Microsoft 365 e sicurezza cloud: cosa dovrebbero verificare le PMI

Scritto da ExposIQ | Marzo 22, 2026

La migrazione a Microsoft 365 è uno dei progetti IT più frequenti nelle PMI svizzere. E-mail, gestione documentale, collaborazione – tutto da un unico fornitore, tutto nel cloud. Ma con il passaggio a M365 nasce un pericoloso malinteso: molte aziende credono che Microsoft si occupi della sicurezza. Questo è vero solo in parte.

Il modello di responsabilità condivisa

Microsoft gestisce l’infrastruttura dietro Microsoft 365: data center, reti, sicurezza della piattaforma, sicurezza fisica. Di questo è responsabile Microsoft, che investe miliardi in quest’area.

Tuttavia, la configurazione, la gestione degli utenti, il controllo degli accessi e la protezione dei vostri dati sono responsabilità vostra. Microsoft lo chiama «Shared Responsibility Model» – responsabilità condivisa. In pratica significa:

  • Microsoft protegge: la piattaforma, l’infrastruttura fisica, la disponibilità dei servizi, gli aggiornamenti del software server
  • Voi proteggete: gli account utente, i diritti di accesso, la classificazione dei dati, la configurazione delle impostazioni di sicurezza, i requisiti di conformità

Concretamente significa: se un aggressore accede al vostro account M365 con credenziali rubate, non è un problema di Microsoft. Se documenti sensibili sono accessibili pubblicamente a causa di una condivisione SharePoint mal configurata, la responsabilità è vostra. E se un collaboratore perde il proprio account senza MFA, non è Microsoft a rispondere.

Le vulnerabilità di sicurezza più comuni negli ambienti M365

Dalla pratica, gli esperti di sicurezza conoscono una serie di errori di configurazione che ricorrono costantemente negli ambienti M365 delle PMI. Molti di questi sono impostazioni predefinite mai adattate.

1. Autenticazione a più fattori non imposta

L’MFA è la singola misura di sicurezza più importante per gli account cloud. Microsoft indica che l’MFA previene oltre il 99 percento delle compromissioni automatizzate degli account. Eppure, in molti tenant PMI l’MFA non è attivata per tutti gli utenti.

Le scuse più comuni: «È troppo complicato», «Non funziona con la nostra stampante», «La direzione non lo vuole». Il risultato: una password rubata è sufficiente per accedere a tutte le e-mail, i documenti e le chat Teams di un collaboratore.

Raccomandazione: attivate l’MFA per tutti gli utenti, senza eccezioni. Utilizzate l’app Microsoft Authenticator o chiavi di sicurezza FIDO2 invece degli SMS.

2. Autenticazione legacy ancora attiva

I protocolli di autenticazione legacy come POP3, IMAP e SMTP Basic Auth non supportano l’MFA. Gli aggressori sfruttano specificamente questi protocolli per aggirare l’MFA. Anche se l’MFA è attivata per l’accesso normale, un aggressore può accedere alla casella di posta tramite IMAP con una password rubata.

Microsoft ha progressivamente disattivato la Basic Authentication per Exchange Online, ma in molti tenant sono configurate eccezioni – spesso per dispositivi o applicazioni più vecchi che non supportano la Modern Authentication.

Raccomandazione: bloccate completamente l’autenticazione legacy tramite Conditional Access Policies. Identificate prima i dispositivi e le applicazioni che utilizzano ancora protocolli legacy e aggiornateli.

3. Account con privilegi eccessivi

In molti tenant PMI, troppi utenti hanno il ruolo di «Global Administrator». Ogni account di amministratore globale è un bersaglio estremamente attraente per gli aggressori. Nel caso peggiore, la compromissione di un singolo account è sufficiente per prendere il controllo dell’intero ambiente M365.

Problemi tipici:

  • L’amministratore delegato è Global Admin «perché deve poter vedere tutto»
  • Il fornitore IT ha un account Global Admin permanente invece di accessi a tempo limitato
  • Ex collaboratori hanno ancora account di amministratore attivi
  • Account di servizio con diritti di amministratore e password deboli

Raccomandazione: riducete i Global Admin a un massimo di due o tre account di emergenza (Break-Glass Account). Utilizzate l’amministrazione basata sui ruoli: un amministratore Exchange non ha bisogno dei diritti SharePoint. Attivate il Privileged Identity Management (PIM) per concedere diritti di amministratore solo quando necessario e per un periodo limitato.

4. SharePoint e OneDrive configurati in modo troppo aperto

SharePoint Online e OneDrive for Business sono potenti strumenti di collaborazione. Ma la configurazione predefinita è spesso troppo permissiva:

  • Link «Anyone»: i documenti possono essere condivisi con link anonimi che non richiedono alcun login. Una volta condivisi, il controllo è perso.
  • Condivisioni esterne: per impostazione predefinita, gli utenti possono condividere documenti con persone esterne. Senza policy, questo avviene in modo incontrollato.
  • Permessi eccessivi: interi siti SharePoint sono condivisi con «Tutti nell’organizzazione», anche se solo un team dovrebbe avere accesso.
  • Nessuna Data Loss Prevention: dati sensibili come liste clienti, contratti o dati finanziari vengono archiviati e condivisi senza protezione.

Raccomandazione: limitate le condivisioni esterne agli utenti autenticati. Disattivate i link «Anyone» o limitatene la validità nel tempo. Verificate regolarmente chi ha accesso a quali siti SharePoint.

5. Monitoraggio e registrazione mancanti

M365 offre log di audit completi, ma molte PMI non li utilizzano. Senza monitoraggio, le attività sospette passano inosservate:

  • Accessi da Paesi insoliti
  • Download massivo di documenti
  • Creazione di regole di inoltro delle e-mail (un classico trucco degli aggressori)
  • Modifiche ai ruoli di amministratore
  • Nuove autorizzazioni di app OAuth

Raccomandazione: attivate l’Unified Audit Log. Configurate avvisi per le attività sospette. Anche senza un sistema SIEM, gli avvisi integrati di M365 possono rilevare molte minacce.

6. Sicurezza e-mail non ottimizzata

Exchange Online offre Exchange Online Protection (EOP) come protezione di base. Ma la configurazione predefinita spesso non è sufficiente:

  • SPF, DKIM e DMARC non sono configurati o sono incompleti, il che consente lo spoofing delle e-mail
  • Le policy anti-phishing utilizzano le impostazioni predefinite invece di regole personalizzate
  • Safe Links e Safe Attachments (Defender for Office 365) non sono attivati
  • Gli utenti possono eseguire macro negli allegati Office

Raccomandazione: configurate SPF, DKIM e DMARC per tutti i vostri domini. Rafforzate le policy anti-phishing. Bloccate le macro negli allegati e-mail tramite i criteri di gruppo.

Sicurezza cloud e scansione delle vulnerabilità

La classica scansione delle vulnerabilità si rivolge principalmente ai sistemi on-premise: server, dispositivi di rete, endpoint. Ma in un mondo cloud-first, anche i servizi cloud devono essere inclusi nella strategia di sicurezza.

Anche se la piattaforma M365 stessa viene aggiornata da Microsoft, ci sono aree in cui la scansione esterna rimane rilevante:

  • Ambienti ibridi: molte PMI gestiscono configurazioni ibride con Exchange on-premise ed Exchange Online, Active Directory e Azure AD, o file server locali e SharePoint Online. I componenti on-premise devono continuare a essere scansionati.
  • Servizi esposti al cloud: anche in un ambiente M365, spesso esistono ancora server web locali, gateway VPN e altri servizi esposti che sono vulnerabili.
  • DNS e configurazione dei domini: record SPF/DKIM/DMARC mancanti, record DNS pendenti o sottodomini esposti sono rischi che una scansione esterna può rilevare.
  • Applicazioni OAuth e integrazioni: le app di terze parti collegate a M365 ampliano la superficie d’attacco. Ogni app con autorizzazioni estese è un rischio potenziale.

Una checklist pragmatica per la sicurezza M365

Per le PMI che vogliono migliorare la sicurezza del proprio M365, ecco una checklist prioritizzata:

  1. Attivare l’MFA per tutti gli utenti – massimo impatto, attuabile immediatamente
  2. Bloccare l’autenticazione legacy – chiude una delle maggiori falle
  3. Ridurre gli account Global Admin – minimizza il rischio di una compromissione totale
  4. Limitare le condivisioni SharePoint esterne – previene la fuoriuscita incontrollata di dati
  5. Configurare l’autenticazione e-mail (SPF, DKIM, DMARC) – protegge dallo spoofing
  6. Attivare l’audit logging e configurare gli avvisi – consente il rilevamento degli attacchi
  7. Verificare il Microsoft Secure Score – lo strumento di valutazione di Microsoft mostra il potenziale di miglioramento
  8. Scansionare regolarmente i sistemi on-premise – non dimenticare la superficie d’attacco ibrida

ExposIQ per la vostra era cloud

Il passaggio al cloud modifica il panorama delle minacce, ma non rende superflua la gestione delle vulnerabilità – anzi, il contrario. La superficie d’attacco diventa più complessa: servizi cloud, sistemi on-premise, connessioni ibride e integrazioni di terze parti devono essere tutti considerati.

ExposIQ supporta le PMI svizzere nel mantenere il controllo. La scansione esterna verifica i vostri sistemi e servizi raggiungibili pubblicamente – sia on-premise che esposti al cloud. Con oltre 35 motori di scansione e 64’000 CVE, vengono rilevate vulnerabilità in server web, gateway VPN, configurazioni e-mail e altri servizi esposti. Il monitoraggio delle violazioni vi avvisa inoltre quando le credenziali dei vostri collaboratori compaiono in fughe di dati – una delle cause più frequenti di compromissione degli account M365.

Hosting svizzero, conforme alla nLPD, a partire da CHF 99 al mese. Perché la migrazione al cloud è responsabile solo con una chiara strategia di sicurezza: exposiq.ch

ExposIQ è la piattaforma svizzera per la gestione automatizzata delle vulnerabilità. Aiutiamo le PMI e i fornitori di servizi IT a identificare e correggere le vulnerabilità – in modo sicuro, comprensibile e conforme alla nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Azienda

Chi siamo Contatto Blog
 Informativa sulla privacy Termini di utilizzo

Newsletter

Copyright © ExposIQ Svizzera 2026. Tutti i diritti riservati.