Cybersecurity PMI Napoli: Difesa Ransomware e Firewall
By
Cybersecurity per PMI Napoli: Come Difendersi da Ransomware e Configurare il Firewall Aziendale
La cybersecurity per le PMI di Napoli non è più una questione che riguarda “le grandi aziende del Nord”. Negli ultimi 18 mesi ho gestito personalmente l’incident response di sette piccole e medie imprese campane colpite da ransomware: uno studio commercialista a Casoria, un’officina meccanica nel casertano, un grossista alimentare a Pomigliano, due studi medici associati e un’azienda di ricambi a Nola. Nessuna di queste aveva oltre 50 dipendenti. Tutte pensavano di essere troppo piccole per essere un bersaglio.
In questa guida ti spiego, da consulente che lavora sui sistemi delle PMI campane da vent’anni, come si difende davvero un’azienda media nel 2026: quali minacce sono reali e quali sono marketing, come funziona un attacco ransomware moderno, che firewall scegliere fra le opzioni che girano sul mercato di Napoli e Caserta, e quali obblighi ti impone la NIS2 anche se non te ne sei mai occupato.
Lo scenario delle minacce 2026 per le PMI campane
Tre dati per inquadrare la situazione, tutti riferiti al 2025 su scala italiana e confermati dai report del CSIRT Italia e del Clusit.
Il numero di attacchi ransomware mirati a PMI sotto i 100 dipendenti è cresciuto del 41% rispetto al 2024. Le PMI sono il bersaglio preferito perché hanno dati di valore (anagrafiche, gestionali, progetti, dati sanitari) ma difese mediamente più deboli delle grandi aziende.
Il vettore d’attacco più frequente è il phishing via email (62% dei casi), seguito da credenziali RDP esposte su internet (18%) e da exploit di vulnerabilità note non patchate (11%). Solo il 9% degli attacchi sfrutta vulnerabilità “zero-day” mai viste prima — il che significa che il 91% degli attacchi sarebbe stato evitabile con misure di base correttamente applicate.
Il costo medio di un incidente ransomware su PMI italiana nel 2025 è stato di 187.000 euro fra fermo, ripristino, consulenze legali e — in alcuni casi — sanzioni del Garante. Il tempo medio di downtime è stato di 23 giorni. Per un’azienda con fatturato 2 milioni di euro, 23 giorni di blocco totale significano circa 130.000 euro di mancato fatturato puro, prima di considerare il danno reputazionale.
Come funziona davvero un attacco ransomware nel 2026
Capire come si svolge un attacco è il primo passo per difendersi. Le ricostruzioni che faccio dopo gli incidenti seguono quasi sempre lo stesso copione, con varianti minime.
Fase 1 — Accesso iniziale (giorno 0)
L’attaccante entra. Nei casi che ho gestito a Napoli e Caserta, sempre via una di queste tre strade: un’email di phishing aperta da un dipendente che inserisce le credenziali su una pagina finta (Microsoft 365, banca, corriere); una porta RDP esposta su internet con password debole; un firewall non aggiornato con vulnerabilità nota.
Fase 2 — Ricognizione laterale (giorni 1-15)
L’attaccante non cifra subito. Resta silenzioso, esplora la rete, mappa server, condivisioni, backup, gestionale. Spesso ruba i dati prima di cifrarli — è la cosiddetta “doppia estorsione”: pagaci o pubblichiamo i tuoi dati. Questa fase può durare due settimane senza che nessuno se ne accorga, perché l’attaccante usa strumenti legittimi (PowerShell, RDP, AnyDesk) che gli antivirus non bloccano.
Fase 3 — Disabilitazione difese (giorno 15-20)
L’attaccante cancella i backup raggiungibili dalla rete, disabilita l’antivirus, crea utenze amministrative dormienti per rientrare in futuro. Questo è il momento in cui un piano di disaster recovery con backup off-site immutabile fa la differenza fra catastrofe e incidente gestibile.
Fase 4 — Cifratura (di solito venerdì notte o sabato mattina)
I file vengono cifrati in poche ore, scelta nel weekend per massimizzare il danno prima che qualcuno se ne accorga. Lunedì mattina trovi il messaggio di riscatto. Da quel momento in poi il tuo problema non è più tecnico: è di gestione di crisi.
Il firewall: il primo perimetro, ma non l’unico
La domanda che mi fanno più spesso è: “Antonio, quale firewall mi serve per la mia azienda di Napoli?”. La risposta dipende da numero di utenti, applicazioni esposte e budget, ma il principio è uno: nel 2026 un firewall consumer o un router del provider non sono più una difesa.
Ti serve un NGFW (Next Generation Firewall) o un UTM (Unified Threat Management) con almeno queste funzioni attive e mantenute aggiornate:
- ispezione del traffico cifrato (SSL inspection)
- antivirus di gateway
- intrusion prevention (IPS)
- filtro web per categoria
- VPN site-to-site e SSL-VPN per smart working
- log centralizzato e conservato per almeno 6 mesi (utile in caso di incidente e richiesto dalla NIS2)
Tabella comparativa firewall per PMI Napoli/Caserta
| Modello | Adatto a | Throughput con tutti i servizi | Costo iniziale (HW) | Licenze annue |
|---|---|---|---|---|
| Fortinet FortiGate 40F | Fino a 25 utenti, 1 sede | 1 Gbps | 700 – 900 € | 600 – 900 € |
| Fortinet FortiGate 80F | 25-100 utenti | 4 Gbps | 1.700 – 2.200 € | 1.200 – 1.800 € |
| Sophos XGS 116 | Fino a 50 utenti | 1,5 Gbps | 950 – 1.300 € | 700 – 1.000 € |
| Sophos XGS 2100 | 50-200 utenti | 5 Gbps | 2.500 – 3.500 € | 1.500 – 2.500 € |
| WatchGuard Firebox T25 | Fino a 30 utenti | 1,3 Gbps | 800 – 1.100 € | 700 – 1.000 € |
I prezzi sono indicativi per il mercato italiano 2026 e includono il primo anno di licenze. La licenza annua va rinnovata: senza, il firewall diventa un router costoso. Diffida di chi ti vende il firewall e poi sparisce: la configurazione corretta vale almeno quanto l’hardware.
Le otto misure di base che ogni PMI deve avere
Sono il pavimento, non il soffitto. Senza queste, qualunque investimento in cybersecurity più avanzato è uno spreco.
1. MFA su tutto. Microsoft 365, gestionale, VPN, accessi RDP, area amministrativa siti. L’MFA blocca il 99% degli attacchi su credenziali rubate. Costa zero su Microsoft 365 Business Standard.
2. Patch management mensile. Tutti i server, tutti i client, tutti i firewall, tutti i NAS. Una vulnerabilità Microsoft non patchata per 3 mesi è un’autostrada aperta.
3. Backup off-site immutabile. Vedi la mia guida dedicata al disaster recovery. Senza, sei in mano all’attaccante.
4. Endpoint protection con EDR, non un antivirus tradizionale. Un EDR (Endpoint Detection and Response) vede comportamenti anomali; un antivirus vede solo firme note.
5. Segmentazione di rete. I PC degli utenti non devono parlare direttamente con il server gestionale. Una VLAN dedicata limita i danni di un PC compromesso.
6. Disabilitazione RDP esposto su internet. Mai. Accesso remoto solo via VPN con MFA.
7. Log centralizzato. Server, firewall, Active Directory. Senza log non si fa indagine post-incidente, e la NIS2 li richiede.
8. Formazione antiphishing semestrale al personale. Mezza giornata, anche online. Il dipendente formato è la prima e la più economica difesa.
Come ti aiutiamo noi di Informatica Gelormini
Se stai cercando una consulenza di sicurezza informatica a Napoli o nel casertano, partiamo sempre da un assessment gratuito di un’ora: passiamo in rassegna firewall, backup, MFA, gestione patch e accessi remoti. Ti consegno un report sintetico con i tre interventi prioritari e una stima di costo onesta.
Lavoriamo come partner Microsoft, Veeam e con esperienza diretta su Fortinet, Sophos e WatchGuard per le PMI campane fra Casalnuovo, Casoria, Pomigliano, Aversa, Caserta, Nola, Marigliano. Conosciamo i provider locali (Aruba, OVH, Tim Business), i gestionali più usati nel territorio (Zucchetti, TeamSystem, Buffetti, Passepartout) e le specificità di chi tratta dati sanitari, fiscali o della pubblica amministrazione.
Se hai un sospetto incidente in corso, non aspettare. Chiama subito al +39 339 288 5800 — rispondo io personalmente, anche fuori orario per le emergenze.
NIS2 e PMI: cosa cambia in concreto dal 2026
La Direttiva (UE) 2022/2555, recepita in Italia con il D.Lgs. 138/2024, è entrata pienamente operativa nel 2025. Le scadenze di adeguamento per i soggetti già registrati sono concentrate fra fine 2025 e tutto il 2026. Per molte PMI campane è il primo vero confronto con un obbligo cyber strutturato.
Sei una PMI obbligata?
La NIS2 si applica a soggetti “essenziali” e “importanti” in 18 settori critici. La regola pratica: se hai oltre 50 dipendenti o fatturato oltre 10 milioni e operi in uno dei settori (energia, trasporti, sanità, alimentare, manifattura medio-alta, fornitori ICT gestiti, postale, gestione rifiuti, prodotti chimici, fornitori digitali, ricerca), sei dentro. Anche aziende sotto soglia possono rientrare se sono fornitori critici per soggetti essenziali.
Cosa devi documentare in concreto
- politica di gestione dei rischi cyber, approvata dal vertice aziendale
- misure tecniche minime (MFA, backup, segmentazione, controllo accessi, log)
- procedura di gestione incidenti con notifica al CSIRT Italia entro 24 ore dal sospetto e rapporto entro 72 ore
- piano di continuità operativa e disaster recovery con test documentati
- formazione del personale, comprese le figure apicali (la NIS2 chiede esplicitamente formazione del management)
- gestione della supply chain — quindi anche i tuoi fornitori IT devono essere allineati
Le sanzioni: fino a 10 milioni di euro o 2% del fatturato globale per soggetti essenziali, fino a 7 milioni o 1,4% per soggetti importanti. Per le PMI campane il rischio reale non è tanto la sanzione massima, quanto la perdita di clienti corporate che — per essere a loro volta compliant — chiederanno ai fornitori di dimostrare misure equivalenti.
Gestione di un attacco in corso: i primi 60 minuti
Se sospetti che la tua azienda sia sotto attacco — file che si rinominano, PC lentissimi, login sospetti, pop-up di riscatto — i primi 60 minuti definiscono il danno totale. Quello che faccio quando vengo chiamato per la gestione attacchi informatici a Napoli:
1. Isolare la rete dall’esterno. Stacco il firewall dalla WAN. L’attaccante perde il controllo remoto, ma — attenzione — se sta cifrando localmente, continua. Si interrompe la connettività esterna per limitare esfiltrazione dati e command-and-control.
2. Identificare i sistemi compromessi e spegnerli o segmentarli. Non riavviare: se cifratura è in corso, il riavvio può completare il processo o cancellare prove utili.
3. Preservare i log. Firewall, Active Directory, antivirus, server. Sono fondamentali per capire vettore d’attacco e portata.
4. Notificare il CSIRT Italia entro 24 ore se sei soggetto NIS2, e il Garante Privacy entro 72 ore se ci sono dati personali coinvolti.
5. Avviare il ripristino dal backup off-site verificato, su sistemi puliti, con cambio totale di credenziali.
6. NON pagare il riscatto. Statistiche europee 2025: solo il 47% dei pagamenti porta a recupero completo dei dati, e dal 2024 alcuni pagamenti sono illegali se la banda criminale è in liste sanzioni.
Domande frequenti su cybersecurity PMI Napoli
Quanto costa mettere in sicurezza una PMI di 30 dipendenti a Napoli?
Per una PMI da 30 utenti con un server, sito, gestionale e Microsoft 365, un setup di sicurezza solido costa indicativamente 8.000-15.000 euro il primo anno (firewall NGFW, EDR, MFA, configurazioni, formazione, backup off-site) e 4.000-7.000 euro l’anno a regime per licenze e monitoraggio. Una frazione di quanto costa un solo giorno di blocco da ransomware.
Il mio antivirus è sufficiente per difendermi dal ransomware?
No. Gli antivirus tradizionali identificano minacce note tramite firme. I ransomware moderni cambiano firma a ogni esecuzione e usano strumenti legittimi (PowerShell, RDP) che l’antivirus non blocca. Serve un EDR che analizza comportamenti anomali e isola automaticamente l’endpoint compromesso.
Cosa devo fare nei primi 10 minuti se sospetto un attacco ransomware?
Stacca i cavi di rete dei PC sospetti (non spegnerli), isola la rete dall’esterno staccando il firewall dalla WAN, chiama il tuo consulente IT. Non pagare nulla, non rispondere a richieste, non riavviare. Se non hai un consulente di fiducia, chiamami al +39 339 288 5800 — la prima telefonata di triage è gratuita.
La mia PMI sotto i 50 dipendenti è obbligata dalla NIS2?
Direttamente forse no, ma indirettamente sempre più spesso sì. Se sei fornitore di soggetti NIS2 (clienti grandi, pubblica amministrazione, sanità privata, energia), questi ti chiederanno di dimostrare misure di sicurezza equivalenti per restare nei loro elenchi fornitori. Anche per attrarre polizze cyber le compagnie chiedono sempre più documentazione.
Conviene avere il SOC interno o esternalizzarlo?
Per PMI sotto i 200 dipendenti il SOC interno (Security Operations Center 24/7) non è economicamente sostenibile. Conviene affidarsi a un MSSP — Managed Security Service Provider — che monitora firewall, endpoint e log con presidio H24 a costi proporzionati. Per PMI campane le tariffe partono indicativamente da 400 euro/mese per pacchetti base.
In conclusione
La cybersecurity di una PMI nel 2026 non si compra con un solo prodotto. È un sistema fatto di firewall ben configurato, MFA su tutto, backup immutabile off-site, formazione del personale e procedure scritte e provate. Tutti elementi alla portata di una PMI di Napoli o Caserta, se affrontati con metodo e con un partner che conosce il territorio.
Se vuoi un assessment onesto della tua sicurezza attuale, chiamami al +39 339 288 5800. Un’ora di analisi gratuita, un report con i tre interventi prioritari, e poi decidi tu i tempi e il budget. Niente fretta, niente FUD, niente preventivi gonfiati: solo le cose come stanno.
—
Note interne SEO (rimuovere prima della pubblicazione)
Internal links da inserire in fase di pubblicazione:
- “Protezione ransomware aziendale Napoli” → `/protezione-ransomware-aziendale-napoli/`
- “Sicurezza informatica aziendale Napoli” → `/sicurezza-informatica-aziendale-napoli/`
- “Backup e Disaster Recovery aziendale Napoli” → `/backup-disaster-recovery-aziendale-napoli/`
- “Sistemista Napoli” → `/sistemista-napoli/`
- “Articolo Disaster Recovery PMI Napoli 2026” → `/blog/disaster-recovery-pmi-napoli-guida-completa-2026/` (cross-link blog)
- “Contatti” → `/contatti/`
Suggerimento immagini:
1. Hero image — alt text: “Cybersecurity PMI Napoli difesa ransomware e firewall aziendale”
2. Diagramma fasi attacco ransomware — alt text: “Schema fasi attacco ransomware su PMI italiana spiegate”
Schema FAQPage: marcare la sezione “Domande frequenti” con JSON-LD FAQPage al momento della pubblicazione (Rank Math FAQ block o shortcode ``).
Gelormini Antonio
[email protected]
+39 339 288 5800
© Copyright 2024 | Informatica Gelormini