Firewall Gestito vs Self-Managed: La Scelta delle PMI
Confronto tra firewall gestito e self-managed per PMI: costi, competenze richieste, rischi e perché sempre più aziende scelgono il servizio gestito.
Se gestisci una PMI italiana con 10-50 dipendenti, la domanda arriva puntuale ogni anno quando si discute il budget IT: "Dobbiamo davvero pagare un canone mensile per la sicurezza? Non possiamo comprare un firewall su Amazon, configurarlo e fine?"
La tentazione del "fai-da-te" (Self-Managed) è comprensibile. L'hardware è tangibile, il canone di servizio sembra astratto. Ma nel 2026, con minacce automatizzate H24 e normative come la NIS2 che impongono tempi di reazione strettissimi, il modello "Configura e Dimentica" è tecnicamente morto.
Cosa Significa Davvero "Firewall Self-Managed"
Scegliere la strada del Self-Managed significa che l'azienda acquista l'appliance (CAPEX) e ne diventa proprietaria. Da quel momento, ogni responsabilità operativa ricade sul team interno — spesso una sola persona che fa anche da helpdesk, buyer e sysadmin.
Ecco la lista delle attività "invisibili" che dovrai gestire internamente:
- Aggiornamenti firmware: I firewall hanno vulnerabilità critiche (CVE) frequenti. Devi monitorare i bollettini di sicurezza del vendor e patchare, spesso di notte o nel weekend per non fermare il lavoro.
- Tuning IPS/IDS: Le regole di prevenzione intrusioni generano molti falsi positivi. Se blocchi traffico legittimo, fermi l'azienda. Se sei troppo permissivo, entra il ransomware. Chi decide riga per riga?
- Gestione VPN: Creare utenze per i nuovi assunti, revocare accessi agli ex dipendenti, configurare e rinnovare i certificati.
- Monitoraggio log: Chi guarda i log? Se nessuno li guarda, il firewall è inutile — è come avere telecamere di sicurezza che nessuno guarda mai.
- Incident response: Quando scatta un allarme alle 2:30 di notte di sabato, chi risponde?
Il costo nascosto del fermo macchina è spesso sottovalutato. Un firewall mal configurato da personale non specializzato è la prima causa di disservizi di rete. Quanto costa 4 ore di blocco totale dell'azienda perché un aggiornamento firmware è andato storto?
Cosa Include un Servizio Firewall Gestito
Un servizio Managed (come SecBox Shield) non è un semplice noleggio hardware. È l'outsourcing di una funzione critica aziendale a un team di specialisti che fa solo questo dalla mattina alla sera.
Il pacchetto tipico comprende:
- Hardware incluso: Se si rompe, viene sostituito dal provider. Nessun costo di ammortamento, nessuna sorpresa di bilancio.
- Configurazione Expert: Il dispositivo arriva già configurato secondo le best practice Zero Trust — non devi toccare nulla.
- Monitoraggio Proattivo (SOC): Il Security Operations Center riceve gli alert. In molti casi si interviene prima che il cliente si accorga del problema.
- Aggiornamenti automatici: Le patch di sicurezza vengono applicate dal provider secondo una finestra di manutenzione concordata, con rollback garantito.
- Reportistica per compliance: Report periodici per la direzione e per soddisfare gli audit GDPR/NIS2.
Analisi TCO (Total Cost of Ownership) a 3 Anni
Mettiamo i numeri nero su bianco. Confronto reale per una PMI con una sede, 20-30 dipendenti, 36 mesi.
| Voce di Costo | Self-Managed | Managed (SecBox) |
|---|---|---|
| Hardware (appliance enterprise) | €1.500 | €0 (diritto d'uso) |
| Setup iniziale | €800 (4 giorni uomo) | €49 (una tantum) |
| Manutenzione software (36 mesi) | €3.600 (~€100/mese tempo uomo) | Incluso nel canone |
| Licenze e rinnovi annuali | €1.500 | Incluso |
| TOTALE 3 ANNI | ~€7.400 | ~€2.100* |
*Calcolato su piano Shield Core entry level €49/mese + setup.
Il risparmio stimato è del 70%, ma il dato che conta di più è la prevedibilità: con il Managed, sai esattamente cosa spendi ogni mese. Con il Self-Managed, il costo di una sostituzione hardware d'emergenza o di un consulente esterno chiamato alle 3 di notte è imprevedibile.
Quando il Self-Managed ha Senso
Ci piace essere onesti. Esistono scenari in cui il fai-da-te è la scelta giusta:
- Software house strutturate con un team di SysAdmin Linux senior interni che hanno già le competenze per gestire OPNsense o pfSense in autonomia e lo fanno come parte del loro lavoro quotidiano.
- Ambienti con requisiti di isolamento totale (militari, classificati) dove nessun fornitore esterno può tecnicamente accedere alla rete.
- Grandi aziende con SOC interno che hanno già investito in un centro operativo di sicurezza proprio.
Per il 95% delle PMI italiane, nessuno di questi scenari si applica.
Il Test dei 3 Minuti
Rispondi onestamente a queste domande:
- Qualcuno controlla i log del firewall almeno una volta alla settimana? (Se NO, scegli Managed)
- Quando esce una vulnerabilità critica di venerdì sera, c'è qualcuno reperibile per patchare? (Se NO, scegli Managed)
- Sai configurare una VPN Site-to-Site WireGuard in meno di 60 minuti? (Se NO, scegli Managed)
- Hai un backup della configurazione del firewall attuale? (Se NO, scegli Managed)
Se hai risposto NO anche a una sola domanda, i rischi operativi e di compliance del Self-Managed superano i benefici percepiti.
Conclusione
La sicurezza informatica moderna è troppo complessa e veloce per essere gestita come "secondo lavoro" dal responsabile IT generico. Esternalizzare la sicurezza perimetrale non significa perdere il controllo: significa acquisire tranquillità, conformità NIS2 e un costo inferiore rispetto alla gestione interna.
L'alternativa — una PMI non conforme che subisce un ransomware e non ha log forensi da presentare all'ACN — ha costi molto più elevati di qualsiasi canone mensile.