Guide Pratiche
Cybersecurity di base per PMI: 10 regole che ogni dipendente dovrebbe conoscere
Cybersecurity per PMI: 10 regole pratiche per dipendenti su password, phishing, backup, accessi e gestione degli incidenti.
Redazione PMI Digital Lab
14 min

PMI DIGITAL LAB
In questa guida
• Da dove iniziare • Esempi pratici • Errori da evitare
Da ricordare
La cybersecurity non è un problema riservato a banche, grandi aziende o reparti IT. Anche una piccola impresa può essere colpita da phishing, furto di credenziali, ransomware, accessi non autorizzati o perdita di dati. Spesso l’attacco non inizia con una tecnica sofisticata: basta una password riutilizzata, un allegato aperto troppo in fretta, un account rimasto attivo dopo l’uscita di un collaboratore o un documento inviato tramite un canale personale.
Per questo la cybersecurity deve essere trattata come una responsabilità organizzativa condivisa. L’azienda deve fornire strumenti, regole chiare, formazione e un riferimento da contattare. I dipendenti devono conoscere le abitudini fondamentali che riducono il rischio e sapere come comportarsi quando qualcosa sembra anomalo.
Questa guida raccoglie dieci regole pratiche per le PMI. Non sostituiscono una valutazione tecnica, ma aiutano a creare una base concreta: proteggere gli accessi, gestire i dati in modo ordinato, evitare gli errori più comuni e segnalare rapidamente gli incidenti.
Perché la cybersecurity riguarda ogni dipendente
In una PMI informazioni importanti possono essere distribuite tra computer, caselle email, smartphone, strumenti cloud, gestionali, cartelle condivise e applicazioni di messaggistica. In questi sistemi possono trovarsi preventivi, fatture, coordinate bancarie, contratti, contatti commerciali, dati dei dipendenti, documenti tecnici e credenziali di accesso.
Il problema non è soltanto il furto di dati. Un incidente può interrompere il lavoro, impedire l’accesso a documenti essenziali, bloccare la fatturazione, ritardare consegne, compromettere la relazione con clienti e fornitori oppure generare obblighi privacy da valutare con attenzione.
Le linee guida ENISA per le PMI insistono su un punto fondamentale: la sicurezza non può dipendere esclusivamente da un tecnico esterno. L’azienda deve assegnare responsabilità, definire regole pratiche e formare le persone su situazioni reali.
Questo non significa chiedere a ogni dipendente di diventare un esperto informatico. Significa sapere riconoscere un comportamento rischioso, usare gli strumenti correttamente e avvisare subito chi di dovere.
Cosa deve fare l’azienda e cosa deve fare il dipendente
Una buona cybersecurity non funziona quando l’azienda si limita a dire “state attenti”. Servono procedure, strumenti e responsabilità definite.
Area | Cosa deve predisporre l’azienda | Cosa deve fare il dipendente |
|---|---|---|
Account e accessi | Account individuali, MFA, ruoli e permessi coerenti | Non condividere credenziali e usare gli accessi assegnati |
Backup | Backup automatici, separati, cifrati e testati | Salvare i documenti nelle cartelle aziendali previste |
Aggiornamenti | Gestione centralizzata o istruzioni chiare | Non rimandare senza motivo aggiornamenti richiesti |
Incidenti | Referente, canale di segnalazione e piano di risposta | Segnalare subito anomalie e sospetti |
Formazione | Brevi aggiornamenti periodici e simulazioni realistiche | Partecipare e applicare le regole nella routine quotidiana |
Uscita di personale | Revoca di account, dispositivi, sessioni e permessi | Restituire dispositivi e segnalare accessi ancora attivi |
Il GDPR richiede che la protezione dei dati sia progettata fin dall’inizio e che, per impostazione predefinita, siano trattati soltanto i dati necessari e accessibili solo alle persone autorizzate.
GDPR, NIS2 e buone pratiche: cosa è obbligo e cosa è consiglio
Quando un’impresa tratta dati personali di clienti, dipendenti, fornitori o prospect, il GDPR richiede misure tecniche e organizzative adeguate al rischio. Non esiste una checklist identica per tutte le PMI: una microimpresa con pochi dispositivi non avrà lo stesso livello di rischio di un’azienda che gestisce e-commerce, pagamenti online, dati sanitari o grandi database di clienti.
In pratica, il GDPR rende importanti aspetti come:
raccogliere solo le informazioni necessarie;
mantenere le anagrafiche aggiornate;
limitare gli accessi ai soli utenti autorizzati, attribuendo a ciascuno esclusivamente le informazioni e i permessi necessari per svolgere le proprie attività, secondo i principi del need to know e del minimo privilegio.
proteggere dati e dispositivi;
sapere cosa fare in caso di possibile violazione.
NIS2 ha introdotto requisiti più strutturati per la gestione del rischio cyber in organizzazioni che operano in determinati settori e rientrano nei criteri previsti dalla normativa. L’applicazione non dipende soltanto dalla dimensione dell’impresa: per alcune tipologie di soggetti possono rilevare anche l’attività svolta, il settore di appartenenza e le condizioni specifiche definite dalla disciplina nazionale.Non è quindi corretto presumere che ogni PMI italiana sia automaticamente soggetta agli stessi obblighi. Tuttavia, le logiche della normativa — gestione degli accessi, formazione, sicurezza della catena di fornitura, continuità operativa e risposta agli incidenti — rappresentano buone pratiche utili anche per le imprese non direttamente coinvolte.
Le 10 regole di cybersecurity che ogni dipendente dovrebbe conoscere
1. Usa password uniche, lunghe e protette da MFA
Una password non deve essere condivisa con colleghi, riutilizzata su più servizi o costruita con informazioni facilmente riconducibili alla persona: nome, data di nascita, azienda, figli o città.
Una buona soluzione è una passphrase: una combinazione di parole non collegate tra loro, più semplice da ricordare e difficile da indovinare. Per gestire molte credenziali, l’azienda dovrebbe valutare un password manager.
Dove disponibile, va attivata l’autenticazione a più fattori, cioè un secondo controllo oltre alla password. Può essere un’app di autenticazione, una chiave di sicurezza o un altro metodo previsto dal servizio.
Esempio pratico: un commerciale riceve una falsa email del gestionale e inserisce la password in una pagina contraffatta. Se l’account richiede anche una conferma tramite app o chiave di sicurezza, l’accesso fraudolento diventa più difficile.
Errore da evitare: approvare una richiesta MFA o comunicare un codice ricevuto sul telefono a qualcuno che chiama fingendosi il reparto IT. NIST evidenzia che MFA aggiunge una seconda barriera contro il furto di credenziali e raccomanda di rimuovere gli accessi quando le esigenze lavorative cambiano o termina il rapporto con un dipendente.
2. Tratta email, messaggi e telefonate urgenti con prudenza
Il phishing non arriva solo via email. Può comparire tramite SMS, WhatsApp, social network, telefonate o chat di lavoro. Il messaggio può imitare una banca, un fornitore, un cliente, il titolare o un collega.
I segnali più frequenti sono urgenza, richiesta di pagamenti, link da aprire, allegati inattesi, richieste di password, codici MFA o dati bancari. L’italiano corretto non è più una garanzia di autenticità: oggi anche strumenti AI possono produrre messaggi credibili.
Esempio pratico: arriva un messaggio apparentemente inviato dal fornitore abituale che comunica nuove coordinate bancarie. Non basta rispondere alla stessa email. Occorre verificare usando un recapito già noto, ad esempio il numero presente nel contratto o nella rubrica aziendale.
Errore da evitare: cliccare su “annulla iscrizione” o rispondere a un messaggio chiaramente sospetto. La procedura corretta è segnalarlo al referente interno e verificare tramite un canale indipendente. NIST definisce il phishing come messaggi convincenti pensati per indurre persone ad aprire link dannosi, scaricare software malevolo o consegnare informazioni riservate.
3. Non autorizzare pagamenti, cambi IBAN o richieste sensibili senza una verifica separata
Regola interna consigliata: nessun cambio IBAN o pagamento urgente deve essere eseguito basandosi soltanto su email, SMS o WhatsApp. Serve sempre una verifica tramite un recapito già noto e, quando possibile, una seconda approvazione.
Questa regola merita una sezione autonoma perché le frodi commerciali non richiedono sempre un malware. Talvolta sfruttano solo una comunicazione falsa o un account email compromesso.
Per pagamenti urgenti, modifiche a coordinate bancarie, richieste di file riservati, acquisto di gift card o trasferimenti di denaro, l’azienda dovrebbe prevedere una doppia verifica: ad esempio chiamata telefonica a un numero noto e approvazione di una seconda persona.
Esempio pratico: un’email apparentemente inviata dall’amministratore delegato chiede di fare un bonifico “riservato” entro mezz’ora. La fretta è proprio il segnale che deve attivare la verifica, non sostituirla.
Errore da evitare: pensare che un indirizzo email simile a quello reale sia una prova sufficiente. Basta una lettera in più, un dominio molto simile o una casella compromessa per rendere il messaggio ingannevole.
4. Mantieni aggiornati software, browser e dispositivi
Aggiornare un programma non serve soltanto ad aggiungere funzioni. Spesso l’aggiornamento corregge una vulnerabilità già conosciuta e potenzialmente sfruttabile.
Computer, smartphone, browser, software di fatturazione, strumenti di videoconferenza, applicazioni cloud e dispositivi connessi devono essere inclusi nella gestione degli aggiornamenti.
Esempio pratico: un dipendente rinvia per settimane un aggiornamento del browser perché “il computer funziona”. Nel frattempo resta esposto a un difetto di sicurezza già corretto dal produttore.
Errore da evitare: installare software pirata, scaricare applicazioni da fonti non ufficiali o disattivare antivirus e aggiornamenti perché rallentano temporaneamente il dispositivo. ENISA raccomanda aggiornamenti regolari, attivazione degli aggiornamenti automatici quando possibile e protezioni anti-malware gestite e aggiornate.
5. Usa solo strumenti, account e spazi di archiviazione autorizzati
Inviare documenti aziendali alla propria email personale, salvarli in un cloud privato o condividerli tramite strumenti non approvati crea problemi di sicurezza, continuità e privacy.
Questo vale anche per gli strumenti di intelligenza artificiale: non bisogna incollare dati di clienti, contratti, informazioni riservate o credenziali in servizi non autorizzati dall’azienda.
Esempio pratico: per lavorare da casa, un dipendente esporta un elenco clienti e lo salva sul proprio drive personale. Anche senza cattive intenzioni, l’azienda perde controllo su chi accede al file, dove viene conservato e per quanto tempo.
Errore da evitare: scegliere un’app “più comoda” senza informare nessuno. La semplicità individuale può creare un rischio per l’intera organizzazione.
6. Salva i file nelle aree aziendali previste: il backup non è un’azione individuale
Il backup è essenziale, ma non significa che ogni dipendente debba copiare file casualmente su chiavette USB o hard disk personali. Il compito dell’azienda è configurare backup automatici, separati dall’ambiente principale, cifrati quando necessario e testati periodicamente.
Il compito del dipendente è più semplice: lavorare nelle cartelle, piattaforme e gestionali inclusi nel processo di backup aziendale.
Esempio pratico: i preventivi vengono salvati solo sul desktop del computer dell’addetto vendite. Se il PC si guasta o viene cifrato da ransomware, recuperarli può diventare difficile. Se invece sono archiviati nella cartella condivisa aziendale prevista, rientrano nel backup centralizzato.
Errore da evitare: dare per scontato che “tutto sia nel cloud”. Non tutti i servizi cloud proteggono automaticamente da cancellazioni accidentali, errori umani o versioni cifrate di file colpiti da ransomware. ENISA raccomanda backup regolari, automatizzati, separati dalla produzione, cifrati e verificati tramite test di ripristino.
7. Proteggi smartphone, laptop e lavoro da remoto
Uno smartphone aziendale perso o un computer lasciato incustodito possono esporre documenti, email, accessi e applicazioni aziendali.
Ogni dispositivo usato per lavoro dovrebbe essere protetto con blocco schermo, PIN o password, aggiornamenti, cifratura quando prevista e applicazioni provenienti da fonti affidabili. In caso di furto o smarrimento, occorre segnalare immediatamente l’evento.
Quando si lavora fuori ufficio, è preferibile usare reti affidabili. Le reti Wi-Fi pubbliche richiedono particolare cautela: bisogna seguire le istruzioni aziendali sull’uso di VPN, hotspot personale o accesso remoto.
Esempio pratico: un dipendente lavora in aeroporto usando il Wi-Fi pubblico e accede a una cartella riservata. Prima di collegarsi deve applicare le misure previste dall’azienda, non improvvisare.
Errore da evitare: installare app sconosciute, conservare password nel blocco note del telefono o lasciare laptop e smartphone visibili in auto.
8. Accedi solo a ciò che serve al tuo ruolo
Ogni persona dovrebbe avere un account individuale e autorizzazioni proporzionate alle attività che svolge. Questo principio è chiamato “minimo privilegio”: non significa sfiducia, ma riduzione del rischio.
Un addetto amministrativo può avere accesso a documenti contabili; non per questo deve poter modificare configurazioni tecniche, gestire utenti o consultare dati commerciali che non gli servono. Allo stesso modo, un collaboratore esterno dovrebbe accedere soltanto ai sistemi strettamente necessari e per il tempo necessario.
Esempio pratico: un ex dipendente conserva ancora l’accesso alla casella email condivisa perché nessuno ha completato la procedura di uscita. L’azienda perde controllo su un canale che può contenere dati e comunicazioni sensibili.
Errore da evitare: condividere un unico account “commerciale” tra più persone. Oltre a essere rischioso, rende difficile capire chi ha effettuato una modifica, inviato una comunicazione o aperto un documento.
9. Proteggi anche la sicurezza fisica
La sicurezza non riguarda soltanto password e software. Anche documenti stampati, computer sbloccati e smartphone lasciati su una scrivania possono creare problemi.
Quando ci si allontana dal computer, bisogna bloccare lo schermo. I documenti cartacei contenenti dati personali o informazioni riservate non devono restare su stampanti, tavoli condivisi o sale riunioni.
Esempio pratico: un commerciale lascia in auto una borsa con laptop, offerte e documenti cliente. Un furto fisico può trasformarsi anche in un incidente informatico se il dispositivo non è protetto adeguatamente.
Errore da evitare: pensare che un ufficio piccolo sia automaticamente sicuro. Fornitori, visitatori, personale di pulizia, corrieri e persone esterne possono passare in aree dove sono presenti informazioni aziendali.
10. Segnala subito anomalie e possibili incidenti
Il dipendente non deve capire da solo se si tratta davvero di un attacco. Deve sapere riconoscere il dubbio e comunicarlo rapidamente.
Esempi di segnali da riportare: una richiesta insolita di password o pagamento, un accesso non riconosciuto, una finestra di riscatto, file che cambiano estensione, un dispositivo perso, un messaggio inviato dal proprio account senza autorizzazione, un avviso dell’antivirus o un cliente che segnala email sospette ricevute dall’azienda.
Cosa fare: interrompere l’azione rischiosa, non cliccare altri link, non eliminare messaggi o file che potrebbero servire per l’analisi e contattare il referente stabilito dall’azienda. Se la procedura interna lo prevede, scollegare il dispositivo dalla rete senza spegnerlo o riavviarlo.
Errore da evitare: aspettare per paura di aver commesso un errore. Una segnalazione rapida permette all’azienda di contenere il problema prima che coinvolga altre persone o sistemi. ENISA raccomanda piani di risposta con ruoli e responsabilità documentati; NIST tratta la risposta agli incidenti come parte integrante della gestione del rischio cyber.
Piano pratico di implementazione in 30 giorni
Le dieci regole funzionano solo quando l’azienda le rende applicabili. Una PMI può iniziare con un piano semplice.
Periodo | Attività | Responsabile | Risultato atteso |
|---|---|---|---|
Settimana 1 | Individuare dati, sistemi, account e persone più critiche | Titolare + referente IT | Mappa essenziale delle priorità |
Settimana 1 | Definire un referente e un canale per segnalare incidenti | Direzione | Tutti sanno chi contattare |
Settimana 2 | Attivare MFA sugli account principali e rivedere gli accessi | IT o fornitore | Riduzione dei rischi di furto credenziali |
Settimana 2 | Verificare aggiornamenti, antivirus e dispositivi non gestiti | IT o fornitore | Base tecnica più ordinata |
Settimana 3 | Verificare backup e fare almeno un test di ripristino | IT o fornitore | Conferma che i dati siano recuperabili |
Settimana 3 | Creare una policy breve per email, password, dispositivi e cloud | Direzione + referente | Regole comprensibili e condivise |
Settimana 4 | Fare una formazione pratica di 45-60 minuti | Direzione + referente | Persone più preparate |
Settimana 4 | Simulare un messaggio sospetto e una segnalazione | Team | Procedura testata |
Il piano non richiede necessariamente un reparto cyber interno. Una PMI può lavorare con un fornitore IT competente, purché mantenga responsabilità, visibilità e controllo sulle scelte effettuate.
Checklist finale per la PMI
Verificate periodicamente questi punti:
Esiste un referente interno o esterno per la cybersecurity?
Tutti sanno come segnalare un’email o un comportamento sospetto?
Ogni persona usa un account individuale?
Gli account principali usano MFA?
Le password non vengono condivise tramite email, chat o fogli Excel?
Gli accessi sono limitati alle attività realmente necessarie?
Gli account di ex dipendenti e collaboratori vengono revocati subito?
Computer, browser, smartphone e software ricevono aggiornamenti?
Sono vietati software pirata e applicazioni non autorizzate?
I documenti vengono salvati solo negli spazi aziendali previsti?
I backup sono automatici, separati e testati?
I dispositivi mobili sono protetti da PIN, blocco schermo e procedure di smarrimento?
Esistono regole chiare per il lavoro da remoto e le reti Wi-Fi pubbliche?
I documenti cartacei riservati sono custoditi correttamente?
L’azienda svolge almeno una breve formazione annuale sul phishing?
I dipendenti sanno che devono segnalare subito un errore o un dubbio?
I fornitori IT e cloud sono valutati anche sotto il profilo della sicurezza?
Le impostazioni privacy e gli accessi vengono riesaminati periodicamente?
Conclusione
La cybersecurity di base non è fatta di strumenti costosi o di promesse assolute. È fatta di regole chiare, comportamenti coerenti, accessi ordinati, dati gestiti in modo responsabile e capacità di reagire rapidamente quando qualcosa non torna.
Le PMI non devono trasformarsi in grandi aziende tecnologiche. Devono però evitare l’idea che “a noi non succederà” o che basti installare un antivirus per essere protetti. Password robuste, MFA, aggiornamenti, backup testati, attenzione al phishing e segnalazione tempestiva sono misure concrete, sostenibili e proporzionate per molte realtà aziendali.
La sicurezza diventa più efficace quando non viene vissuta come un ostacolo al lavoro, ma come una parte normale del modo in cui l’azienda protegge clienti, persone, dati e continuità operativa.
Fonti utilizzate
ENISA — Cybersecurity guide for SMEs: 12 steps to securing your business. https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes
NIST — Multi-Factor Authentication: Protecting Your Small Business. https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/multi-factor-authentication
NIST — Phishing: Protecting Your Small Business. https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/phishing
NIST — Responding to a Cyber Incident. https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/responding-cyber-incident
Commissione europea — obblighi GDPR per organizzazioni e principi di privacy by design e by default. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations_en
Commissione europea — quadro NIS2. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
Gazzetta Ufficiale — Decreto Legislativo 4 settembre 2024, n. 138. https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/sg
Questo articolo ha finalità informative e non sostituisce una valutazione tecnica, organizzativa o legale specifica per la singola impresa.
Nota pratica
Prima di adottare un nuovo strumento, prova un flusso piccolo per sette giorni e misura se riduce davvero tempo, errori o passaggi inutili.
Articoli correlati
Guide Pratiche
Guida pratica alla fatturazione elettronica per PMI nel 2026: SdI, scarti, conservazione digitale, software, sicurezza e checklist operativa.
Guide Pratiche
Cybersecurity per PMI: 10 regole pratiche per dipendenti su password, phishing, backup, accessi e gestione degli incidenti.
AI per PMI
Scopri cosa includono i piani Google Workspace con Gemini, come scegliere tra Starter, Standard, Plus ed Enterprise e quali attenzioni servono per usare l’AI in azienda nel rispetto di GDPR e AI Act.