Hai due preventivi sulla scrivania. Entrambi dicono “sicurezza informatica”, entrambi riportano una cifra simile. Eppure uno copre un vulnerability assessment con report dettagliato, l’altro un antivirus centralizzato e poco più. La differenza la scopri solo quando qualcosa va storto — e a quel punto il prezzo lo paghi doppio.
La protezione dei dati online richiede un piano che integri analisi delle vulnerabilità, formazione del personale e conformità normativa. Con il d.lgs. 138/2024 che recepisce la direttiva NIS2, circa 50.000 soggetti in Italia devono adeguarsi a obblighi specifici di cybersicurezza. Un investimento efficace parte dalla comprensione di cosa si sta acquistando.
Perché due cifre uguali nascondono servizi opposti
Il mercato della sicurezza informatica ha un problema strutturale: chi compra non ha quasi mai gli strumenti per valutare cosa sta comprando. Un preventivo da tremila euro può includere un penetration test condotto da un ethical hacker con certificazione OSCP, oppure una scansione automatica lanciata da un software gratuito con un PDF di risultati generato in dieci minuti. Il numero in fondo alla pagina è lo stesso. Il valore no.
Questo succede perché la digitalizzazione ha reso accessibili strumenti che prima erano riservati a pochi specialisti. Ma accessibile non significa equivalente.
Chi lavora nel settore sa che il cliente medio confronta i prezzi come farebbe con un idraulico: guarda il totale, non apre la voce “materiali”. E qui casca tutto. Perché nella cybersecurity la differenza tra un servizio serio e uno cosmetico non sta nel prezzo, ma in cosa succede dopo la consegna del report.
Cosa si nasconde dietro le voci di un preventivo di sicurezza
Se smonti un’offerta di protezione dati, trovi componenti che sembrano simili ma hanno profondità molto diverse. Ecco le voci che dovresti confrontare prima di firmare qualsiasi contratto:
- Perimetro di analisi — quanti IP, applicazioni, endpoint vengono effettivamente testati
- Metodologia — scansione automatizzata, test manuale o approccio ibrido
- Remediation plan — se il fornitore ti dice cosa non va ma non come correggerlo, hai comprato mezzo servizio
- Retest incluso — dopo le correzioni, qualcuno torna a verificare? Spesso no
- Conformità normativa — il report è allineato ai requisiti del d.lgs. 138/2024 o è un documento generico?
Due offerte con lo stesso importo possono coprire tre endpoint o trecento. La forbice è enorme, e non c’è modo di capirlo dal titolo del documento.
| Voce del preventivo | Servizio base | Servizio avanzato |
|---|---|---|
| Vulnerability assessment | Scansione automatica, report standard | Analisi manuale + automatica, report personalizzato |
| Penetration test | Spesso non incluso | Test manuale su perimetro concordato |
| Remediation | Elenco vulnerabilità senza priorità | Piano correttivo con priorità e tempistiche |
| Retest | Non previsto | Incluso entro 30-60 giorni |
| Allineamento NIS2 | Generico o assente | Mappatura obblighi specifici per settore |
La normativa come metro di misura, non come costo aggiuntivo
Molti vedono la compliance normativa come una spesa in più che si somma al budget sicurezza. Ma nella pratica funziona al contrario: la normativa ti dà un metro per capire se quello che stai pagando ha senso.
Il d.lgs. 138/2024, che recepisce la direttiva europea NIS2 ed è in vigore dal 16 ottobre 2024, ha ampliato il perimetro a 18 settori e coinvolge circa 50.000 soggetti tra enti pubblici e privati. A partire da gennaio 2026 scatta l’obbligo di notifica degli incidenti, e entro ottobre 2026 le misure di sicurezza devono essere adottate.
Tradotto: se un fornitore ti propone un pacchetto sicurezza che non menziona nemmeno gli obblighi di notifica al CSIRT Italia, probabilmente ti sta vendendo un servizio disegnato prima del 2024. E tu lo stai pagando a prezzo pieno.
Le PMI non sono escluse. Se la tua azienda fornisce servizi o componenti a un soggetto classificato come essenziale o importante, rientri nella catena di approvvigionamento e la direttiva ti riguarda, anche se hai meno di cinquanta dipendenti.
Tre segnali che stai pagando il prezzo sbagliato
Non serve essere un esperto per capire se il tuo investimento in protezione dati copre il necessario. Ci sono segnali che puoi leggere anche senza competenze tecniche:
- Il fornitore non ti chiede nulla sulla tua infrastruttura prima di quotare — se il prezzo arriva senza domande, è un prezzo a catalogo, non un prezzo su misura
- Il report finale non include un piano di azione con priorità — un elenco di vulnerabilità senza contesto è come un referto medico senza diagnosi
- La parola “formazione” non compare da nessuna parte — secondo le stime di settore, oltre l’80% delle violazioni parte da un errore umano, eppure molti pacchetti sicurezza ignorano completamente questo aspetto
Se ti riconosci in almeno due di questi punti, quello che hai pagato e quello che ti serve probabilmente non coincidono. E la cosa peggiore è che lo scoprirai solo quando un incidente metterà alla prova la copertura reale del servizio.
Come leggere un preventivo senza essere un tecnico
Non devi diventare un analista di sicurezza per fare la scelta giusta. Ma devi sapere quali domande porre. La prima: “Cosa succede dopo il report?”. Se la risposta è “nulla, il nostro compito finisce qui”, hai un pezzo del puzzle, non il puzzle intero.
La seconda domanda riguarda il tempo. Quanto dura l’attività? Un penetration test serio su un’infrastruttura media richiede almeno cinque-dieci giorni lavorativi. Se qualcuno ti promette la stessa cosa in due giorni, o sta tagliando il perimetro o sta usando solo strumenti automatici.
La terza è sulla copertura normativa. Chiedi esplicitamente: il servizio mi aiuta a dimostrare la conformità al decreto NIS2? Se il fornitore non sa rispondere, hai la tua risposta.
Poi c’è un aspetto che nessuno mette nei preventivi ma che pesa più di tutto: la continuità. La sicurezza non è un intervento una tantum, è un processo. Un check annuale costa meno di una risposta emergenziale dopo un data breach, ma quasi nessuno lo propone se non glielo chiedi tu.
Domande che restano aperte dopo la lettura
Serve un penetration test anche a una microimpresa?
Dipende da cosa gestisci. Se tratti dati personali di clienti, gestisci un e-commerce o sei fornitore di un’azienda soggetta alla NIS2, la risposta è sì. Il perimetro si adatta al budget, ma saltare del tutto il test espone a rischi concreti.
La direttiva NIS2 riguarda anche i liberi professionisti?
Di norma no, a meno che tu non fornisca servizi digitali a soggetti classificati come essenziali o importanti. In quel caso rientri nella catena di approvvigionamento e gli obblighi possono estendersi anche a te, in misura proporzionata.
Come faccio a confrontare due preventivi se non ho competenze tecniche?
Chiedi a entrambi i fornitori di specificare: numero di IP o asset testati, giorni uomo previsti, inclusione del retest e allineamento normativo. Se uno dei due non sa o non vuole rispondere, hai già un elemento di scelta.
Quanto tempo passa tra un’intrusione e la sua scoperta?
Secondo le stime degli analisti di settore, il tempo medio si aggira ancora intorno ai sei-sette mesi per le organizzazioni che non hanno un sistema di monitoraggio attivo. Con un SOC operativo, il tempo scende a pochi giorni.