SecBox
🇬🇧
VPN & Accesso Remoto

VPN con MFA per PMI: Guida all'Accesso Remoto Sicuro

Una VPN senza MFA lascia la porta aperta. Guida alla VPN aziendale per PMI: WireGuard, OpenVPN, autenticazione MFA e perché RDP esposto è pericoloso.

1 febbraio 202617 min di letturaSecBox Team
VPN con MFA per PMI: Guida all'Accesso Remoto Sicuro

Ogni giorno, migliaia di server italiani vengono sondate da bot automatici alla ricerca di una porta aperta. La porta 3389. Quella di RDP. E nel giro di pochi minuti dall'esposizione su internet, inizia il fuoco di fila dei tentativi di accesso.

Se la tua azienda usa il desktop remoto per lavorare da fuori sede e non ha una VPN con autenticazione a più fattori davanti, questo articolo fa per te. Leggilo fino in fondo: potrebbe salvarti da un incidente che costa in media 4,45 milioni di dollari al settore PMI (fonte IBM Cost of a Data Breach Report 2023).

Il Problema: Quanti Server Italiani Hanno RDP Esposto su Internet

Il motore di ricerca Shodan indicizza dispositivi e servizi esposti su internet. Cercando port:3389 country:IT si ottiene una fotografia impietosa: nell'ultimo anno i rilevamenti di istanze RDP esposte in Italia si sono mantenuti stabilmente tra le 80.000 e le 120.000 unità. Non si tratta di grandi corporation con team di sicurezza dedicati: la stragrande maggioranza sono PMI, studi professionali, realtà manifatturiere del Nord-Est, negozi con gestionale su Windows Server.

La situazione non migliora guardando i dati europei. Il report ENISA Threat Landscape 2024 (enisa.europa.eu) documenta che gli attacchi alle infrastrutture remote, con RDP e VPN come vettori primari, rappresentano oltre il 40% dei punti di ingresso iniziali nei ransomware incident segnalati all'interno dell'UE.

Il FBI Internet Crime Complaint Center (IC3) nel suo 2023 Internet Crime Report ha rilevato perdite superiori a 59,6 miliardi di dollari legate a crimini informatici, con il credential stuffing e gli attacchi a sistemi di accesso remoto tra le tecniche di compromissione iniziale più diffuse.

CISA (la Cybersecurity and Infrastructure Security Agency americana) mantiene un advisory specifico sull'esposizione di RDP: AA21-131A, che descrive come la porta 3389 sia stata utilizzata in centinaia di attacchi ransomware documentati, dal gruppo REvil a Conti. Il messaggio è chiaro: RDP esposto direttamente su internet non è una configurazione accettabile.

Cosa Succede Quando RDP e' Esposto: Il Ciclo di un Attacco Reale

Immagina un attacco tipico contro una PMI italiana con un server Windows Server 2019 esposto sulla porta 3389.

Ora 00:00 -- Un bot russo, parte di una botnet di 50.000 nodi compromessi, esegue una scansione sistematica di blocchi di indirizzi IP italiani. Trova la porta 3389 aperta sull'IP dell'azienda.

Ora 00:03 -- Inizia il brute force automatizzato. Il bot prova le combinazioni piu' comuni: Administrator/Administrator, admin/admin, admin/123456, admin/password, utente/utente. Poi passa al credential stuffing: usa un database di 2,2 miliardi di credenziali leaked (la cosiddetta "Collection #1" del 2019) per provare email e password reali di dipendenti dell'azienda, ottenute da violazioni di altri servizi come LinkedIn, Adobe, o Dropbox.

Ora 02:17 -- Il dipendente Marco Rossi usava la stessa password di LinkedIn anche per Windows. Il bot trova la combinazione corretta al tentativo numero 847.000. L'accesso e' garantito.

Ora 02:19 -- Viene scaricato un payload da un server di comando e controllo. Inizia la ricognizione interna: quali share di rete esistono, dove sono i backup, qual e' il software antivirus installato.

Ora 04:45 -- Viene eseguito il ransomware. In 90 minuti cifra 2,3 TB di dati tra file server, gestionale e backup locali.

Ora 07:30 -- I dipendenti arrivano in ufficio. Trovano la schermata di riscatto.

Questo scenario non e' ipotetico. E' la ricostruzione fedele di decine di incidenti documentati che SecBox ha gestito o analizzato negli ultimi due anni in aziende del tessuto produttivo italiano.

VPN: Cosa e' e Cosa Non e'

Qui si concentra il primo grande equivoco. Quando si parla di VPN alle PMI, spesso la risposta e' "ce l'abbiamo gia', usiamo NordVPN" oppure "i nostri commerciali hanno ExpressVPN sul telefono".

Quello non e' una VPN aziendale. E' un servizio consumer che maschera l'IP di navigazione. E' utile per guardare Netflix dall'estero, non per proteggere l'accesso ai sistemi aziendali.

Una VPN aziendale e' una cosa completamente diversa. Crea un tunnel cifrato e autenticato tra il dispositivo del dipendente e la rete interna dell'azienda. In pratica:

  • Il server VPN sta all'interno del perimetro aziendale (o in cloud gestito)
  • Il dipendente si connette con un client certificato
  • Solo dopo l'autenticazione (idealmente MFA) il traffico raggiunge i server interni
  • RDP, SMB, il gestionale, il NAS: tutto rimane invisibile dall'esterno

La differenza strutturale e' che l'unico servizio esposto su internet e' la porta VPN. E quella porta parla solo con chi ha le credenziali corrette, il certificato giusto, e il secondo fattore di autenticazione. Niente brute force automatizzato su RDP, niente credential stuffing, niente accesso diretto ai sistemi interni.

WireGuard vs OpenVPN: Il Confronto Tecnico per PMI

Esistono diversi protocolli VPN. I due piu' rilevanti per le PMI nel 2025-2026 sono WireGuard e OpenVPN. Esistono anche IPSec/IKEv2 e SSTP, ma per semplicita' e adozione ci concentriamo sui primi due.

OpenVPN

OpenVPN e' il veterano. Esiste dal 2001, e' open source, estremamente configurabile e supportato praticamente ovunque. Funziona sia su UDP che su TCP, il che lo rende capace di attraversare firewall restrittivi (usando la porta 443 TCP sembra traffico HTTPS).

Punti di forza:

  • Compatibilita' universale: client disponibili per Windows, macOS, Linux, iOS, Android
  • Maturita' del codice: 24 anni di audit, patch e miglioramenti
  • Configurabilita' estrema: puoi definire ogni parametro di cifratura, routing, compressione
  • Integrazione con sistemi di autenticazione enterprise (LDAP, RADIUS, certificati)

Limiti:

  • Codice base grande e complesso (circa 600.000 righe): superficie di attacco piu' ampia
  • Performance: introduce latenza misurabile, specialmente con molti client simultanei
  • Configurazione: richiede competenze per essere configurato correttamente e in sicurezza

WireGuard

WireGuard e' il nuovo standard. Introdotto nel kernel Linux nel 2020, e' progettato con un principio opposto a OpenVPN: semplicita' estrema come garanzia di sicurezza.

Punti di forza:

  • Codice base ridottissimo: circa 4.000 righe di codice (vs 600.000 di OpenVPN). Meno codice significa meno bug, meno superficie di attacco, audit piu' rapidi
  • Performance eccellenti: throughput superiore del 30-50% rispetto a OpenVPN in benchmark comparativi; latenza piu' bassa grazie all'integrazione nel kernel
  • Connessione quasi istantanea: il roaming tra reti (da WiFi a 4G) avviene senza interruzioni visibili
  • Crittografia moderna: usa ChaCha20, Poly1305, Curve25519, BLAKE2s -- curve ellittiche moderne, nessun algoritmo legacy

Limiti:

  • Funziona solo su UDP: in reti con firewall molto restrittivi puo' essere bloccato
  • Nessuna offuscazione nativa del traffico
  • La gestione delle chiavi richiede attenzione: ogni peer ha una coppia di chiavi pubblica/privata
  • Logging limitato per natura: progettato per non conservare stato, il che richiede soluzioni esterne per l'auditing

Quale Scegliere per una PMI?

Per la maggioranza delle PMI italiane nel 2026, WireGuard e' la scelta consigliata per nuove implementazioni. Le ragioni sono pratiche: e' piu' veloce, piu' semplice da configurare, piu' facile da mantenere, e la sua superficie di attacco ridotta lo rende intrinsecamente piu' sicuro di una configurazione OpenVPN mal gestita.

OpenVPN rimane la scelta corretta quando si ha necessita' di massima compatibilita' (es. dispositivi molto vecchi, reti aziendali client con firewall che bloccano UDP) o quando si richiede integrazione con infrastrutture di autenticazione enterprise gia' esistenti basate su RADIUS o LDAP.

MFA: Cos'e', Perche' e' Obbligatorio e Qual e' il Metodo Giusto

L'autenticazione a piu' fattori (Multi-Factor Authentication, MFA) e' il principio per cui per accedere a un sistema devi dimostrare la tua identita' con almeno due elementi indipendenti appartenenti a categorie diverse:

  1. Qualcosa che sai: la password
  2. Qualcosa che hai: il telefono con l'app TOTP, oppure un hardware token fisico
  3. Qualcosa che sei: biometria (impronta, volto)

La combinazione piu' comune e pratica per le PMI e' password + TOTP (categoria 1 + categoria 2).

Perche' MFA e' Obbligatorio: NIS2 Articolo 21

La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, all'articolo 21 comma 2 elenca le misure di sicurezza che i soggetti obbligati devono adottare. Tra queste:

"l'uso di soluzioni di autenticazione a piu' fattori o di autenticazione continua, telefonia sicura di emergenza, videoconferenze e sistemi di comunicazione sicuri"

Non e' una raccomandazione. E' un obbligo. Le PMI che rientrano nei soggetti importanti NIS2 (e sono molte piu' di quanto si pensi, incluse quelle nella supply chain di enti pubblici o infrastrutture critiche) devono avere MFA attivo sugli accessi remoti.

Ignorarlo espone a sanzioni fino a 7 milioni di euro o l'1,4% del fatturato globale annuo per i soggetti importanti.

I Metodi MFA: dal Migliore al Peggiore

1. Hardware Token (FIDO2/WebAuthn) -- Il Migliore

Dispositivi fisici come YubiKey o Token2 generano credenziali crittografiche che non possono essere replicate o intercettate via phishing. Sono immuni agli attacchi di SIM swapping e man-in-the-middle. Per ambienti ad alta sicurezza o accessi privilegiati di amministratori, sono lo standard da seguire.

Costo indicativo: 30-80 euro per chiave. Investimento una tantum, nessun abbonamento.

2. App TOTP (Google Authenticator, Aegis, Authy) -- La Scelta Pratica

Le app che generano codici OTP a sei cifre con validita' di 30 secondi (Time-based One-Time Password, standard RFC 6238) sono la soluzione piu' diffusa e il giusto compromesso tra sicurezza e praticita' per le PMI.

Non richiedono connettivita': il codice viene generato localmente dal dispositivo in base a un segreto condiviso e al timestamp corrente. Sono resistenti al phishing tradizionale (il codice scade prima che l'attaccante possa usarlo). Implementazione semplice con librerie standard come pyotp lato server.

Da preferire Aegis (Android, open source) o Apple's built-in Passwords app (iOS 17+) rispetto ad Authy, che centralizza i seed su server propri.

3. SMS OTP -- Il Peggiore

Gli SMS sono un metodo di secondo fattore da evitare per gli accessi aziendali, per ragioni tecniche precise:

  • SIM Swapping: un attaccante convince l'operatore telefonico a trasferire il numero su una SIM in suo possesso. Non e' teoria: il NIST americano nella Special Publication 800-63B ha esplicitamente sconsigliato SMS come secondo fattore gia' dal 2017
  • SS7 Vulnerability: il protocollo di segnalazione usato dalle reti telefoniche (SS7) ha vulnerabilita' note che permettono l'intercettazione degli SMS in transito a operatori malintenzionati o stati nazionali
  • Phishing in tempo reale: un sito di phishing puo' raccogliere credenziali + codice SMS e usarli immediatamente prima della scadenza

Gli SMS possono essere accettabili come fallback di emergenza, mai come unico secondo fattore.

Architettura Sicura: VPN + MFA + Certificati + Revoca Accessi

Una VPN aziendale sicura non e' solo software installato su un server. E' un sistema composto da piu' componenti che devono lavorare insieme.

1. Autenticazione a Due Livelli

La struttura di autenticazione corretta per una VPN aziendale e':

  • Certificato client: ogni dispositivo autorizzato ha un certificato TLS emesso dalla CA interna. Senza certificato valido, il server VPN non accetta nemmeno la connessione
  • Credenziali utente + TOTP: solo dopo la validazione del certificato, l'utente inserisce username, password, e il codice TOTP

Questo garantisce che anche se un attaccante ruba le credenziali di un utente, non puo' connettersi senza anche avere il dispositivo aziendale con il certificato installato.

2. PKI Interna e Gestione dei Certificati

Un'infrastruttura a chiave pubblica (PKI) interna e' il componente che emette, gestisce e revoca i certificati. Non e' complessa da implementare: strumenti come easy-rsa (incluso in OpenVPN), cfssl di Cloudflare, o una CA gestita su Vault di HashiCorp permettono di gestire l'intero ciclo di vita.

La parte critica e' la revoca: ogni certificato deve avere una data di scadenza ragionevole (6-12 mesi) e deve esistere un processo rapido per revocarlo quando un dipendente lascia l'azienda.

3. Revoca Immediata degli Accessi Ex-Dipendenti

Questo e' uno dei punti piu' critici e piu' trascurati. Cosa succede quando un dipendente lascia l'azienda?

Senza una VPN con certificati gestiti centralmente:

  • Le credenziali di Windows restano valide finche' qualcuno non le disabilita manualmente
  • Se l'ex-dipendente conosceva la password dell'account di servizio usato per RDP, puo' ancora connettersi
  • Se aveva VPN ma con solo username/password, basta non cambiare la password (cosa che spesso non viene fatta subito) per mantenere l'accesso

Con una VPN + PKI corretta:

  • Il certificato del dispositivo viene revocato in CRL (Certificate Revocation List) nel giro di minuti
  • L'account viene disabilitato su Active Directory o LDAP
  • La revoca e' propagata automaticamente: la prossima connessione viene rifiutata

Questo processo dovrebbe essere parte di una checklist di offboarding formale, non affidata alla memoria del sysadmin.

Accessi Tracciati e Log Immutabili: Ogni Sessione VPN Loggata

Una VPN sicura non produce solo connessioni cifrate: produce evidenza forense.

Ogni sessione VPN deve essere loggata con:

  • Identita' dell'utente (username, certificato)
  • Indirizzo IP di provenienza
  • Timestamp di connessione e disconnessione
  • Volume di traffico
  • Dispositivo usato (identificato dal certificato)

Questi log, nel contesto NIS2, non sono opzionali. L'articolo 21 richiede la capacita' di ricostruzione degli incidenti: se un account VPN viene compromesso e usato per estrarre dati, devi poter dimostrare all'ACN quando e' avvenuto l'accesso, da quale IP, e cosa e' stato scaricato.

Il problema e' che i log sul server VPN sono vulnerabili: se l'attaccante ottiene accesso al server, puo' cancellarli. La soluzione e' la stessa descritta per i log WORM: ogni evento di autenticazione e sessione viene inoltrato in tempo reale a uno storage WORM esterno, fuori dalla portata di chi ha compromesso il server.

Questo non e' un lusso. E' Forensic Readiness: la capacita' di rispondere a "cosa e' successo e quando" con prove che reggono a un'ispezione dell'autorita' competente.

Cosa Succede Senza VPN Quando un Dipendente Lascia l'Azienda

Senza un sistema centralizzato e controllato, lo scenario tipico e' questo:

Giorno 0 - Dimissioni: Mario Bianchi, responsabile IT esterno, comunica che lascia. Il titolare lo ringrazia. Stretta di mano.

Giorno 1: L'account Windows di Mario e' ancora attivo. Nessuno ha cambiato le credenziali dell'account condiviso che usava per il gestionale. Ha ancora accesso via RDP perche' qualcuno dovra' "fare il passaggio" prima di revocare l'accesso.

Settimana 2: Mario non lavora piu' per l'azienda da 14 giorni. L'account e' ancora attivo. Il suo laptop personale ha ancora le credenziali salvate nel client RDP.

Mese 3: Una disputa contrattuale. Mario, arrabbiato, decide di accedere al server per "recuperare materiale suo". In 10 minuti scarica l'intera lista clienti in un file Excel.

Mese 4: L'azienda si accorge che i dati dei clienti circolano online. Inizia la procedura per violazione GDPR. L'ACN viene notificata. Nessun log disponibile per dimostrare quando e' avvenuto l'accesso non autorizzato.

Con una VPN + PKI + log WORM questo scenario e' impossibile: il certificato viene revocato il giorno 0, l'accesso cessa immediatamente, e i log dimostrano che nessuna connessione e' avvenuta dopo la revoca.

Tabella di Confronto: Quale Soluzione Fa per Te

CriterioRDP EspostoVPN senza MFAVPN con MFAVPN Gestita + WORM Logging
Esposizione superficie di attaccoMassima (porta pubblica)RidottaRidottaMinima (gestita e monitorata)
Resistenza al brute forceNessunaParzialeAltaAlta + alerting automatico
Resistenza al credential stuffingNessunaNessunaAlta (secondo fattore)Alta + correlazione anomalie
Gestione certificatiNon applicabileManuale o assenteManualeAutomatizzata con revoca
Revoca accesso ex-dipendentiManuale (spesso dimenticata)ManualeManualeProcedura formalizzata
Compliance NIS2Non conformeNon conformeParzialmente conformeConforme
Log forensi disponibiliLimitatiLimitatiParzialiCompleti e immutabili (WORM)
Complessita' gestioneBassa (ma pericolosa)MediaAltaEsternalizzata
Costo incidente potenzialeMolto altoAltoMedioBasso

I Miti da Sfatare: "Uso TeamViewer, Va Bene Cosi'"

Vediamo le obiezioni piu' comuni.

"Uso TeamViewer / AnyDesk, non ho bisogno di VPN"

TeamViewer e AnyDesk sono strumenti di accesso remoto pensati per il supporto tecnico, non per l'accesso operativo continuo. Il modello di sicurezza e' diverso: il traffico passa attraverso i server del vendor (TeamViewer GmbH, AnyDesk Software GmbH), non direttamente tra i tuoi endpoint.

Questo e' un problema per piu' ragioni:

  • Storico di vulnerabilita' critiche: TeamViewer ha registrato vulnerabilita' significative nel CVE database, inclusa CVE-2019-18988 (privilege escalation, CVSS 7.8) e nel 2024 ha subito una compromissione della propria infrastruttura IT interna da parte del gruppo APT Midnight Blizzard (CERT-EU Security Advisory 2024-056). AnyDesk ha avuto una violazione dei propri sistemi di produzione nel gennaio 2024, costringendo alla revoca massiva di certificati e al reset di credenziali.
  • Dipendenza dall'infrastruttura del vendor: se i server di TeamViewer sono down (e' successo), sei bloccato fuori
  • Nessun controllo sui log: non hai piena visibilita' su chi si e' connesso e quando, con il dettaglio necessario per la compliance NIS2
  • Non sostituisce una VPN: per l'accesso operativo quotidiano ai sistemi aziendali, la VPN e' lo strumento corretto

"E' troppo complicato per una PMI"

Dipende da come la implementi. Una VPN WireGuard con MFA TOTP, gestita da un MSSP come SecBox, non richiede nessuna competenza interna all'azienda. Il dipendente installa un client, scansiona un QR code per configurare l'app TOTP, e da quel momento si connette cliccando "connetti" e inserendo il codice a 6 cifre. Non e' piu' complicato di qualsiasi altra app aziendale.

"Pago gia' il firewall, sono protetto"

Il firewall gestisce il traffico in ingresso e in uscita dalla rete. Se hai RDP esposto su internet, il firewall sta lasciando passare quel traffico perche' e' configurato per farlo. La VPN aggiunge uno strato di autenticazione prima che il traffico raggiunga il firewall interno. Sono complementari, non alternativi.

Il Costo dell'Inazione vs Il Costo della Soluzione

Un incidente ransomware su una PMI italiana costa in media tra 50.000 e 500.000 euro, considerando:

  • Costi di risposta all'incidente (forensics, recovery)
  • Downtime operativo (mediamente 21 giorni per ripristinare operativita' completa)
  • Perdita di dati irrecuperabili
  • Sanzioni GDPR per la notifica del breach
  • Danno reputazionale con clienti e fornitori

Una soluzione VPN con MFA gestita da un MSSP costa tipicamente qualche centinaio di euro al mese per una PMI fino a 50 utenti. Il ROI e' evidente.

Ma al di la' del costo economico, c'e' un problema di responsabilita' legale. Con NIS2 in vigore, l'amministratore delegato dell'azienda e' personalmente responsabile per la mancata adozione delle misure di sicurezza previste dall'articolo 21. "Non sapevo" non e' piu' una difesa accettabile.

Conclusione: La VPN con MFA Non e' un'Opzione

Il perimetro della rete aziendale oggi non esiste piu'. I dipendenti lavorano da casa, da hotel, da cafe', da co-working space. I sistemi aziendali devono essere accessibili, ma accessibili in modo sicuro.

L'unico modo per garantire accesso remoto sicuro nel 2026 e':

  1. Eliminare qualsiasi esposizione diretta di RDP, SMB, o altri protocolli interni su internet
  2. Implementare una VPN aziendale (WireGuard o OpenVPN) come unico punto di ingresso
  3. Proteggere quella VPN con MFA (TOTP app o hardware token, mai solo SMS)
  4. Gestire i certificati con una PKI che permette revoca immediata
  5. Loggare ogni sessione su storage WORM per compliance NIS2 e forensic readiness
  6. Formalizzare la procedura di offboarding per la revoca immediata degli accessi

Non e' fantascienza. Non richiede un team IT interno dedicato. Richiede il partner giusto.

SecBox gestisce VPN aziendali con MFA, certificati e log WORM per PMI italiane. Nessuna complessita' interna: configuriamo, monitoriamo e manteniamo noi. Tu ti connetti. I tuoi dati restano al sicuro.

Scopri il piano Shield con VPN gestita, MFA e log immutabili

#vpn#mfa#accesso-remoto#pmi#wireguard#sicurezza
Torna al Blog

Articoli Correlati

VPN & Accesso Remoto

Smart Working 2026: Come Dare Accesso ai Collaboratori senza Esporre la Rete

VPN & Accesso Remoto

VPN Sicure per Accesso Remoto: WireGuard vs OpenVPN per PMI