Uno studio professionale non è un ufficio qualunque con qualche PC. È un’organizzazione che custodisce dati altrui sotto responsabilità deontologica e legale, lavora su scadenze normative non negoziabili, dipende da software verticali specifici che non si possono sostituire a cuor leggero, e in cui un fermo nel giorno sbagliato non è un disagio: è un danno al cliente dello studio, con conseguenze che ricadono sul professionista. Chi fa assistenza informatica a uno studio deve partire da qui, non dal listino dell’antivirus.
Lavoriamo con studi di Napoli e Caserta e relative province — questo è un servizio cross-geo per scelta, perché le esigenze di uno studio commercialista o legale sono definite più dal tipo di attività che dal comune in cui ha sede. Le tre aree che presidiamo con competenza specifica sono: studi di commercialisti e consulenti del lavoro, studi legali e notarili, studi e poliambulatori medici. Per ognuna le criticità informatiche sono diverse, e di seguito le affrontiamo per quello che sono davvero, non in generale.
Il cuore informatico di uno studio commercialista è il gestionale: nelle realtà che seguiamo si tratta tipicamente di ambienti TeamSystem (Lynfa Studio / Studio), Sistemi Profis, o suite Zucchetti, spesso con database SQL Server e installazioni client-server in cui il server dello studio è il singolo punto su cui ruota tutto. Le cose che contano davvero qui sono tre, e nessuna è “l’antivirus”.
Primo: le scadenze fiscali non aspettano l’IT. Intorno alle scadenze (dichiarativi, LIPE, CU, 770, bilanci) lo studio non può permettersi né un fermo del server del gestionale né un aggiornamento andato male. Significa che le manutenzioni e gli update vanno pianificati nelle finestre giuste — non a ridosso di una scadenza — e che la disponibilità del server gestionale va trattata come critica nei periodi caldi. Conoscere il calendario fiscale è parte del lavoro IT, non un di più.
Secondo: il database del gestionale è il bene da proteggere per davvero. Un backup generico della cartella non basta: un database SQL Server ha bisogno di backup consistenti (full + transaction log dove configurato) e, soprattutto, di restore testati. Lo scenario peggiore in uno studio non è “il PC non si accende”: è “il database è corrotto e l’ultimo backup buono è di tre settimane fa”. La regola 3-2-1, una copia off-site, e la verifica periodica del restore non sono burocrazia: sono la differenza tra un disguido e un disastro deontologico.
Terzo: continuità di lavoro per i collaboratori. Studi con più collaboratori, lavoro remoto e accesso al gestionale da fuori sede hanno bisogno di accessi remoti sicuri (mai RDP esposto direttamente su Internet) e di prestazioni adeguate sul server, perché un gestionale lento moltiplicato per dieci collaboratori in periodo di dichiarativi è un costo reale di studio. La fatturazione elettronica, la conservazione a norma e l’integrazione con i portali (Agenzia delle Entrate, INPS, cassetti previdenziali) vanno mantenute funzionanti come parte ordinaria del servizio.
Lo studio legale e lo studio notarile condividono un vincolo che cambia tutto: lavorano con il Processo Civile/Penale Telematico e con i sistemi di accesso ministeriali. Significa Polisweb, PdA / punto di accesso o PEC con i requisiti per i depositi telematici, gestione dei dispositivi di firma digitale (smart card / token) e dei certificati, e un vincolo che il commercialista non ha negli stessi termini: il deposito telematico ha una scadenza oraria precisa e non perdona. Un problema di firma digitale o di connessione alle 22:30 del giorno del deposito non è un ticket di assistenza ordinario: è un atto che rischia di non essere depositato.
Per questo, sugli studi legali e notarili l’assistenza si concentra su affidabilità degli strumenti critici e su tempi di risposta nelle finestre giuste: dispositivi di firma sempre funzionanti e con i certificati non scaduti (monitoriamo le scadenze, non aspettiamo la telefonata di emergenza), client di firma e Java/middleware allineati ai requisiti dei portali, connettività ridondata dove un deposito imminente non può dipendere da una singola linea.
Lo studio notarile aggiunge un livello: la conservazione a norma degli atti, gli adempimenti antiriciclaggio gestiti a sistema, l’integrazione con i software notarili e con la Pubblica Amministrazione. La riservatezza qui non è una buona pratica, è un obbligo: gli accessi vanno segmentati, i privilegi vanno minimi, e il backup degli atti deve essere protetto e verificato con lo stesso rigore di un dato sanitario.
In entrambi i casi vale un principio E-E-A-T che dichiariamo apertamente: noi non sostituiamo il fornitore del software legale o notarile né i punti di accesso ministeriali, ma garantiamo che l’infrastruttura su cui tutto questo gira sia solida, sicura e disponibile quando la scadenza incombe.
Lo studio medico ha la criticità più alta di tutte sul piano della protezione dei dati, perché tratta dati sanitari, che il GDPR classifica come categoria particolare con obblighi rafforzati. Qui l’IT non è un servizio di supporto: è parte della conformità.
Le cose che affrontiamo concretamente: cartella clinica e gestionale di studio messi in sicurezza con controllo degli accessi per ruolo (chi vede cosa), cifratura dei dispositivi che contengono dati dei pazienti, backup cifrato e verificato, e tracciabilità degli accessi dove richiesto. La conformità GDPR sanitaria non si esaurisce in un documento: ha una componente tecnica concreta — misure di sicurezza adeguate, gestione degli incidenti, conservazione e cancellazione dei dati — su cui affianchiamo il professionista e il suo DPO/consulente privacy con la parte di nostra competenza, senza vendere la conformità come un prodotto chiavi in mano (chi lo fa, non sta dicendo la verità).
Aggiungiamo gli aspetti operativi tipici del poliambulatorio: integrazione con sistemi di prenotazione e con eventuali apparati diagnostici, refertazione, e continuità nei giorni di ambulatorio perché un fermo nell’orario delle visite è un problema verso i pazienti, non solo verso lo studio.
Tre ragioni oneste. La prima: conosciamo il contesto, non solo i computer — il calendario fiscale per il commercialista, la scadenza oraria del deposito telematico per l’avvocato, il dato sanitario per il medico. Un fornitore generico tratta tutti questi come “un server e qualche PC”, e su uno studio professionale è esattamente lì che si sbaglia. La seconda: operiamo su Napoli e Caserta e basta, quindi i tempi che dichiariamo sono reali — e per uno studio sotto scadenza i tempi reali sono l’unica cosa che conta. La terza: diciamo dove finisce il nostro lavoro. Non sostituiamo i fornitori dei software verticali né i consulenti privacy: rendiamo solida e sicura l’infrastruttura su cui tutto questo poggia, e lo dichiariamo, perché un fornitore IT serio si riconosce anche da dove ammette di non arrivare.
C’è una convinzione diffusa negli studi piccoli e medi: “siamo troppo piccoli perché qualcuno ci attacchi”. È esattamente il contrario, e va detto chiaramente perché è la falla da cui passano i danni peggiori che bonifichiamo. Gli studi professionali sono bersagli appetibili proprio perché custodiscono dati di valore (fiscali, legali, sanitari), lavorano sotto scadenza — quindi sono più disposti a pagare un riscatto pur di tornare operativi in fretta — e spesso hanno difese più deboli di un’azienda strutturata. L’attaccante non vi sceglie perché siete grandi: vi sceglie perché siete raggiungibili e avete fretta.
Le porte d’ingresso sono quasi sempre le stesse: una mail di phishing aperta da un collaboratore in periodo di scadenza, quando si lavora di corsa e si clicca senza guardare; un accesso remoto esposto e non protetto da secondo fattore; un backup raggiungibile dalla stessa rete che viene cifrata, così che anche la copia di sicurezza viene presa. Il risultato in uno studio non è solo il fermo: è la potenziale violazione di dati di terzi sotto responsabilità del professionista, con obblighi di notifica e conseguenze deontologiche che vanno ben oltre il disagio tecnico.
La difesa che mettiamo non è uno slogan: secondo fattore di autenticazione imposto davvero su posta e accessi remoti, backup isolato dalla rete principale e verificato nel restore, formazione minima ma concreta dei collaboratori sul riconoscere una mail-trappola, e un piano scritto di cosa si fa nelle prime due ore se succede comunque — perché la velocità di reazione, in quel caso, riduce il danno più di qualunque altra cosa.
Aneddoto che racconta meglio di qualunque teoria perché su uno studio professionale la cosa che fa la differenza è la velocità di reazione, non il dispositivo più caro. Caso recente — successo poco più di un anno fa — anonimizzato fino all’ultimo dettaglio, ma vero.
Studio legale civilista di Napoli, un avvocato titolare con due collaboratori e una segretaria. Nostro cliente da qualche anno per la parte di infrastruttura informatica: server interno con gestionale legale, accessi remoti via VPN per i collaboratori, posta certificata e ordinaria messi in sicurezza con SPF/DKIM/DMARC, MFA attiva sui principali account (mail, gestionale, accesso cloud) — questa scelta del passato si è rivelata determinante quando è successo quello che è successo.
Una mattina l’avvocato riceve una mail che a occhio sembra impeccabile: mittente che imita il provider del suo certificato di firma digitale (uno dei grandi enti certificatori italiani — InfoCert, Aruba o simili), oggetto del tipo “Rinnovo certificato CNS in scadenza — azione richiesta entro 48 ore”, layout grafico identico all’originale, link che porta a una pagina di rinnovo dall’aspetto altrettanto verosimile. L’avvocato, in mezzo a una mattinata di lavoro normale, clicca il link e inserisce in buona fede il PIN della smart card pensando di stare confermando il rinnovo.
Il PIN finisce sui server dell’attaccante. Mossa successiva, fatta in modo automatizzato e con tempistica fulminea: tentativo di accesso al portale dell’ente certificatore per usare il certificato — di solito con l’obiettivo finale di firmare digitalmente un atto fraudolento, tipicamente un mandato a un altro legale, una rinuncia o un atto patrimoniale che si possa monetizzare velocemente.
Qui è dove il sistema funziona come dovrebbe: il portale dell’ente rileva il tentativo di accesso da un IP geograficamente incoerente con i pattern dell’avvocato, in un orario insolito, e blocca preventivamente l’accesso mandando un alert via email e SMS entro pochi minuti dal tentativo.
L’avvocato riceve l’alert sul cellulare mentre è in udienza. Esce in corridoio, fa una foto allo schermo dell’alert e me la manda su WhatsApp con due righe: “Antonio, questo cos’è? Mi sono spaventato”.
Diagnosi immediata leggendo l’alert: pattern classico, qualcuno ha provato a usare il certificato di firma da un IP non riconducibile all’avvocato. Probabilità altissima che ci sia stato phishing del PIN — gli chiedo via WhatsApp se ha cliccato qualche link “strano” recentemente. Mi conferma: “sì, una mail del rinnovo CNS, l’ho fatto stamattina”. Trovato il vettore.
Azioni in trenta minuti netti, fatte in parallelo:
Trenta minuti dopo il primo WhatsApp, il certificato era revocato, l’attaccante non aveva firmato neppure un atto, e l’avvocato poteva tornare in udienza. Disastro evitato per un soffio: senza il sistema di alert dell’ente e senza la reattività della chiamata, l’attaccante avrebbe avuto le ore necessarie per firmare almeno un atto e creare un danno reale al patrimonio di un cliente dello studio.
L’avvocato non poteva restare senza dispositivo di firma — un avvocato senza CNS è un avvocato fermo. Abbiamo attivato la procedura di emergenza prevista dal contratto con l’ente certificatore: smart card sostitutiva consegnata in 24-48 ore lavorative (alcuni enti offrono questo servizio se hai sottoscritto la formula giusta o se motivi l’urgenza con un evento di sicurezza documentato). Nei due giorni di transizione lo studio ha gestito le scadenze imminenti tramite firma autografa autenticata in cancelleria per un atto urgente e tramite delega a un collega per gli altri — soluzioni normative previste proprio per questi casi.
L’incidente è stato l’occasione per chiudere le ultime falle che ancora c’erano. Le scelte di hardening adottate nelle settimane successive:
Tre lezioni rapide se gestisci uno studio professionale (legale, commercialista, medico) o se sei il singolo professionista:
Se nel tuo studio non sai con sicurezza quali account hanno MFA attivata e quali no, oppure se le password di accesso al gestionale sono ancora memorizzate sul post-it sotto la tastiera della segretaria, è un buon momento per chiedere un assessment. Vedi anche Sicurezza informatica aziendale Napoli e Caserta e Protezione ransomware aziendale.
Questo è un servizio cross-geo per scelta. Per uno studio professionale le esigenze informatiche sono definite molto più dal tipo di attività — calendario fiscale, deposito telematico, dato sanitario — che dal comune in cui ha sede: un commercialista di Aversa e uno di Pomigliano d’Arco hanno lo stesso vincolo di scadenza, non due problemi diversi perché stanno in due province. Per questo la pagina è una sola e copre Napoli e Caserta con relative province, anziché moltiplicarsi in pagine per comune che direbbero tutte la stessa cosa.
Operiamo dalla sede di Casalnuovo di Napoli, posizione di confine tra l’area metropolitana di Napoli e il sud della provincia di Caserta, che rende raggiungibili in tempi realistici sia l’asse partenopeo (Napoli città, Acerra, Pomigliano d’Arco, Afragola e cintura) sia quello casertano (l’agro aversano, Marcianise, Caserta città e i centri principali). Su uno studio, però, la geografia conta meno che su un’azienda di produzione, e va detto onestamente: il valore non lo fa il tecnico che arriva in fretta, lo fa l’avere previsto prima il problema. Sugli studi lavoriamo prevalentemente in prevenzione e da remoto — certificati di firma monitorati prima della scadenza, backup del database verificati nel restore, manutenzioni pianificate fuori dalle finestre critiche del settore, accessi remoti sicuri per i collaboratori — proprio perché l’emergenza delle 22:30 del giorno del deposito, o il database corrotto in piena campagna dichiarativi, non si risolvono bene mandando qualcuno di corsa: si evitano a monte. Quando serve la presenza fisica, i tempi on-site sono dichiarati nello SLA in base alla distanza reale della sede dello studio e alla criticità del periodo, senza promettere lo stesso numero a chiunque su due province: su uno studio sotto scadenza i tempi reali sono l’unica cosa che conta.
Assessment iniziale tarato sul tipo di studio (le domande giuste a un commercialista non sono quelle a un medico), criticità in ordine di rischio reale, contratto con SLA scritti e finestre di manutenzione concordate intorno alle scadenze del settore. Monitoraggio proattivo di server, backup, sicurezza e scadenze dei certificati di firma. Documentazione dell’ambiente lasciata in mano allo studio. Riservatezza trattata come requisito, non come cortesia: accessi segmentati, privilegi minimi, backup protetti e verificati.
Gestite ambienti TeamSystem / Profis / Zucchetti?
Gestiamo l’infrastruttura, il database e la continuità su cui questi gestionali girano, e ci coordiniamo con il fornitore del software per gli aggiornamenti. Non sostituiamo il fornitore del gestionale: garantiamo che l’ambiente sia solido e che le manutenzioni non lo rompano, soprattutto nei periodi di scadenza.
Per uno studio legale, intervenite anche fuori orario se c’è un deposito imminente?
I tempi e le finestre sono definiti nello SLA. Su studi legali e notarili lavoriamo soprattutto in prevenzione — certificati di firma monitorati, middleware allineato, connettività ridondata — proprio perché l’emergenza serale del giorno del deposito non si risolve bene a posteriori: si evita prima.
Ci mettete a norma GDPR lo studio medico?
Forniamo la parte tecnica delle misure di sicurezza (controllo accessi, cifratura, backup cifrato e verificato, gestione incidenti) e affianchiamo il vostro consulente privacy/DPO. La conformità GDPR non è un prodotto che si compra: chi ve la vende chiavi in mano non sta dicendo la verità.
Il servizio vale sia per Napoli che per Caserta?
Sì, è un servizio cross-geo per scelta: le esigenze di uno studio dipendono dal tipo di attività più che dal comune. Operiamo su entrambe le province dalla sede di Casalnuovo di Napoli, con i tempi dichiarati nello SLA.
Lavorate con studi piccoli (1-3 persone) o solo con i grandi?
Lavoriamo con studi di ogni dimensione purché il rapporto sia continuativo: anche uno studio di due persone con un solo server gestionale ha un punto critico che, se cede nel giorno sbagliato, ferma il lavoro. È esattamente lì che serviamo.
Informatica Gelormini — Via Caudio 53, Casalnuovo di Napoli (NA) — +39 339 288 5800
Assistenza IT specializzata per studi professionali a Napoli, Caserta e province. Contattaci per un assessment tarato sul tuo tipo di studio.
Oltre agli studi professionali seguiamo aziende e PMI a Napoli e provincia e PMI manifatturiere e studi in provincia di Caserta.
Gelormini Antonio
[email protected]
+39 339 288 5800
Aree di assistenza