Guida al Firewall Gestito per PMI: Perché è Essenziale nel 2026
Guida completa al firewall gestito per PMI italiane: cos'è, come funziona, perché è indispensabile nel 2026 con NIS2 e come scegliere il servizio giusto.
In sintesi: Perché scegliere un Firewall Gestito per una PMI? Un Firewall Gestito (MSSP) riduce il rischio di attacchi del 60% rispetto a una gestione interna non specializzata. Per le PMI italiane, i vantaggi principali includono: protezione 24/7, aggiornamenti automatici delle signature IPS, e compliance NIS2/GDPR. Il costo medio di un attacco ransomware per una PMI è di circa 59.000€, rendendo il firewall gestito un investimento ad alto ROI.
Nel 2025 le PMI italiane hanno subito oltre 116.000 attacchi informatici documentati, secondo il Rapporto CLUSIT 2025. Non si tratta di grandi banche o multinazionali: oltre il 60% degli attacchi ha colpito aziende con meno di 250 dipendenti. La ragione è semplice: le PMI hanno spesso dati preziosi ma difese deboli, il che le rende bersagli facili e redditizi.
In questo scenario, il firewall non è più un optional tecnico da affidare al "ragazzo che si occupa dei computer". È l'infrastruttura di sicurezza fondamentale attorno alla quale si costruisce la protezione dell'intera azienda. Ma c'è firewall e firewall. Un dispositivo comprato tre anni fa, configurato una volta e mai più aggiornato, non protegge nessuno. Un firewall gestito da specialisti, invece, è un presidio attivo e continuo.
Questa guida ti spiega cosa significa davvero "firewall gestito", perché è diventato indispensabile per le PMI senza team IT interno, e come scegliere il fornitore giusto senza farti fregare da promesse vuote.
Cos'è un Firewall Gestito (e Cosa lo Distingue dal Fai-da-Te)
Firewall hardware, software e cloud-based: le differenze
Un firewall, nella sua forma più elementare, è un sistema che controlla il traffico di rete in entrata e in uscita applicando regole predefinite. Ma la tecnologia si è evoluta enormemente, e oggi esistono tre grandi categorie.
Il firewall hardware è un dispositivo fisico installato tra la rete aziendale e internet. È il modello tradizionale: si compra l'appliance, si installa in server room, si configura. Funziona bene, ma richiede competenze per la configurazione iniziale, aggiornamenti manuali del firmware, e qualcuno che sappia interpretare i log e intervenire quando scatta un alert.
Il firewall software gira su un server o su una macchina virtuale. Offre flessibilità ma le stesse problematiche di gestione: qualcuno deve tenere aggiornato il sistema operativo sottostante, le regole, e il software stesso.
Il firewall cloud-based (o firewall-as-a-service) è erogato come servizio da un provider. Non hai hardware da gestire, gli aggiornamenti sono automatici, e la scalabilità è immediata. È il modello che si presta meglio a un'erogazione gestita.
In tutti e tre i casi, la distinzione fondamentale non è tanto la tecnologia quanto chi gestisce il dispositivo. Puoi avere il firewall più sofisticato del mondo, mal configurato o non monitorato, e avrai una falsa sensazione di sicurezza.
Next-Generation Firewall (NGFW): cosa aggiunge rispetto al firewall classico
Il firewall classico lavora a livello di indirizzi IP e porte: permette o blocca il traffico in base a regole semplici del tipo "blocca tutto il traffico sulla porta 23 (Telnet)". Funzionava bene negli anni '90 e nei primi anni 2000, quando gli attacchi erano altrettanto semplici.
Oggi gli attaccanti usano porte legittime (HTTP sulla 80, HTTPS sulla 443) per trasportare traffico malevolo. Un firewall classico non vedrebbe nulla di anomalo. Per questo sono nati i Next-Generation Firewall (NGFW), che operano a un livello di analisi profondamente diverso.
La funzione chiave è la deep packet inspection (DPI): il firewall non si limita a guardare l'intestazione del pacchetto, ma ne esamina il contenuto. Può capire se dentro una connessione HTTPS si nasconde un payload malevolo, se un'applicazione legittima viene usata per esfiltrare dati, o se c'è traffico anomalo verso indirizzi C2 (command and control) noti.
A questo si aggiungono:
- IDS/IPS integrato: il sistema di rilevamento delle intrusioni (IDS) identifica i pattern di attacco noti; il sistema di prevenzione (IPS) li blocca attivamente in tempo reale, senza aspettare un intervento umano.
- Filtraggio applicativo: il NGFW riconosce le applicazioni indipendentemente dalla porta usata. Sa che quella connessione è Dropbox, Teams, o un tool di accesso remoto non autorizzato, e può applicare policy granulari.
- Ispezione TLS/SSL: oltre l'80% del traffico web è cifrato. Senza ispezione TLS, un firewall è cieco su quasi tutto il traffico moderno. Il NGFW decifra, ispeziona, e ricifra il traffico in modo trasparente.
"Gestito" significa che ci pensa qualcun altro: cosa include davvero
Quando si parla di firewall gestito (managed firewall), la parola chiave è "gestito". Non stai semplicemente comprando un dispositivo o una licenza software. Stai acquistando un servizio continuativo che include:
- Configurazione e hardening iniziale: il firewall viene installato e configurato secondo le best practice di sicurezza, con regole costruite attorno alla tua realtà specifica (quali servizi usi, quanti siti hai, come accedono i tuoi dipendenti da remoto).
- Aggiornamento continuo delle regole: le minacce evolvono ogni giorno. Le signature degli IDS/IPS vengono aggiornate, le blacklist di IP malevoli vengono refresh, le policy vengono adattate ai nuovi pattern di attacco.
- Monitoring degli alert: il firewall genera migliaia di eventi al giorno. Un MSSP (Managed Security Service Provider) ha analisti che esaminano gli alert, separano i falsi positivi dagli incidenti reali, e intervengono.
- Patching del firmware: le vulnerabilità nei firewall stessi vengono scoperte e corrette regolarmente. Un firewall non patchato è un buco di sicurezza garantito.
- Reportistica periodica: ogni mese ricevi un report che mostra cosa è successo sulla tua rete, quanti attacchi sono stati bloccati, e qual è lo stato di salute del sistema.
Perché le PMI Senza Team IT Hanno Bisogno di un Firewall Gestito
Il problema delle regole non aggiornate
Immagina questo scenario, che non è affatto raro: nel 2022 hai acquistato un firewall business per la tua azienda. Un consulente esterno lo ha configurato, ha aperto le porte necessarie, ha chiuso quelle inutili. Poi il consulente non è più tornato.
Nel frattempo, la tua azienda ha adottato Teams per il lavoro remoto, ha integrato un gestionale cloud, ha installato alcune telecamere IP per la videosorveglianza. Ognuno di questi cambiamenti ha introdotto nuove connessioni e nuove superfici di attacco. Le regole del firewall, però, sono rimaste quelle del 2022.
Le vulnerabilità sfruttate negli attacchi moderni spesso esistono da mesi prima di essere scoperte. Le signature degli IDS vengono aggiornate quasi quotidianamente dai vendor. Un firewall con database di signature vecchio di un anno è, in pratica, cieco sulle minacce più recenti.
Non è negligenza di chi ha acquistato il firewall. È semplicemente che senza un team dedicato, la gestione continuativa è impossibile da sostenere.
Chi monitora gli alert alle 2 di notte?
Un NGFW aziendale può generare tra 5.000 e 50.000 eventi al giorno. La maggior parte sono benigni: tentativi di connessione automatici, scansioni di porte da bot internet, traffico anomalo ma non pericoloso. Ma nascosti in quel volume di dati ci sono gli alert che contano davvero.
Il problema è che gli attacchi informatici non rispettano gli orari di ufficio. I ransomware, in particolare, vengono spesso innescati di notte o nel weekend, quando nessuno è in azienda, proprio perché così il danno si propaga indisturbato per ore prima che qualcuno se ne accorga.
Un MSSP gestisce questo 24 ore su 24, 7 giorni su 7. Quando scatta un alert critico alle 2 di notte, c'è un analista che lo esamina, valuta la gravità, e interviene o ti chiama se la situazione lo richiede. Un firewall senza monitoring è come avere un allarme antincendio senza una centrale operativa che risponda.
Il costo nascosto del self-managed
L'argomento che sentiamo più spesso da chi sceglie il self-managed è: "Spendiamo meno". Ma il calcolo raramente tiene conto di tutti i costi reali.
Un sistemista esperto in sicurezza di rete costa tra i 50.000 e gli 80.000 euro lordi all'anno in Italia, considerando RAL, contributi e costi accessori. E non sarebbe dedicato solo al firewall: gestirebbe anche tutti gli altri sistemi IT.
Ma anche se già hai un IT interno, gestire correttamente un NGFW richiede aggiornamenti continui delle competenze, certificazioni costose, e ore lavoro che sottraggono tempo ad altre attività. Il costo reale del self-managed non è il prezzo del dispositivo, è il costo del personale qualificato necessario per gestirlo bene.
Un servizio MSSP specializzato parte da 588 euro all'anno (meno di 49 euro al mese) per una PMI piccola, fino a circa 2.400 euro annui per soluzioni più complete. Il confronto con il costo del personale è impietoso.
Cosa Fa un Firewall Gestito: Le Funzioni Reali (Non il Marketing)
Filtraggio traffico in entrata e uscita
La funzione base: definire quali connessioni sono permesse e quali no. Ma in un NGFW gestito professionalmente, questo va molto oltre le semplici regole porta/IP. Si definiscono policy basate sull'identità dell'utente, sull'applicazione usata, sull'orario, sulla geolocalizzazione dell'IP di destinazione. Un dipendente che si connette dall'Italia ha regole diverse da una connessione che arriva dalla Russia o dalla Cina alle 3 di notte.
Segmentazione della rete (guest, produzione, IoT)
Una delle pratiche di sicurezza più efficaci e sottovalutate è la segmentazione della rete, cioè dividere la rete aziendale in zone separate con regole di traffico tra di esse.
Perché è importante? Considera che la tua azienda ha sulla stessa rete il server con i dati dei clienti, i PC dei dipendenti, le stampanti, il wi-fi per i visitatori, e le telecamere IP. Se un attaccante compromette una telecamera IP (spesso dispositivi con firmware obsoleto e password di default), può da lì muoversi lateralmente verso i sistemi più critici.
Con la segmentazione, la rete IoT (telecamere, stampanti, dispositivi smart) è isolata dalla rete produttiva. Un ospite connesso al wi-fi guest non vede nulla della rete interna. Un attaccante che compromette un dispositivo in una zona non riesce a raggiungere le risorse nelle altre zone senza passare per il firewall, che può bloccare il movimento laterale.
VPN e accesso remoto sicuro
Il modello di accesso remoto sicuro che un MSSP implementa si basa su un principio semplice: nessuna porta esposta su internet.
Con un firewall gestito con VPN integrata, i dipendenti che lavorano da remoto si connettono prima alla VPN aziendale (con autenticazione multi-fattore), e solo dopo possono accedere alle risorse interne. Dall'esterno, la rete aziendale non è raggiungibile direttamente: non ci sono porte RDP aperte, non ci sono pannelli di amministrazione esposti, non c'è nulla su cui un attaccante possa fare leva senza passare per la VPN.
La VPN usa cifratura AES-256, lo standard attualmente considerato inviolabile con le tecnologie disponibili. Ogni sessione è autenticata e loggata.
IDS/IPS: rilevamento e blocco intrusioni in tempo reale
Il sistema IDS/IPS integrato nel NGFW analizza il traffico di rete confrontandolo con un database di signature di attacchi noti, e con modelli comportamentali per rilevare anomalie anche senza signature specifiche.
Quando viene rilevato un pattern di attacco (un port scan sistematico, un tentativo di brute force su SSH, traffico verso IP di command and control noti), l'IPS interviene bloccando il traffico e generando un alert. Tutto in tempo reale, in modo automatico, senza aspettare che un umano intervenga.
Log immutabili e audit trail
Ogni evento che attraversa il firewall viene registrato: connessioni permesse e negate, alert generati, modifiche alle regole, accessi VPN. Questi log sono la prova documentale di cosa è successo sulla tua rete.
Per la compliance NIS2, i log devono essere non solo presenti ma immutabili: nessuno deve poter modificarli o cancellarli dopo il fatto, altrimenti non hanno valore probatorio. La tecnologia WORM (Write Once, Read Many) garantisce che ogni evento registrato non possa essere alterato.
Firewall Gestito e NIS2: Quali Requisiti Soddisfa
La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, estende gli obblighi di sicurezza informatica a decine di migliaia di aziende italiane, incluse molte PMI che operano in settori considerati critici o importanti.
L'articolo 21 della direttiva richiede l'adozione di "misure tecniche e organizzative adeguate" per gestire i rischi per la sicurezza delle reti. Un firewall gestito professionalmente risponde direttamente a questo obbligo.
Nello specifico, un servizio di firewall gestito copre diversi requisiti NIS2:
Misure tecniche di sicurezza (art. 21): il NGFW con IDS/IPS, filtraggio applicativo e ispezione TLS è una misura tecnica documentabile e verificabile, non una dichiarazione di intenti.
Gestione degli accessi con principio del minimo privilegio: le policy del firewall implementano il principio per cui ogni utente e sistema ha accesso solo alle risorse strettamente necessarie alla sua funzione. La segmentazione di rete è la realizzazione pratica di questo principio.
Log e audit trail con tecnologia WORM: la NIS2 richiede la capacità di ricostruire gli eventi in caso di incidente. I log immutabili conservati per almeno 12 mesi soddisfano questo requisito e forniscono la prova documentale in caso di audit.
Notifica incidenti entro 24 ore: in caso di incidente significativo, la NIS2 richiede la notifica all'ACN (Agenzia per la Cybersicurezza Nazionale) entro 24 ore. Un MSSP fornisce i log dettagliati e il supporto nella ricostruzione dell'incidente necessari per questa notifica.
MFA per accessi remoti: la VPN gestita con autenticazione multi-fattore copre l'obbligo di autenticazione rafforzata per gli accessi ai sistemi critici.
Come Scegliere il Firewall Gestito Giusto per la Tua PMI
8 domande da fare prima di firmare
Prima di sottoscrivere qualsiasi contratto con un fornitore di firewall gestito, fai queste domande. Le risposte ti diranno molto di più del materiale commerciale.
1. Chi configura le regole e con quale frequenza le aggiorna? Vuoi sentire che le regole vengono riviste periodicamente (almeno mensilmente) e aggiornate a fronte di nuove minacce o cambiamenti della tua infrastruttura, non solo al momento dell'installazione.
2. Quante ore ci vogliono per rispondere a un alert critico? Un SLA di risposta agli incidenti critici deve essere di 1-4 ore. Tutto ciò che è "entro 24 ore" per un alert critico non è accettabile in un contesto di sicurezza reale.
3. Dove sono i log e per quanto tempo vengono conservati? I log devono essere conservati per almeno 12 mesi (requisito NIS2), devono essere accessibili a te in qualsiasi momento, e devono essere immutabili. Se il fornitore non sa rispondere a questa domanda, è un problema serio.
4. Come funziona l'accesso remoto sicuro? La risposta corretta coinvolge VPN con MFA. Se senti "lasciamo la porta RDP aperta ma protetta da password forte", alzati e vai via.
5. Il servizio include la VPN o è extra? Molti fornitori quotano il firewall separatamente dalla VPN e dall'accesso remoto. Verifica cosa è incluso nel canone e cosa costa in più.
6. Cosa succede se ho un incidente? Chi mi segue? Vuoi un processo chiaro: chi chiami, in quanto tempo rispondono, cosa fanno. Diffida di risposte vaghe come "ti seguiamo noi".
7. Ho accesso alla reportistica? Devi poter vedere cosa sta succedendo sulla tua rete. Un report mensile con gli eventi significativi, gli attacchi bloccati, e lo stato del sistema è il minimo accettabile.
8. Il contratto include SLA con penali? Uno SLA senza penali non è uno SLA, è una speranza. Un fornitore serio mette nel contratto cosa succede se non rispetta i tempi di risposta promessi.
Red flag: 5 segnali che il fornitore non fa per te
Oltre alle domande, ci sono segnali di allarme che dovrebbero farti riflettere seriamente prima di firmare.
- Nessuno SLA scritto: se i tempi di risposta e i livelli di servizio non sono nel contratto, non esistono. Le promesse verbali non valgono nulla.
- Log non conservati o modificabili: se il fornitore non conserva i log in modo immutabile, non sei in grado di ricostruire un incidente e non sei compliant NIS2.
- VPN non inclusa e accesso via RDP esposto: l'accesso remoto tramite RDP (Remote Desktop Protocol) con porta aperta su internet è tra i vettori di attacco più sfruttati in assoluto. Non è accettabile nel 2026.
- Nessuna reportistica periodica: senza report, non sai cosa sta succedendo sulla tua rete. Stai pagando per qualcosa di cui non puoi verificare il valore.
- Supporto solo in orario di ufficio: gli attacchi non aspettano le 9 di mattina. Un firewall gestito senza copertura fuori orario ti lascia esposto nelle ore più critiche.
Quanto Costa un Firewall Gestito per PMI nel 2026?
Il costo di un firewall gestito varia molto in base al modello scelto e al livello di servizio. Ecco un confronto realistico.
| Modello | Costo annuo stimato | Chi gestisce | Adatto a |
|---|---|---|---|
| Self-managed (firewall HW) | 1.500-5.000 euro hardware, costo sistemista a parte | Team IT interno o consulente | PMI con IT interno dedicato |
| MSP generalista | 3.000-10.000 euro/anno | MSP con competenze generiche | PMI con budget medio e IT di base |
| MSSP specializzato (es. SecBox) | 588-2.400 euro/anno | Specialisti security 24/7 | PMI senza team IT, focus compliance |
Il dato più importante non è il prezzo del servizio, ma il confronto con il costo di un attacco.
Secondo i dati CLUSIT 2025, il danno medio di un attacco ransomware per una PMI italiana supera i 59.000 euro, considerando il blocco operativo, la perdita di dati, i costi di ripristino, e le eventuali sanzioni per violazione dei dati personali (GDPR). A questa cifra si aggiunge il danno reputazionale, difficile da quantificare ma reale.
Il costo di prevenzione (600-2.400 euro/anno) è tra il 1% e il 4% del danno atteso in caso di attacco. Il ROI della sicurezza preventiva è, in questi termini, evidente.
SecBox Shield: Firewall Gestito da 49 Euro al Mese
SecBox Shield è il servizio di firewall gestito progettato specificamente per le PMI italiane senza team IT interno. Non è un prodotto generico riposizionato: è stato costruito attorno alle esigenze concrete di chi non ha risorse interne di sicurezza ma ha gli stessi obblighi di compliance e le stesse minacce delle aziende più grandi.
Il servizio è disponibile in tre piani, pensati per dimensioni e livelli di rischio diversi.
Piano Core (da 49 euro/mese) include la configurazione e gestione del firewall NGFW, la VPN AES-256 per l'accesso remoto sicuro, i log immutabili in tecnologia WORM con conservazione 12 mesi, e la protezione DDoS base. È il punto di partenza per una PMI che vuole mettere in ordine la sicurezza perimetrale rispettando i requisiti NIS2 fondamentali.
Piano Pro aggiunge la reportistica mensile dettagliata, tempi di risposta garantiti entro 4 ore per gli alert critici, e un livello di monitoring più strutturato. È adatto alle PMI che operano in settori regolamentati o che hanno già ricevuto richieste di compliance dai loro clienti enterprise.
Piano XDR include l'accesso al SOC (Security Operations Center) attivo 24 ore su 24, 7 giorni su 7, con tempi di risposta garantiti entro 1 ora per gli incidenti critici. Integra funzionalità di Extended Detection and Response per una visibilità completa sull'intera infrastruttura, non solo sul perimetro di rete. È il livello adeguato per le PMI che rientrano negli obblighi NIS2 più stringenti o che gestiscono dati particolarmente sensibili.
Conclusione
Un firewall gestito nel 2026 non è una spesa opzionale per le PMI italiane. È l'infrastruttura di sicurezza minima necessaria per operare in modo sicuro, rispettare la normativa NIS2, e proteggere il business da un panorama di minacce in costante evoluzione.
La scelta non è tra "avere" o "non avere" un firewall. È tra avere un firewall gestito male, non aggiornato e non monitorato, oppure avere un presidio professionale attivo 24/7, costruito sulle tue esigenze reali.
Se vuoi capire quale piano si adatta alla tua situazione, contatta il team SecBox per una valutazione gratuita della tua infrastruttura attuale. Nessun impegno, nessun commerciale aggressivo: un'analisi tecnica concreta di cosa hai e cosa ti manca.