Sicurezza informatica PMI: il backup non basta più

Sicurezza informatica PMI: difesa anti-ransomware con backup immutabile ed EDR

Per anni la regola della sicurezza informatica PMI è stata semplice: fai i backup e dormi tranquillo. Se un ransomware ti cifrava i file, ripristinavi l’ultima copia e tornavi operativo. Nel 2026 questa logica non basta più — e capire perché può evitare a un’azienda un danno da decine di migliaia di euro.

Il motivo è un cambio di strategia degli attaccanti. I gruppi più attivi quest’anno non puntano più solo a bloccare i tuoi dati: puntano a rubarli. E contro un furto, un backup — per quanto perfetto — non ti protegge in alcun modo.

Vediamo cosa è cambiato e quali sono le due difese che oggi fanno davvero la differenza: il backup immutabile e l’EDR.


Dal blocco al furto: come è cambiato il ransomware

Il ransomware classico funzionava così: cifrava i file e chiedeva un riscatto per la chiave di sblocco. Il backup era l’antidoto — ripristinavi e ignoravi la richiesta.

I nuovi attori hanno cambiato modello. Gruppi come “The Gentlemen”, tra le operazioni più attive del 2026, si concentrano sull’esfiltrazione pura: copiano anagrafiche clienti, contratti, dati sanitari o fiscali e minacciano di pubblicarli o rivenderli. Secondo le rilevazioni di settore, la grande maggioranza degli attacchi ransomware include ormai una fase di furto dati prima dell’eventuale cifratura (approfondimento su Cybersecurity360).

Per un’attività significa che il danno non è più solo operativo: è reputazionale e normativo. Se ti rubano i dati dei clienti, oltre al ricatto scattano l’obbligo di notifica al Garante e il rischio di sanzioni. Il backup, qui, non c’entra: i dati sono già usciti dall’azienda.


Backup immutabile: cos’è e perché cambia le carte

La prima difesa che oggi consigliamo è il backup immutabile. Il principio è semplice: una volta scritto, il dato non è più modificabile né cancellabile per un periodo definito (in genere da 30 a 365 giorni), nemmeno da un amministratore con le credenziali compromesse.

È la differenza che salva l’azienda quando un attaccante riesce a entrare con privilegi elevati: con un backup tradizionale può cancellare anche le copie di sicurezza prima di sferrare l’attacco; con un backup immutabile, no. Le copie restano intatte e recuperabili.

Il costo? In media il 15-20% in più rispetto a uno storage tradizionale. Va messo in prospettiva: secondo il Rapporto Clusit 2026 un attacco riuscito costa a una PMI italiana oltre 50.000 euro in media, con picchi che superano il milione nei casi più gravi, e un tempo medio di ripristino di circa 23 giorni in assenza di un piano strutturato. La protezione costa una frazione del danno che previene.

Abbiamo affrontato il tema della corretta strategia di copia nel nostro articolo sul backup dei dati aziendali e la regola 3-2-1-1-0: l’immutabilità è proprio lo “1-0” finale di quella formula.


EDR: perché l’antivirus tradizionale non basta

La seconda difesa riguarda il furto in sé. Un antivirus tradizionale riconosce le minacce note tramite firme: utile, ma cieco di fronte a un attacco che si muove “in silenzio” dentro la rete.

Un EDR (Endpoint Detection and Response) di nuova generazione ragiona diversamente: osserva i comportamenti. Rileva movimenti anomali — incluso un traffico inatteso di dati verso l’esterno — e può bloccare l’esfiltrazione mentre sta avvenendo. Non a caso, gli attaccanti più evoluti cercano prima di tutto di disattivare proprio l’EDR: è il loro principale ostacolo.

Per una PMI con dati sensibili — strutture ricettive, studi medici, commercialisti — la combinazione backup immutabile + EDR copre i due fronti che il solo backup lascia scoperti: l’integrità delle copie e il controllo di ciò che esce.


Sicurezza informatica PMI: la domanda giusta da farsi

Il passaggio chiave per chi si occupa di sicurezza informatica PMI è cambiare la domanda. Non più “faccio i backup?”, ma:

  • I miei backup sono immutabili, o un attaccante con accesso amministrativo può cancellarli?
  • I miei dati possono uscire dall’azienda senza che nessuno se ne accorga?

Ecco una checklist di autovalutazione in 5 punti:

  • Backup immutabile attivo: sì / no
  • EDR di nuova generazione installato: sì / no
  • Controllo del traffico in uscita (rilevamento esfiltrazione): sì / no
  • Autenticazione forte (multi-fattore) sugli accessi critici: sì / no
  • Piano di risposta all’incidente documentato e testato: sì / no

Se hai risposto “no” a due o più punti, la tua azienda è esposta proprio sul fronte che gli attacchi 2026 sfruttano di più.


Una nota sui finanziamenti

Mettere in sicurezza l’infrastruttura non deve per forza pesare interamente sul bilancio. Il Voucher Cloud e Cybersecurity del MIMIT prevede un contributo a fondo perduto del 50% (fino a 20.000 euro) su spese di cloud e sicurezza, e ben 71 milioni di euro sono riservati alle imprese del Mezzogiorno, Puglia inclusa. Lo sportello per le domande delle imprese è atteso nel secondo semestre 2026: è il momento di preparare i progetti (dettagli sul sito MIMIT). Interventi come backup immutabile, EDR e controllo accessi rientrano tra le spese ammissibili.


Come interveniamo

La protezione dei dati è uno degli ambiti in cui il nostro team opera quotidianamente a supporto di PMI, studi professionali e strutture del territorio: dalle soluzioni di Protezione Totale e Versioning/Snapshot anti-ransomware all’EDR e al controllo degli accessi, fino all’audit delle vulnerabilità.

Il backup ti protegge dal blocco, non dal furto. Se vuoi capire quanto la tua attività è davvero esposta, il nostro referente commerciale è a disposizione per un’analisi gratuita dello stato di sicurezza, senza impegno.

👉 Richiedi l’analisi dello stato di sicurezza


Fonti: