Quanto è sicura la tua azienda? Chiedici un check-up: 0721 977060

Sicurezza informatica per le PMI: 7 errori che costano caro

18 Giugno 2026 · 8 minuti di lettura · Sicurezza

La maggior parte degli attacchi informatici non colpisce le grandi aziende: colpisce le piccole imprese, gli studi professionali e gli Enti locali, perché sono meno difesi. Nella nostra esperienza tra Pesaro Urbino e Ancona, quasi tutti gli incidenti che abbiamo gestito non nascevano da hacker geniali, ma da errori banali e ripetuti. Ecco i 7 più comuni — e come chiuderli prima che qualcuno li sfrutti.

1. Password deboli e riutilizzate

La stessa password per la mail, il gestionale e la banca. Magari il nome dell'azienda con un "1" alla fine. È l'equivalente di lasciare la stessa chiave sotto lo zerbino di casa, ufficio e magazzino. Quando una sola credenziale finisce in un data breach (succede di continuo), l'attaccante la prova ovunque.

Come si risolve: un password manager aziendale (Bitwarden, 1Password) che genera e conserva password uniche e complesse. Costo: pochi euro al mese per utente, l'unico "prezzo" è imparare a usarlo — 20 minuti.

2. Niente autenticazione a due fattori (MFA)

Se per entrare nella posta o nel gestionale basta solo la password, sei a un passo dal disastro. L'autenticazione a due fattori (un codice sul telefono, un'app come Microsoft Authenticator) blocca la stragrande maggioranza degli accessi non autorizzati, anche se la password è stata rubata.

L'MFA è la singola misura di sicurezza con il miglior rapporto costo/beneficio esistente: gratuita nella maggior parte dei casi, ferma oltre il 99% dei tentativi di accesso automatici.

3. Backup assente, o mai testato

Il ransomware cripta i tuoi dati e chiede un riscatto. L'unica vera difesa è un backup che il malware non possa raggiungere — off-site e immutabile. E che sia stato verificato con un ripristino di prova: un backup mai testato non è un backup, è un file che speri funzioni.

Ne abbiamo parlato in dettaglio nella guida sulla regola del backup 3-2-1: se non l'hai ancora letta, parti da lì.

4. Firewall e antivirus "quello che c'era"

L'antivirus gratuito preinstallato e il modem del provider come unica difesa perimetrale. Oggi non basta. Serve un firewall vero (pfSense, Zyxel, Drytek) che filtri il traffico, un antivirus gestito con protezione anti-ransomware, e — dove ha senso — un sistema che ti avvisa quando qualcosa va storto, invece di scoprirlo a danno fatto.

5. Il personale non è formato: il phishing entra da lì

La porta d'ingresso numero uno non è tecnica, è umana. Una mail che sembra della banca, del corriere o del "direttore" che chiede un bonifico urgente. Basta un click di un collega distratto. Nessun firewall protegge da un dipendente che consegna spontaneamente le credenziali.

Come si risolve: formazione breve e concreta (riconoscere una mail sospetta, non aprire allegati imprevisti, verificare i pagamenti per telefono) e, per le realtà più esposte, simulazioni di phishing periodiche. Mezza giornata che vale più di molto hardware.

6. Sistemi e software non aggiornati

Windows non aggiornato, il gestionale a una versione di tre anni fa, il firewall con firmware del 2021. Ogni aggiornamento mancato è una falla nota lasciata aperta: gli attaccanti scansionano la rete proprio cercando queste. Gli aggiornamenti vanno pianificati e applicati con regolarità, non "quando ci ricordiamo".

7. Nessuno sa cosa fare quando succede

"E adesso?" è la domanda peggiore da farsi durante un attacco. Serve sapere in anticipo chi chiamare, come isolare i sistemi, dove sono i backup e come ripartire. Per le aziende è buon senso; per la Pubblica Amministrazione è un obbligo: le linee guida AGID, il GDPR e la direttiva NIS2 richiedono misure minime, un referente e procedure di risposta agli incidenti.

Facciamo un check-up di sicurezza alla tua azienda

Veniamo in sede gratuitamente, valutiamo password, backup, firewall, aggiornamenti e formazione, e ti diciamo in modo chiaro dove sei scoperto e cosa conviene sistemare prima. Sede a Terre Roveresche (PU), interventi in tutta la provincia di Pesaro Urbino e Ancona.

Richiedi il check-up di sicurezza

In sintesi

La sicurezza di una piccola azienda non si compra con un solo prodotto: è una somma di abitudini corrette (password, MFA, aggiornamenti, formazione) e di strumenti giusti (firewall, antivirus gestito, backup immutabile). Nessuno di questi passi è costoso o complicato preso singolarmente. Il costo vero è non farli: il riscatto medio di un ransomware in Italia supera i 30.000 €, senza contare i giorni di attività ferma. Meglio prevenire — e la prevenzione, per una PMI, parte da questi sette punti. Se vuoi, li controlliamo insieme.