Il ransomware è presente nell'88% delle violazioni che colpiscono le piccole e medie imprese, contro il 39% di quelle che riguardano le grandi organizzazioni; i tentativi di sfruttamento di vulnerabilità ad alta e media severità hanno raggiunto 13 miliardi nel 2025, con una crescita del 20,8% su base annua. Sono dati del SonicWall 2026 Cyber Protect Report che chiariscono la spiacevole posizione delle PMI come bersaglio principale del cybercrime. La porta d'ingresso preferita dagli attaccanti è sempre più spesso una vulnerabilità rimasta senza patch, come chiarisce il Verizon Data Breach Investigations Report. Per le organizzazioni più piccole, che faticano a gestire i cicli di patching con le risorse disponibili, questo cambiamento costituisce un grave punto di vulnerabilità, considerati i team IT sottodimensionati o inesistenti, le infrastrutture eterogenee e non aggiornate, le policy di sicurezza assenti o non applicate, e una superficie di attacco che si è ampliata rapidamente con la digitalizzazione degli ultimi anni. Cloud, lavoro ibrido, applicazioni SaaS, accessi remoti hanno ampliato il perimetro IT e i relativi punti di esposizione, senza il necesario adeguamento delle difese.

Gli specialisti del settore concordano nell'individuare alcune criticità ricorrenti. Il problema raramente è la totale assenza di strumenti: molte PMI dispongono già di soluzioni di sicurezza, spesso acquistate in modo frammentario o ereditate da scelte tecnologiche precedenti. La difficoltà emerge nel momento in cui si verifica un incidente, quando le organizzazioni non riescono a individuare tempestivamente l'abuso, a contenere il danno o a ripristinare l'operatività in tempi accettabili. In molti casi, la pressione generata dai tempi di inattività risulta più dannosa dell'intrusione stessa.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

A questo si aggiunge la dimensione dell'identità digitale. Gli attaccanti puntano sempre più a compromettere account e credenziali piuttosto che sistemi, muovendosi all'interno delle reti con strumenti legittimi e account autenticati. Una volta ottenuto l'accesso, possono operare per giorni o settimane prima che l'anomalia venga rilevata. La correlazione tra furto di credenziali e attacco ransomware è sistematica: il DBIR 2026 rileva che nel 73% dei casi di ransomware su PMI, la vittima aveva subito una compromissione delle credenziali nei 95 giorni precedenti.

La questione della supply chain aggiunge un ulteriore livello di complessità. I breach che coinvolgono una terza parte sono cresciuti del 60% nell'arco di un anno e rappresentano oggi il 48% del totale degli incidenti confermati a livello globale. Per le PMI inserite in filiere produttive, questo significa che un fornitore di software, un partner IT, una piattaforma SaaS condivisa possono diventare vettori di attacco verso un'organizzazione che, da sola, non sarebbe nel mirino diretto degli attaccanti.

Un ulteriore elemento di rischio emerge dall'adozione non governata dell'intelligenza artificiale. Il DBIR 2026 rileva che l'uso di strumenti AI non autorizzati sui dispositivi aziendali è triplicato in un anno, passando dal 15% al 45% dei dipendenti, con il 67% di questi che accede a tali strumenti attraverso account personali. La Shadow AI introduce canali inediti di fuoriuscita di dati e ripete la dinamica del BYOD su scala più ampia, con conseguenze potenzialmente più severe sul piano della compliance e della riservatezza dei dati.

QUI_METTI_LA_DIDASCALIA

Di fronte a questo panorama, gli specialisti del settore convergono su alcune indicazioni di fondo. La prima è che per le PMI la priorità dovrebbe essere la riduzione della complessità operativa e il rafforzamento delle basi: patching sistematico dei sistemi esposti a Internet, autenticazione multifattore, gestione rigorosa dei privilegi di accesso, backup immutabili con procedure di ripristino testate. Sono le stesse misure che compaiono da anni in tutti i framework di riferimento, eppure continuano a essere l'anello debole nella catena difensiva della maggior parte delle organizzazioni di piccola dimensione.

La seconda indicazione riguarda il modello operativo. Le PMI non possono contare su team dedicati alla sicurezza, e spesso nemmeno su risorse IT sufficienti per garantire un monitoraggio continuo. In questo contesto, i servizi gestiti quali MSP e provider MDR assumono un ruolo crescente perché consentono alle organizzazioni più piccole di accedere a capacità di sorveglianza e risposta che sarebbero altrimenti fuori portata. La centralità del canale indiretto nel mercato italiano rende questa strada particolarmente praticabile: un partner specializzato può erogare servizi di testing, remediation e monitoraggio su scala, abbattendo i costi unitari e garantendo una continuità operativa che il singolo cliente non potrebbe sostenere da solo.

La terza indicazione tocca la governance. Secondo una ricerca condotta su un campione di PMI italiane, il 68% non dispone ancora di una strategia di cybersecurity realmente strutturata; in un caso su quattro, i responsabili IT ritengono che il management aziendale non comprenda pienamente l'importanza della sicurezza informatica. La cybersecurity viene ancora percepita come un costo operativo da minimizzare anziché come un fattore di continuità del business. Questo approccio, che porta a misure frammentarie e prevalentemente reattive, è incompatibile con un contesto in cui la media mensile degli attacchi a livello globale è passata da 171 nel 2021 a 439 nel 2025, con un incremento del 256% in cinque anni.

L'automazione cambia il problema in modo strutturale, da entrambi i lati. Gli attaccanti utilizzano strumenti AI per scalare le operazioni, abbattere i tempi di sviluppo delle campagne, identificare vulnerabilità in modo sistematico e confezionare messaggi di phishing sempre più credibili. Per i team IT delle PMI, che già oggi faticano a gestire i cicli di patching con le risorse disponibili, il restringimento della finestra di intervento rappresenta una pressione ulteriore, difficilmente compensabile con approcci manuali.

Sul versante difensivo, la stessa automazione può alleggerire il carico operativo, accelerare il rilevamento delle anomalie e supportare attività ripetitive come il monitoraggio degli endpoint, la verifica dei backup e la correlazione degli eventi. L'obiettivo è permettere ai team sottodimensionati di operare con maggiore efficacia, di avere una visibilità chiara sulle risorse esposte, di poter definire priorità di intervento basate sul rischio effettivo, e di testare i processi di risposta prima che si verifichi un incidente. In sintesi, l’obiettivo dovrebbe essere integrare la sicurezza nel ciclo operativo come variabile di business permanente.