Firewall Gestito vs Antivirus: Differenze per PMI
Firewall e antivirus proteggono livelli diversi. Scopri cosa fa ciascuno, perché la confusione costa cara alle PMI e quale sicurezza serve davvero.
"Abbiamo già l'antivirus su tutti i PC." Questa frase, pronunciata ogni giorno da migliaia di titolari di PMI italiane, è una delle più pericolose del panorama della cybersicurezza. Non perché l'antivirus sia inutile, ma perché crea una falsa certezza che lascia l'azienda esposta a una vasta categoria di attacchi per i quali l'antivirus non è stato mai progettato.
Il malinteso è comprensibile. Per decenni la comunicazione sulla sicurezza informatica si è concentrata sull'endpoint: "installa l'antivirus, stai al sicuro". Il messaggio era semplice, facile da trasmettere, facile da vendere. Il problema è che il panorama delle minacce si è evoluto enormemente, e quel messaggio è rimasto fermo agli anni '90.
In questo articolo spieghiamo cosa fa esattamente un antivirus, cosa fa un firewall (e in particolare un firewall gestito), dove ciascuno dei due strumenti smette di funzionare, e perché la sicurezza reale per una PMI richiede entrambi, integrati in un modello di difesa stratificata.
Lo Scenario: La PMI che Pensa di Essere al Sicuro
Immagina uno studio professionale con quindici dipendenti. Hanno un contratto con un provider IT che ha installato un antivirus su tutti i computer. Ogni anno rinnovano la licenza. Ogni tanto compare un avviso di scansione completata. Nessun virus trovato. Il titolare dorme sereno.
Un lunedi mattina nessuno riesce ad aprire i file. Sui desktop compare un messaggio in inglese con istruzioni per pagare in Bitcoin. I dati sono cifrati. Il backup automatico, configurato anni fa, non funzionava da mesi perché nessuno aveva controllato. Il ripristino richiederà settimane e costerà decine di migliaia di euro tra fermo attività, consulenza e, in alcuni casi, il riscatto.
Come è entrato il ransomware? Non attraverso un file allegato a una email, che l'antivirus avrebbe potuto intercettare. Gli attaccanti avevano trovato la porta RDP (Remote Desktop Protocol) del server esposta su internet, avevano usato credenziali deboli ottenute da una precedente violazione, e avevano impiegato tre giorni a muoversi lateralmente nella rete prima di attivare il ransomware nel momento più dannoso.
L'antivirus non ha visto nulla perché non guarda il traffico di rete. Non sa che la porta 3389 era esposta. Non sa che qualcuno stava navigando nella rete da un indirizzo IP esterno. Non sa niente di quello che accade fuori dal singolo endpoint su cui gira.
Cosa Fa (e Non Fa) un Antivirus
Un antivirus tradizionale, o nella sua versione moderna un software di Endpoint Protection (EPP) o Endpoint Detection and Response (EDR), opera a livello di singolo dispositivo. Il suo compito fondamentale è monitorare i file e i processi su quel dispositivo per rilevare codice malevolo.
Il meccanismo classico di rilevamento si basa sulle signature virali: il software mantiene un database di impronte digitali di malware noti, e confronta ogni file o processo con questo database. Se c'è corrispondenza, blocca e segnala.
Le soluzioni moderne aggiungono l'analisi comportamentale: invece di cercare una firma nota, monitorano il comportamento dei processi. Un processo che inizia a cifrare migliaia di file in rapida successione viene segnalato come sospetto anche se non corrisponde a nessuna firma nota.
Alcune piattaforme EDR avanzate aggiungono capacità di threat hunting, correlazione degli eventi, e integrazione con feed di threat intelligence. Sono strumenti potenti e necessari.
Ma hanno limiti strutturali che nessun aggiornamento risolve:
- Operano solo sull'endpoint. Non vedono il traffico di rete, le connessioni in ingresso o uscita, i tentativi di accesso a servizi esposti su internet.
- Non proteggono l'infrastruttura di rete. Server, router, switch, dispositivi IoT, sistemi OT: l'antivirus non gira su questi dispositivi e non li vede.
- Non bloccano attacchi di rete. Un attacco brute-force sulla porta SSH, uno scan di vulnerabilita, un tentativo di sfruttare un servizio non patchato: l'antivirus non interviene.
- Non controllano cosa esce. L'esfiltrazione di dati, una connessione verso un server command and control, un processo aziendale che comunica con infrastrutture malevole: tutto questo avviene a livello di rete, fuori dal campo visivo dell'antivirus.
Secondo l'ENISA Threat Landscape 2024 (enisa.europa.eu), il ransomware rimane la minaccia principale per le PMI europee, e una quota significativa degli attacchi sfrutta vulnerabilita nei servizi di rete esposti, non file malevoli scaricati dall'utente. Il dato e coerente con quanto documentato da Clusit nel Rapporto 2025, che rileva come il vettore di attacco "vulnerabilita" sia in crescita costante rispetto ai vettori tradizionali come phishing e allegati malevoli.
Cosa Fa un Firewall NGFW
Un Next-Generation Firewall (NGFW) opera a un livello completamente diverso: controlla il traffico di rete, non i file sui singoli endpoint. E' posizionato tra la rete aziendale e internet (o tra segmenti di rete interni), e vede tutto il traffico che passa.
Il firewall classico di prima generazione lavorava a livello di indirizzi IP e porte: permetteva o bloccava il traffico in base a regole semplici. Funzionava quando gli attacchi erano altrettanto semplici. Oggi gli attaccanti usano porte legittime (HTTP sulla 80, HTTPS sulla 443) per trasportare traffico malevolo, rendendo i vecchi firewall sostanzialmente ciechi.
I NGFW moderni aggiungono capacita fondamentali:
Deep Packet Inspection (DPI). Il firewall non si limita a guardare l'intestazione del pacchetto, ma ne esamina il contenuto. Puo capire se dentro una connessione HTTPS si nasconde un payload malevolo, se un'applicazione legittima viene usata per esfiltrare dati, o se c'e traffico verso indirizzi command and control noti.
IDS/IPS integrato. Il sistema di rilevamento delle intrusioni (Intrusion Detection System) identifica i pattern di attacco noti nella rete; il sistema di prevenzione (Intrusion Prevention System) li blocca attivamente in tempo reale, prima che raggiungano qualunque endpoint.
Filtraggio applicativo. Il NGFW riconosce le applicazioni indipendentemente dalla porta usata. Sa che quella connessione e un tool di accesso remoto non autorizzato, una VPN non aziendale, o un servizio cloud non approvato dalla policy, e puo applicare regole granulari.
Ispezione TLS/SSL. Oltre l'80% del traffico web e cifrato. Senza ispezione TLS, un firewall e cieco sulla grande maggioranza del traffico moderno. Il NGFW decifra, ispeziona, e ricifra il traffico in modo trasparente.
Controllo degli accessi in ingresso e in uscita. Il firewall gestisce cosa puo entrare nella rete aziendale e cosa puo uscire. Puo bloccare tentativi di accesso da IP geograficamente sospetti, impedire a processi interni di comunicare con infrastrutture malevole note, e controllare quale traffico e autorizzato tra segmenti di rete diversi (micro-segmentazione).
Tornando allo scenario del ransomware: un NGFW configurato correttamente avrebbe rilevato la scansione iniziale dell'IP esterno, avrebbe impedito l'esposizione della porta RDP su internet, avrebbe segnalato il traffico anomalo nelle ore notturne, e avrebbe bloccato la comunicazione del ransomware con il server C2 degli attaccanti prima che l'attacco potesse completarsi.
Il NIST Cybersecurity Framework (nist.gov/cyberframework) indica il controllo degli accessi di rete e il monitoraggio continuo come controlli fondamentali nelle funzioni Protect e Detect, distinti e complementari rispetto alla protezione degli endpoint.
Firewall Self-Managed vs Firewall Gestito: la Differenza Che Conta
Avere un NGFW non e sufficiente se nessuno lo gestisce. E qui entra in gioco la distinzione piu importante per le PMI: la differenza tra un firewall self-managed e un firewall gestito.
Un firewall self-managed e un dispositivo che l'azienda acquista e gestisce autonomamente, o con l'aiuto saltuario di un consulente esterno. La configurazione iniziale viene fatta una volta, le regole raramente vengono aggiornate, i log nessuno li legge, e quando arriva un alert non c'e nessuno che sappia interpretarlo o rispondere.
E' un modello che poteva funzionare quando le minacce erano poche e lente. Oggi non funziona. Le vulnerabilita nei firmware dei firewall vengono scoperte e sfruttate in pochi giorni. Le signature IPS devono essere aggiornate quotidianamente. I pattern di attacco cambiano settimana per settimana. Un firewall non aggiornato e una porta aperta.
Un firewall gestito (managed firewall erogato da un MSSP) include invece:
Monitoraggio H24 da parte di analisti umani. Gli alert vengono esaminati da persone che sanno distinguere un falso positivo da un incidente reale. Non c'e nessun avviso che rimane in coda per settimane perche nessuno in azienda ha il tempo o le competenze per leggerlo.
Aggiornamenti continui di firmware e signature. Quando FortiGuard, Palo Alto Networks o Cisco Talos pubblicano un aggiornamento critico, viene applicato entro ore, non mesi. Le blacklist di IP e domani malevoli vengono aggiornate in tempo reale.
Incident Response. Quando viene rilevato un incidente, il team del provider risponde: isola il segmento compromesso, analizza il traffico, raccoglie le prove forensi, e coordina il ripristino. La PMI non e lasciata sola a capire cosa sta succedendo.
SOC (Security Operations Center). Il team del provider ha visibilita su pattern di attacco che attraversano piu clienti. Se un nuovo tipo di attacco sta colpendo le PMI italiane, il SOC lo vede prima che raggiunga i singoli clienti e aggiorna le difese di conseguenza.
Reportistica e compliance. Ogni mese il cliente riceve report dettagliati su traffico bloccato, tentativi di intrusione, stato del sistema. Questi report sono utili anche per dimostrare ai clienti e ai partner che l'azienda adotta misure di sicurezza adeguate.
Secondo le Linee Guida ACN per la sicurezza delle PMI (acn.gov.it), il monitoraggio continuo e la gestione professionale dei dispositivi di sicurezza sono tra le misure prioritarie indicate per le organizzazioni senza team IT interno dedicato.
I Casi in cui l'Antivirus Non Basta: Esempi Reali
Attacchi via RDP esposto. Il Remote Desktop Protocol e uno dei vettori di attacco piu sfruttati contro le PMI. Gli attaccanti scannerizzano internet alla ricerca di porte RDP aperte (porta 3389), poi tentano credenziali deboli o riutilizzate in precedenti breach. L'antivirus sull'endpoint non vede la scansione, non vede i tentativi di accesso, e se l'attaccante entra con credenziali valide non vede nemmeno la sessione remota. Un firewall gestito avrebbe bloccato l'esposizione della porta, limitato l'accesso RDP agli IP autorizzati, e segnalato i tentativi di brute-force.
Malware fileless. Una categoria crescente di malware non scrive file su disco: si esegue interamente in memoria, sfruttando strumenti di sistema legittimi come PowerShell o WMI. L'antivirus basato su firma non trova nulla da scansionare. L'antivirus comportamentale puo rilevare anomalie, ma il malware fileless e progettato esattamente per eluderlo. Un NGFW che vede il traffico verso infrastrutture C2 note puo bloccare la comunicazione del malware anche quando l'endpoint e gia compromesso.
Esfiltrazione lenta. Un attaccante che ha gia accesso alla rete puo esfiltrare dati nel corso di settimane, usando canali legittimi come Dropbox, email, o DNS. L'antivirus non vede questa attivita. Un NGFW con DPI e analisi del traffico puo rilevare pattern anomali di trasferimento dati in uscita, anche su canali apparentemente legittimi.
Attacchi alla supply chain. Il software legittimo di un fornitore viene compromesso e distribuisce malware agli utenti finali. L'antivirus puo non rilevare il software compromesso perche e firmato e distribuito attraverso canali legittimi. Un firewall che monitora le comunicazioni del software installato puo rilevare connessioni verso infrastrutture non previste dal normale funzionamento dell'applicazione.
Vulnerabilita nei dispositivi non-endpoint. Router, switch, stampanti di rete, sistemi di videosorveglianza IP, dispositivi IoT: nessuno di questi ha un antivirus, e molti hanno vulnerabilita note che gli attaccanti sfruttano per entrare nella rete. Il firewall e l'unico sistema che monitora e puo proteggere questi dispositivi.
Tabella Comparativa: Antivirus vs Firewall vs Firewall Gestito
| Capacita | Antivirus/EDR | Firewall NGFW (self-managed) | Firewall Gestito (MSSP) |
|---|---|---|---|
| Protezione endpoint da malware | Alta | Nessuna | Nessuna diretta |
| Protezione perimetro di rete | Nessuna | Alta | Alta |
| Blocco traffico malevolo in ingresso | Nessuno | Alto | Alto |
| Blocco esfiltrazione dati in uscita | Parziale | Alto | Alto |
| Rilevamento intrusioni (IDS/IPS) | No | Si | Si |
| Deep Packet Inspection | No | Si | Si |
| Ispezione TLS/SSL | Parziale | Si | Si |
| Monitoraggio H24 da analisti | No | No | Si |
| Aggiornamento firma/firmware continuo | Automatico | Manuale | Automatico gestito |
| Incident Response incluso | No | No | Si |
| Visibilita dispositivi non-endpoint | No | Parziale | Si |
| Reportistica compliance | Parziale | Parziale | Completa |
La tabella chiarisce un punto fondamentale: antivirus e firewall non si sovrappongono, si completano. Nessuno dei due, da solo, copre l'intero perimetro di rischio di una PMI moderna.
Defense in Depth: Perche Servono Entrambi
Il concetto di "defense in depth" (difesa in profondita) e un principio consolidato nella sicurezza informatica, formalizzato dal NIST e adottato come standard nelle organizzazioni che prendono sul serio la protezione dei propri sistemi. L'idea di base e semplice: nessun singolo controllo di sicurezza e infallibile, quindi si costruiscono piu livelli di difesa indipendenti, in modo che il fallimento di uno non significhi la compromissione dell'intero sistema.
Nel contesto pratico di una PMI, i livelli fondamentali sono:
Livello 1: Perimetro di rete - Il firewall NGFW gestito controlla tutto cio che entra e che esce dalla rete. E la prima linea di difesa contro gli attacchi che arrivano da internet.
Livello 2: Endpoint - L'antivirus o l'EDR sui singoli dispositivi rileva e blocca malware che riesce comunque a raggiungere gli endpoint, sia attraverso canali di rete che non passano per il firewall (USB, email personali, dispositivi mobili), sia in seguito a una compromissione della rete.
Livello 3: Identita e accessi - L'autenticazione a piu fattori, la gestione dei privilegi, e le policy di accesso limitano il danno che un attaccante puo fare anche se riesce a compromettere un endpoint o una credenziale.
Livello 4: Backup e ripristino - Un backup immutabile e regolarmente testato e la rete di sicurezza finale: anche se tutti gli altri livelli falliscono, i dati possono essere ripristinati.
Il modello funziona solo se tutti i livelli sono presenti e attivi. Togliere il firewall e come togliere il muro perimetrale di una banca: l'antifurto dentro la cassaforte rallenta il ladro, ma non avrebbe mai dovuto arrivare li.
NIS2 e la Sicurezza Perimetrale: Non e Piu Facoltativa
La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, introduce obblighi espliciti di sicurezza per le organizzazioni nei settori rilevanti. L'articolo 21 della direttiva elenca le misure minime che i soggetti obbligati devono adottare, e include esplicitamente:
- Politiche di sicurezza delle reti e dei sistemi informativi
- Controllo degli accessi e gestione delle identita
- Sicurezza delle reti, incluse misure per prevenire, rilevare e rispondere agli incidenti di sicurezza
- Monitoraggio continuo e gestione degli incidenti
Le linee guida ACN che specificano l'attuazione pratica di questi requisiti indicano il firewall perimetrale gestito tra le misure tecnico-organizzative attese, non come optional ma come parte del baseline di sicurezza per le organizzazioni soggette alla direttiva.
Affidarsi al solo antivirus non soddisfa i requisiti NIS2 per la sicurezza di rete. Un'organizzazione che dovesse subire un incidente e dimostrare di non avere alcun controllo perimetrale si troverebbe esposta a sanzioni e, soprattutto, alla responsabilita civile verso clienti e partner danneggiati.
Il Clusit, nel suo Rapporto 2025, sottolinea come la conformita normativa stia diventando un driver sempre piu rilevante per gli investimenti in sicurezza delle PMI italiane, e come il firewall gestito sia tra le prime voci di spesa raccomandate per raggiungere un livello di protezione adeguato ai requisiti regolatori attuali.
Come Scegliere: Le Domande da Fare al Tuo Fornitore
Se stai valutando un servizio di firewall gestito, queste sono le domande che devi porre:
Che tipo di firewall usi e come viene aggiornato? La risposta deve includere il nome del produttore (Fortinet, Palo Alto, Cisco, Check Point sono brand consolidati), la frequenza degli aggiornamenti firmware, e chi si occupa di applicarli.
Chi monitora gli alert e con quale SLA? Deve esserci un team umano, non solo un sistema automatico. Chiedi il tempo di risposta garantito in caso di incidente.
Come vengono gestite le regole? Le regole del firewall devono essere adattate alla tua realtA specifica, non una configurazione generica. Chiedi come vengono aggiornate nel tempo.
Cosa succede in caso di incidente? Deve essere previsto un processo di incident response. Chiedi chi viene contattato, in quanto tempo, e cosa include la risposta.
Come vengono conservati i log? Per compliance NIS2 e per le indagini forensi, i log del firewall devono essere conservati in modo sicuro e integro. Chiedi la durata della conservazione e se i log sono protetti da modifiche.
Sono inclusi report periodici? La visibilita su cio che e stato bloccato e su come sta funzionando la protezione e importante sia per la gestione interna che per la compliance.
Conclusione: La Sicurezza Non e un Prodotto, e un Sistema
La confusione tra antivirus e firewall non e colpa degli imprenditori: e il risultato di decenni di comunicazione semplificata sulla sicurezza informatica. Ma il costo di questa confusione, nel 2026, e altissimo.
Un antivirus protegge il singolo dispositivo da file e processi malevoli. Un firewall gestito protegge l'intera rete da attacchi che arrivano dall'esterno, monitora il traffico in uscita, e garantisce che qualcuno stia sempre guardando. Sono due strumenti diversi che operano a livelli diversi e si completano a vicenda.
La PMI che investe solo in antivirus ha coperto una parte del rischio e lasciato scoperta un'altra, spesso quella piu sfruttata dagli attaccanti. La PMI che ha un firewall gestito senza antivirus sugli endpoint ha il problema inverso. La sicurezza reale richiede entrambi, insieme agli altri livelli del modello di difesa in profondita.
Il punto di partenza concreto e dotarsi di un firewall perimetrale gestito da professionisti che presidino la sicurezza H24, e affiancargli una soluzione di endpoint protection aggiornata. Non e lusso da grande azienda: e il minimo necessario per operare in modo sicuro nel panorama delle minacce attuale.
Vuoi sapere quale livello di protezione e adatto alla tua PMI?
SecBox Shield e il servizio di firewall gestito progettato specificamente per le PMI italiane: NGFW con monitoraggio H24, aggiornamenti continui, incident response incluso, e reportistica per la compliance NIS2. Nessun team IT interno richiesto.