sensibilizzazione efficace

Onboarding obbligatorio: ogni nuovo assunto completa una formazione di sicurezza strutturata entro i primi 30 giorni.
Campagne di phishing simulato trimestrali: KnowBe4, Mantra, Cymulate, Riot, GoPhish (open source). Scenari vari adattati all'attività (finto DHL, finto CFO, finte risorse umane, finto reset M365).
Debriefing pedagogico dopo ogni campagna: mai punitivo, mai pubblicamente nominativo. Spiegazione dell'esca, segnali d'allarme, come segnalare.
Security champion in ogni reparto: 1 o 2 persone formate più a fondo, relè operativo per gli alert.
Pulsante «Segnala phishing» nel client di posta (add-in Outlook PhishER o equivalente) per facilitare la segnalazione.

Metriche pilota

Metrica	Obiettivo a 12 mesi	Fonte
Tasso di clic sul phishing simulato	< 5%	Piattaforma di simulazione
Tasso di immissione credenziali sull'esca	< 1%	Piattaforma di simulazione
Tasso di segnalazione	> 30%	Piattaforma di simulazione + helpdesk
Tempo medio di segnalazione	< 15 min dalla ricezione	Piattaforma
Tasso di completamento sicurezza all'onboarding	100% a 30 giorni	LMS interno

In pratica, queste metriche tendono a migliorare sensibilmente con campagne sostenute e ben gestite: i tassi di clic sul phishing simulato calano tipicamente in modo netto nel primo anno di un programma serio.

Piano di continuità operativa (BCP / DRP): preparare il ripristino

Il BCP (Business Continuity Plan) e il DRP (Disaster Recovery Plan) definiscono come l'azienda sopravvive a un incidente grave. Per il ransomware su IT critica, è la differenza tra un giorno di fermo e il fallimento sei mesi dopo.

Componenti minimi

Inventario dei processi critici: fatturazione, paghe, produzione, ordini clienti. Classifica per criticità (RTO breve / RPO breve / RTO lungo).
RTO (Recovery Time Objective): interruzione massima accettabile per processo. Tipicamente da 4 a 24 ore per i processi PMI critici.
RPO (Recovery Point Objective): perdita di dati massima accettabile. Tipicamente da 1 ora a 24 ore a seconda dell'attività.
Runbook degli incidenti scritto: passo per passo, chi fa cosa, in quale ordine, con quali strumenti. Stampato in più copie (un runbook conservato sulla IT cifrata è inutile).
Team di crisi designato: dirigente (decisore), responsabile IT / CISO (tecnico), DPO (protezione dati), consulente legale, comunicazione interna ed esterna. Numeri di telefono personali annotati.
Ambiente di ripristino isolato: macchine, rete e storage che permettono di riavviare i servizi senza rischio di reinfezione.

Test: senza test, nessun piano

Un DRP non testato è finzione. Test minimi:

Ripristino ad hoc mensile: scegli un file a caso, ripristina dal backup più recente, misura il tempo. Documenta.
Ripristino completo di un server trimestrale: ripristina un server completo su ambiente isolato, verifica l'integrità applicativa.
Esercitazione di crisi tabletop annuale: discussione tabletop poi simulazione in scala reale almeno una volta.

Le agenzie nazionali di cybersicurezza (CISA, ANSSI, NCSC) pubblicano scenari di esercitazioni tabletop gratuiti adattati alle PMI.

Assicurazione cyber: copertura finanziaria del rischio residuo

L'assicurazione cyber trasferisce il rischio finanziario residuo. Non sostituisce le misure tecniche e non copre le conseguenze derivanti dall'assenza di controlli di base.

Mercato 2025-2026

Assicuratore	Specificità	Target	Premio PMI indicativo
Coalition	Orientata alla tech US/globale	PMI fino a mid-market	3.000-10.000 $/anno
At-Bay	Tariffazione basata sul rischio, advisor di sicurezza	PMI	2.500-8.000 $/anno
Hiscox	Riferimento storico, basato su broker	PMI 10-500 dipendenti	3.000-10.000 $/anno
Chubb Cyber Enterprise Risk Management	Ampia rete	PMI fino a enterprise	5.000-15.000 $/anno
AXA Cyber Secure	Integrazione multiramo	Tutti i settori	2.500-9.000 $/anno
Allianz Cyber	Multinazionale, grandi volumi	PMI / mid-market	3.500-12.000 $/anno

Coperture standard

Costi di indagine e forensi: ingaggio DFIR (CrowdStrike Services, Mandiant, Kroll, Coveware).
Costi di ripristino: ricostruzione IT, ripristino dati, acquisto di hardware sostitutivo.
Interruzione dell'attività: indennizzo per il margine perso durante il fermo.
Responsabilità civile cyber: indennizzo di terzi (clienti, partner) in caso di fuga o impatto.
Costi di notifica: invii ai clienti, hotline, agenzia di comunicazione di crisi.
Riscatto: opzionale, eticamente dibattuto, soggetto a condizioni rigorose (clearance OFAC, approvazione dell'autorità).

Prerequisiti 2026

Gli assicuratori hanno inasprito le condizioni dal 2022 in risposta all'esplosione dei sinistri. Rifiuti o esclusioni sono frequenti se all'organizzazione manca:

MFA attiva su tutti gli accessi remoti e le caselle di posta, verificata tramite questionario e a volte tramite audit esterno.
EDR distribuito sul 100% di endpoint e server.
Backup offline o immutabili testati.
Procedura di patch management documentata.
Formazione anti-phishing annuale.

Senza questi prerequisiti: premio maggiorato del 30-100%, o rifiuto netto. Con essi: premio standard, e soprattutto indennizzo effettivamente possibile al momento del sinistro.

Conformità regolamentare 2026 (UE, UK, US)

In caso di violazione di dati personali suscettibile di creare un rischio per gli interessati, l'organizzazione deve notificare l'autorità di protezione dei dati entro 72 ore dalla presa di conoscenza (Art. 33 GDPR). Se il rischio è elevato, notifica anche agli individui interessati (Art. 34).

Il modulo di notifica richiede: natura della violazione, categorie e numero approssimativo di interessati, conseguenze probabili, misure adottate o previste. Una procedura prescritta deve esistere nel runbook degli incidenti – improvvisare una notifica GDPR nel panico post-incidente è una cattiva idea.

NIS2: recepimento UE 2025

La direttiva NIS2 è stata recepita negli Stati membri dell'UE a partire da fine 2024 / 2025. Perimetro ampliato: Entità Essenziali (EE) ed Entità Importanti (EI) coprono ora energia, trasporti, sanità, banche, acqua, infrastrutture digitali, pubblica amministrazione, spazio, poste, rifiuti, alimentare, chimica, manifattura critica, fornitori digitali (cloud, data center, SOC, MSSP).

Obblighi rafforzati: misure di cybersicurezza documentate, gestione degli incidenti e notifica 24h/72h, gestione della supply chain, formazione, piano di continuità. Sanzioni fino a 10 milioni € o il 2% del fatturato mondiale per le EE, 7 milioni € o l'1,4% per le EI.

DORA: settore finanziario

Il regolamento DORA (Digital Operational Resilience Act) è applicabile dal 17 gennaio 2025 per gli attori finanziari UE (banche, assicuratori, fondi, fintech, fornitori di servizi ICT critici). Requisiti specifici: gestione del rischio ICT, test di resilienza operativa, gestione dei fornitori ICT critici, condivisione delle informazioni.

Leggi statali USA

Negli USA, i tempi di notifica della violazione variano per stato (la maggior parte richiede una notifica «senza ingiustificato ritardo», alcuni specificano 30-60 giorni). Regole settoriali federali si applicano alla sanità (HIPAA: 60 giorni), ai servizi finanziari (SEC: 4 giorni lavorativi per gli incidenti rilevanti), alle infrastrutture critiche (CIRCIA: 72 ore per le entità coperte una volta che la regola finale è in vigore). Segui le linee guida di CISA e SEC.

Risposta agli incidenti: prepararsi prima della crisi

Il miglior stack difensivo prima o poi fallirà. La capacità di risposta differenzia una crisi gestita da una crisi subita.

Contatti prestabiliti

CSIRT regionale o CERT nazionale. Per gli USA: contatti CISA regionali. Per l'UE: CSIRT nazionali (CERT-FR, BSI, NCSC-UK, ecc.).
Fornitore DFIR: firma un contratto o un MOU con una società specializzata (CrowdStrike Services, Mandiant, Kroll, Arete, Coveware). SLA di intervento contrattuale < 4 ore.
Avvocato cyber specializzato: indica uno studio in grado di supportare la notifica GDPR, la comunicazione, la denuncia penale.
Comunicatore di crisi: agenzia o freelance capace di produrre comunicazioni a clienti, dipendenti e stampa entro ore.
Assicuratore cyber: referente designato, procedura di dichiarazione, numero di reperibilità.

Comunicazioni prescritte

Tre modelli di comunicazione da preparare a monte:

Comunicazione ai clienti: tono fattuale, trasparenza sui dati potenzialmente impattati, misure adottate.
Comunicazione ai dipendenti: istruzioni operative (sospensione posta, strumenti di ripiego), rassicurazione.
Comunicazione alla stampa: se l'incidente diventa pubblico, breve dichiarazione, unico punto di contatto.

Strumenti e risorse gratuiti delle agenzie

Diverse risorse gratuite, spesso poco sfruttate, di qualità eccellente:

CISA Stop Ransomware (stopransomware.gov): guide consolidate, schede tecniche per variante, alert in tempo reale.
CISA Cyber Hygiene Services: scansione gratuita delle vulnerabilità per le organizzazioni USA (richiesta via CISA).
NCSC Cyber Essentials (UK): schema di certificazione di base fondamentale.
No More Ransom: decryptor gratuiti per oltre 200 varianti, iniziativa congiunta Europol / Kaspersky / McAfee / Trend Micro.
NIST Cybersecurity Framework 2.0: framework di riferimento per la gestione del rischio.

Per un intervento concreto passo per passo se un attacco è già in corso, vedi la nostra guida Recuperare i file dopo un ransomware e Decifrare il ransomware senza pagare. Per il ripristino delle copie shadow di Windows, vedi Ripristino delle Shadow Copy su Windows. Per confrontare gli antivirus anti-ransomware, vedi Miglior software anti-ransomware 2026.

Roadmap di 90 giorni per una PMI

Per una PMI che parte da zero, una traiettoria pragmatica di tre mesi:

Fase	Periodo	Azioni chiave
Mese 1 — Audit ed emergenze	G0-G30	Audit della postura, MFA attivata ovunque, EDR distribuito sul 100% degli endpoint, backup immutabile operativo
Mese 2 — Hardening	G30-G60	Segmentazione di rete, rimozione dell'RDP esposto su Internet, prima formazione anti-phishing, primo test di ripristino
Mese 3 — Resilienza	G60-G90	BCP / DRP documentato, esercitazione della cellula di crisi, sottoscrizione assicurazione cyber, runbook degli incidenti finalizzato

Questa traiettoria è raggiungibile con una quota modesta del budget IT per una PMI standard, servizi esterni inclusi. È il tipo di investimento necessario per superare una domanda di assicurazione, firmare con un grande cliente e mettere le probabilità di sopravvivere al prossimo attacco saldamente a tuo favore.

Conclusione

La protezione ransomware per le PMI nel 2026 non riguarda più strumenti miracolosi, ma l'igiene industriale: backup immutabili 3-2-1-1-0, EDR moderno, MFA universale, segmentazione di rete, formazione continua, piano di continuità testato, assicurazione adeguata. Nessuno di questi elementi è nuovo, nessuno richiede un budget da grande azienda. Ciò che cambia la traiettoria di una PMI è la costanza nell'esecuzione: mantenere il livello, testare regolarmente, aggiornare la postura contro una minaccia in evoluzione.

Se parti da zero, comincia con una diagnosi gratuita per mappare le tue lacune, poi attacca la roadmap di 90 giorni. Una PMI non protetta affronta un rischio serio di essere colpita, mentre una protetta secondo lo standard qui descritto è in una posizione molto più forte per rilevare, contenere e ripristinare. Il vantaggio si costruisce in pochi mesi.

Risorse