“Noi mica siamo la NASA.”
Me lo sono sentito dire di continuo, in decine di uffici diversi. Lo dicono i titolari di piccole aziende manifatturiere, gli avvocati con studi associati da tre persone, i commercialisti che gestiscono centinaia di aziende. Lo dicono con un mezzo sorriso, come a congedare gentilmente una preoccupazione esagerata. *Chi vuoi che venga ad attaccarci? Non abbiamo segreti militari, non siamo la NASA.*
È una frase che funziona perfettamente per assolversi. Ed è esattamente la frase su cui i criminali informatici costruiscono la loro strategia, perché sanno che la sicurezza informatica delle PMI italiane è il bersaglio meno difeso e più redditizio del 2026.
Sicurezza informatica PMI: il dato che ribalta la frase
La settimana scorsa ho letto il nuovo Cyber Protect Report 2026 di SonicWall, e a un certo punto mi sono fermato su un numero. Nel 2025, il ransomware è stato presente nell’88% delle violazioni che hanno colpito le piccole e medie imprese. Nelle grandi aziende si è fermato al 39%.
Le PMI non sono ignorate dai criminali informatici. Sono state prese di mira in modo preferenziale, perché sono più facili da colpire, più lente a reagire e meno attrezzate per accorgersi che sta succedendo qualcosa. Gli strumenti automatizzati che scansionano la rete alla ricerca di bersagli non filtrano per dimensione aziendale. Filtrano per vulnerabilità. Se i tuoi sistemi sono esposti, sei un bersaglio a prescindere dal tuo fatturato, dal tuo settore e dal numero di dipendenti.
La frase “non siamo mica la NASA” è operativamente pericolosa. Non perché sia tecnicamente sbagliata, ma perché giustifica il sottoinvestimento in sicurezza e rimanda le decisioni che avrebbero fatto la differenza. È il motivo per cui il titolare non firma il preventivo per il firewall nuovo. È il motivo per cui la password di amministratore è ancora la stessa da quattro anni e la conoscono in troppi. È il motivo per cui il backup viene verificato “quando c’è tempo”, e non c’è mai tempo. Sono temi ricorrenti, infatti ne scrivevo già qualche tempo fa.
Il divario tra l’ottavo piano e la sala server
C’è un secondo dato del report che è ancora più interessante del primo, perché non parla di attacchi esterni. Parla di quello che succede dentro le aziende.
Quando SonicWall ha chiesto ai dirigenti di valutare la preparazione della propria organizzazione di fronte a un attacco informatico, quasi la metà si è descritta come “molto fiduciosa”. Quando la stessa domanda è stata posta ai responsabili tecnici di livello intermedio — quelli che gestiscono i sistemi tutti i giorni — la percentuale è crollata sotto il 20%. Il 69% dei professionisti IT dichiara apertamente che i propri dirigenti sopravvalutano il livello di preparazione dell’azienda.
È quello che vedo ogni settimana entrando nelle aziende per parlare di sicurezza informatica PMI. Chi sta più vicino ai sistemi vede meglio i rischi. Chi sta più lontano, vede meglio il budget.
Il divario si fa ancora più drammatico quando si passa dalle percezioni ai fatti. L’80% dei responsabili IT dichiara di essere in grado di rilevare e contenere una violazione in meno di otto ore. IBM, che misura da anni il tempo reale che intercorre tra l’inizio di un attacco e la sua scoperta, riporta un valore medio di 181 giorni. Sei mesi. I due numeri non possono essere entrambi veri.
Il report lo dice in modo netto: *la fiducia non è un controllo di sicurezza, la verifica sì*. Molte aziende hanno investito in strumenti, completato formazioni, archiviato report di compliance, e sono uscite da quel processo convinte di essere protette. Il 99% dichiara di avere una strategia di resilienza. Solo il 46% è riuscita a superare l’ultimo attacco o esercitazione di test con impatto minimo.
La differenza tra questi due numeri è il costo della falsa sicurezza.
Il tapis roulant in ufficio
SonicWall nel report usa un’immagine che mi ha fatto sorridere perché è la metafora perfetta. Quando succede qualcosa — un attacco a un concorrente, una notizia sui giornali, una circolare di settore — il riflesso istintivo è “dobbiamo fare qualcosa”. E “fare qualcosa” quasi sempre significa comprare qualcosa. “Compriamo un firewall più grosso!”
È la versione cyber del tapis roulant comprato dopo la visita medica. Il dottore preoccupato per i tuoi esami del sangue, ti dice che devi muoverti di più. Tu compri il tapis roulant, lo metti in camera da letto, lo usi due settimane. Dopo un mese ci appendi sopra le giacche. Dopo sei mesi ti chiedi: “Che strano appendi abiti ho in camera”
Il report fotografa esattamente questo comportamento. Le aziende gestiscono in media 45 strumenti di sicurezza diversi. Il 46% dei professionisti passa più tempo a manutenere gli strumenti che a difendersi dagli attacchi. Il 74% delle aziende colpite più volte dal ransomware dichiara di avere troppi strumenti che non si parlano tra loro. Le aziende sanno di avere un problema di sovraccarico tecnologico — il 65% lo ammette apertamente — ma non lo risolvono, perché risolverlo significherebbe tornare al punto di partenza e ripensare l’architettura. Molto più facile comprare un altro strumento e sentirsi, per qualche settimana, meno in colpa.
Il tapis roulant non ti fa dimagrire. Camminarci sopra ti fa dimagrire.
La domanda che vale più di mille strumenti
Se c’è una cosa che mi porto a casa da questo report, è che la sicurezza informatica di un’azienda non si misura da cosa hai comprato. Si misura da cosa sai di aver verificato.
Quando fu l’ultima volta che hai provato a ripristinare un backup? Non quando hai fatto l’ultimo backup, ma quando l’hai ripristinato davvero, su un’altra macchina, controllando che i file fossero leggibili. Chi controlla gli alert di sicurezza, e con quale cadenza? Se oggi pomeriggio un tuo dipendente ricevesse una mail che chiede di cambiare le coordinate di pagamento di un fornitore, quale procedura scatterebbe? Se domani mattina il server principale non si accendesse, chi chiami, in quale ordine, e con quale piano?
Se queste domande non hanno risposte chiare, il livello reale di sicurezza della tua PMI è quello delle risposte, non quello degli strumenti. E “non siamo mica la NASA” non è una risposta. È una speranza e questo mi ricorda il titolo di un libro di qualche anno fa…
“Io speriamo che me la cavo”
Se vuoi capire a che punto è davvero la tua azienda, parliamone. Una chiacchierata non costa nulla, e a volte è quella chiacchierata che evita che il tapis roulant diventi un appendiabiti.
🧩 Kaos Informatica ti può aiutare
Se vuoi, Kaos Informatica può aiutare la tua azienda a:
✅Creare un report sugli strumenti di sicurezza presenti e quelli che mancano
✅Analizzare la loro configurazione e suggerire eventuali miglioramenti
✅Formare il vostro team tecnico per usare al meglio gli strumenti che già avete
Contattaci e parliamone insieme
