"Vogliamo passare al zero-trust" è una frase che oggi sentiamo da clienti che fino a un anno fa non sapevano cosa fosse. Le motivazioni sono tipicamente NIS2, una compliance richiesta da un cliente più grande, o un ransomware capitato a un competitor. Tutto bene, salvo che la maggior parte delle volte zero-trust significa "comprare un prodotto X". Non è quello.
Cos'è zero-trust davvero
Zero-trust non è un prodotto, è un modello. La definizione canonica del NIST (SP 800-207) si riassume in tre principi:
- Verifica esplicita: ogni richiesta è autenticata e autorizzata prima di essere servita, indipendentemente dalla rete da cui parte.
- Privilegi minimi: ogni utente, ogni servizio, ogni device ha solo i permessi che gli servono per il task corrente.
- Assumi la breach: l'architettura è progettata sapendo che qualcuno sarà compromesso, e il danno deve essere contenuto.
Tradotto: la rete interna non è più "trusted by default", la VPN aziendale non è più la soluzione, e l'identità diventa il perimetro principale.
I sei mattoncini di un zero-trust per PMI
1. Identity provider centralizzato
Microsoft Entra ID (ex Azure AD), Google Workspace, Okta o Keycloak self-hosted. È il punto da cui passa ogni autenticazione. Niente più "ogni applicazione la sua password".
2. MFA ovunque, hardware se possibile
App authenticator come minimo. Per gli account critici (admin di rete, finanza), chiavi hardware FIDO2. Costa 30 € a chiave e fa la differenza tra "phishati e dentro" e "phishati e fuori".
3. Single Sign-On + Conditional Access
SSO per tutte le applicazioni cloud. Conditional Access (o policy equivalenti) per dire: "da dispositivo non gestito puoi solo leggere", "da paese estero richiedi MFA aggiuntiva", "da rete sconosciuta blocca finanza".
4. EDR sui client
Antivirus tradizionale non basta più. Endpoint Detection & Response (CrowdStrike, SentinelOne, Microsoft Defender for Business) rileva comportamenti anomali, non solo signature.
5. Microsegmentazione di rete
VLAN per funzione (uffici, IoT, server, ospiti, telecamere). Firewall tra le VLAN, non solo verso internet. Su UniFi si fa con qualche regola; su Fortinet, Sophos, pfSense, ognuno ha il suo modo. Il principio è lo stesso.
6. Logging e monitoring centralizzato
SIEM o servizio managed (per le PMI tipicamente è la seconda opzione). Senza log centralizzato, non solo non si rileva un attacco — non si capisce nemmeno cosa è successo dopo.
Il piano che proponiamo in 12 mesi
Mese 1-3: identity provider centralizzato, MFA forzato, dismissione delle password locali ovunque possibile.
Mese 4-6: SSO sulle applicazioni principali, prima Conditional Access policy, EDR sui client.
Mese 7-9: microsegmentazione di rete, audit dei permessi sui file server, dismissione VPN broad.
Mese 10-12: logging centralizzato, runbook di incident response, primo tabletop exercise.
I costi reali
Per una PMI da 30-50 dipendenti, primo anno tra licenze e setup: 15.000-25.000 €. Anni successivi tra licenze e manutenzione: 8.000-15.000 €. Non è poco, ma è meno del costo di un singolo evento ransomware medio.
L'errore da evitare
Comprare un "prodotto zero-trust". Non esiste. Esistono prodotti che aiutano a implementare il modello. La differenza è capire cosa stai costruendo prima di firmare un contratto. Spesso il sì giusto a un fornitore arriva al sesto mese, non al primo.