Fornitori IT come rischio di sicurezza: Supply Chain Security per PMI

Scritto da ExposIQ | Marzo 19, 2026

Le PMI svizzere esternalizzano sempre più la loro informatica a fornitori esterni. Managed Service Provider (MSP), system integrator e consulenti cloud si occupano della gestione di reti, server e dispositivi. Questo è spesso ragionevole – ma crea un rischio di cui si parla troppo poco: il vostro fornitore IT ha un ampio accesso ai vostri sistemi. E se viene compromesso, lo siete anche voi.

Il problema: fiducia senza controllo

Uno scenario tipico per le PMI: il fornitore IT dispone di diritti di amministratore sul domain controller, accesso VPN alla rete interna, accesso alla configurazione del firewall e password root per tutti i server. Gestisce i backup, cura gli aggiornamenti software e si occupa dei nuovi collaboratori.

Si tratta di un rapporto di fiducia enorme. E nella maggior parte dei casi non esiste alcun controllo indipendente sul fatto che il fornitore stesso adotti pratiche sicure. La sua rete è protetta? Utilizza l’autenticazione a più fattori? I suoi strumenti di accesso remoto sono aggiornati? Le credenziali dei suoi clienti sono conservate in modo sicuro?

La risposta onesta è: la maggior parte delle PMI non lo sa. E la maggior parte non lo chiede.

Gli attacchi alla catena di fornitura sono in aumento

Gli attacchi alla catena di fornitura (supply chain attack) – ossia attacchi attraverso fornitori e partner – sono tra le categorie di minacce in più rapida crescita. La logica è disarmante nella sua semplicità: perché un aggressore dovrebbe attaccare 100 PMI singolarmente, quando attraverso un unico fornitore IT può ottenere accesso a tutte e 100 le aziende?

Il passato fornisce esempi impressionanti:

  • Kaseya VSA (2021): il gruppo ransomware REvil ha compromesso il software di gestione remota Kaseya VSA. Attraverso il meccanismo di aggiornamento, il ransomware è stato distribuito a oltre 1’500 aziende in tutto il mondo – tutti clienti di MSP che utilizzavano Kaseya. Le PMI colpite non avevano commesso alcun errore.
  • SolarWinds (2020): gli aggressori hanno infiltrato il processo di build del software SolarWinds Orion. L’aggiornamento manipolato è stato distribuito a oltre 18’000 organizzazioni, tra cui agenzie governative e grandi aziende.
  • MOVEit Transfer (2023): una vulnerabilità nel software di trasferimento file MOVEit è stata sfruttata dal gruppo Clop. Oltre 2’600 organizzazioni e 77 milioni di persone sono state coinvolte – molte indirettamente, perché il loro fornitore utilizzava MOVEit.
  • ConnectWise ScreenConnect (2024): vulnerabilità critiche nel software di supporto remoto hanno permesso agli aggressori di prendere il controllo dei sistemi dei clienti attraverso istanze MSP compromesse.

Questi incidenti non sono casi isolati, ma un modello ricorrente. L’Agenzia europea per la sicurezza informatica (ENISA) classifica gli attacchi alla catena di fornitura come una delle principali minacce. E l’Ufficio federale della cibersicurezza (UFCS) mette regolarmente in guardia da questo rischio.

Come i fornitori IT diventano un punto d’ingresso

I vettori d’attacco attraverso i fornitori IT sono molteplici:

Strumenti di gestione remota compromessi

Gli MSP utilizzano strumenti come ConnectWise, Kaseya, Datto o TeamViewer per gestire i sistemi dei propri clienti. Questi strumenti hanno per design un ampio accesso ai dispositivi e server gestiti. Una vulnerabilità nello strumento di gestione remota o credenziali rubate del tecnico MSP aprono la porta a tutte le reti dei clienti contemporaneamente.

Pratiche non sicure presso il fornitore

Non tutti gli attacchi si basano su una vulnerabilità software. Problemi frequenti presso i fornitori IT:

  • Riutilizzo delle password: la stessa password di amministratore viene usata presso più clienti
  • MFA mancante: gli accessi remoti ai sistemi dei clienti sono protetti solo da password
  • Database di password non crittografati: le credenziali dei clienti sono archiviate in fogli Excel o gestori di password non protetti
  • Propri sistemi obsoleti: il fornitore aggiorna i sistemi dei clienti, ma non i propri
  • Nessun principio del privilegio minimo: ogni tecnico ha accesso a tutti i sistemi dei clienti

Infrastruttura condivisa

Alcuni fornitori gestiscono sistemi di monitoraggio o backup condivisi. Se questa infrastruttura centrale viene compromessa, tutti i clienti collegati ne sono coinvolti.

Come valutare il vostro fornitore IT

La fiducia è importante, ma deve basarsi su una base informata. Ecco domande concrete da porre al vostro fornitore IT:

  1. Controllo degli accessi: chi ha concretamente accesso ai nostri sistemi? Esiste un modello di autorizzazioni basato sui ruoli, o ogni tecnico ha accesso completo?
  2. Autenticazione a più fattori: l’accesso ai nostri sistemi è protetto da MFA? Questo vale anche per tutti i tecnici del fornitore?
  3. Gestione delle password: come vengono archiviate le nostre credenziali? Viene utilizzato un gestore di password professionale con crittografia?
  4. Sicurezza propria: il fornitore effettua regolarmente verifiche di sicurezza? Possiede una certificazione ISO 27001 o un’attestazione equivalente?
  5. Incident Response: cosa succede se il fornitore stesso viene compromesso? Esiste un piano per informare i clienti interessati e bloccare gli accessi?
  6. Aggiornamento software: quali strumenti di gestione remota vengono utilizzati e sono aggiornati?
  7. Registrazione: gli accessi ai nostri sistemi vengono registrati? Possiamo consultare questi log?

Se il vostro fornitore non può o non vuole rispondere a queste domande, è un segnale d’allarme.

Perché le PMI hanno bisogno di una propria scansione delle vulnerabilità

Indipendentemente da quanto sia competente e affidabile il vostro fornitore IT, ci sono buoni motivi per gestire una propria scansione delle vulnerabilità:

Visibilità indipendente: il vostro fornitore IT ha un interesse intrinseco a presentare il proprio lavoro sotto una luce favorevole. Una scansione delle vulnerabilità indipendente vi mostra la realtà oggettiva: i sistemi sono effettivamente aggiornati? Le regole del firewall sono pulite? Ci sono servizi esposti che non dovrebbero esserci?

Controllo sul proprio rischio: la responsabilità per i vostri dati non può essere esternalizzata. Anche se il fornitore IT gestisce i sistemi, in caso di perdita di dati la responsabilità ricade su di voi come azienda. La nLPD (nuova Legge sulla Protezione dei Dati) lo chiarisce in modo inequivocabile.

Rilevamento precoce dei problemi: le scansioni regolari rilevano quando una patch non è stata installata, un servizio è configurato in modo errato o una nuova vulnerabilità interessa i vostri sistemi. Potete reagire in modo proattivo, invece di attendere il prossimo incidente di sicurezza.

Base per la negoziazione: con risultati di scansione concreti potete condurre conversazioni fondate con il vostro fornitore. «La nostra scansione mostra che il server Exchange non ha installato due patch critiche» è un punto di partenza ben diverso da «È tutto sicuro da noi?»

Trasparenza della catena di fornitura: una scansione esterna della vostra infrastruttura mostra anche se i sistemi gestiti dal fornitore presentano vulnerabilità che il fornitore avrebbe dovuto risolvere.

Trust, but verify

Il principio «Trust, but verify» (fidati, ma verifica) proviene originariamente dalla diplomazia, ma è estremamente rilevante nel campo della sicurezza IT. Non significa diffidare del vostro fornitore IT. Significa che come azienda non potete delegare completamente la responsabilità della vostra sicurezza.

Misure concrete che ogni PMI può attuare:

  • Propria scansione delle vulnerabilità: effettuate scansioni regolari e automatizzate indipendentemente dal vostro fornitore IT
  • Inventario degli accessi: mantenete un elenco aggiornato di tutti gli accessi esterni ai vostri sistemi (VPN, Remote Desktop, portali cloud)
  • Regolamentazione contrattuale: definite SLA per la gestione delle patch, l’obbligo di MFA e i tempi di risposta agli incidenti
  • Revisioni regolari: discutete i risultati delle scansioni trimestralmente con il vostro fornitore e fate seguire i punti aperti
  • Processo di escalation: definite cosa succede se le vulnerabilità critiche non vengono risolte entro un termine stabilito

ExposIQ come controllo indipendente

ExposIQ consente alle PMI svizzere una scansione delle vulnerabilità semplice e indipendente, che funziona in parallelo al fornitore IT esistente. La piattaforma non richiede competenze tecniche: inserite i vostri domini e intervalli IP e ricevete regolarmente una panoramica aggiornata della vostra situazione di sicurezza.

Con oltre 35 motori di scansione, 64’000 CVE e la valutazione del rischio basata su EPSS, vedete a colpo d’occhio quali vulnerabilità sussistono e con quale urgenza devono essere risolte. I risultati forniscono una base oggettiva per il dialogo con il vostro fornitore IT – oppure vi confermano che sta facendo un buon lavoro.

Ospitata in Svizzera, conforme alla nLPD e disponibile già a partire da CHF 99 al mese. Perché il controllo indipendente non è un voto di sfiducia, ma una gestione professionale del rischio: exposiq.ch

ExposIQ è la piattaforma svizzera per la gestione automatizzata delle vulnerabilità. Aiutiamo le PMI e i fornitori di servizi IT a identificare e correggere le vulnerabilità – in modo sicuro, comprensibile e conforme alla nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Azienda

Chi siamo Contatto Blog
 Informativa sulla privacy Termini di utilizzo

Newsletter

Copyright © ExposIQ Svizzera 2026. Tutti i diritti riservati.