Il modo in cui lavorano le piccole e medie imprese è cambiato per sempre, ma anche il modo in cui vengono attaccate. I team sono distribuiti, gli strumenti SaaS gestiscono tutto, dalle buste paga alla gestione dei progetti, e collaboratori esterni e fornitori entrano ed escono regolarmente dai sistemi. Con ogni nuovo strumento o dipendente che ha accesso, aumenta il numero dei possibili punti di ingresso.
Questa superficie di attacco in espansione è importante perché gli attacchi basati sulle credenziali, inclusi phishing, compromissione degli account e furto di password, sono diventati uno dei modi più comuni in cui le aziende subiscono violazioni. Funzionano proprio perché gli accessi si sono moltiplicati, rendendo difficile tenerne traccia. Oggi a un attaccante basta trovare un solo set valido di credenziali per aggirare le difese della tua azienda.
In questo contesto, dovrebbe essere incoraggiante che oltre la metà delle piccole imprese utilizzi ormai un gestore di password aziendale. Ma lo SMB Cybersecurity Report 2026 di Proton — uno studio globale condotto su 3.000 decisori delle PMI — ha rilevato che una su quattro ha comunque subito una violazione lo scorso anno.
Tutto questo indica un divario tra il modo in cui gli strumenti vengono adottati e il modo in cui vengono davvero usati.
Come le PMI usano oggi i gestori di password
La maggior parte dei gestori di password è progettata per fare bene una cosa: aiutarti a ricordare le tue password. In pratica, significa creare password complesse e uniche e gestirle in una cassaforte crittografata. È molto meglio della prassi comune di riutilizzare le stesse credenziali su account e piattaforme diversi.
Ma dato che le password sono il punto d’ingresso più facile per un attaccante, le PMI hanno bisogno che i gestori di password facciano molto più che risolvere problemi di memoria e comodità. Devono mettere in sicurezza gli accessi.
L’accesso è una questione molto più ampia. Le persone giuste hanno le credenziali giuste — e sapresti dire cosa sbloccano o se finissero nelle mani sbagliate? E man mano che i team crescono, gli abbonamenti si accumulano e i collaboratori esterni si alternano, la tua organizzazione deve passare dal semplice rafforzamento delle password alla considerazione delle minacce alla sicurezza del mondo reale.
È un cambiamento che la maggior parte delle aziende non fa finché qualcosa non va storto.
Dove le implementazioni dei gestori di password falliscono
L’idea chiave emersa dal nostro rapporto è che le aziende adottano i gestori di password ma non li usano in modo coerente.
La condivisione non sicura delle credenziali persiste ancora a livelli sorprendentemente alti:
- Il 33% le condivide in documenti condivisi o fogli di calcolo
- Il 30% condivide le credenziali via email
- Il 27% le condivide tramite app di messaggistica
- Il 25% le annota
- Il 24% le condivide a voce
È l’immagine di persone indaffarate che, in quel momento, scelgono la strada più rapida disponibile. Invece di passare all’app del gestore di password e condividere una nuova credenziale nella sua apposita cassaforte, potrebbero incollarla in Slack o in un’email.
Presi singolarmente, questi espedienti sembrano innocui. Ma col tempo le credenziali finiscono sparse tra la posta in arrivo, le cronologie delle chat e i documenti condivisi, in modi difficili da districare. Quando un dipendente se ne va, non puoi semplicemente revocare l’accesso in un secondo momento. E aggiornare le password in un attimo dopo una violazione dei dati diventa impossibile, a meno che tutto non sia archiviato in una posizione sicura centralizzata.
La formazione per far rispettare le policy di sicurezza può aiutare, ma la nostra ricerca ha rivelato che nemmeno questo basta davvero…
Perché la formazione sulla sicurezza non basta
Il nostro rapporto ha rilevato che il 39% delle PMI ha subito un incidente di sicurezza causato da errore umano. È facile interpretare male questo dato: la reazione naturale è pensare che dipendenti più attenti significhino meno incidenti.
Ma questa prospettiva trascura un punto importante: I sistemi di sicurezza che dipendono da un comportamento perfetto sotto la pressione quotidiana finiranno sempre per scontrarsi con la realtà. Gli errori non accadono perché alle persone non importi: accadono perché spesso l’opzione sicura richiede più sforzo e tempo di quanto una tipica PMI possa permettersi. Anche i team con le migliori intenzioni troveranno scorciatoie quando hanno risorse limitate.
La soluzione duratura non è fare più formazione. È progettare sistemi in cui l’opzione sicura sia anche quella facile.
Quando condividere gli accessi in modo sicuro non richiede più impegno che inserire una password in un messaggio di chat, le persone lo useranno.
Quando il problema degli accessi sfugge di mano
Il problema delle credenziali si aggrava man mano che i team crescono.
L’86% delle PMI oggi fa affidamento su servizi basati sul cloud per le operazioni quotidiane. In genere questo significa che le credenziali si disperdono tra strumenti di gestione dei progetti, piattaforme finanziarie, software di marketing, archiviazione di file e sistemi dedicati ai clienti, ciascuno con le proprie autorizzazioni e la propria cronologia degli accessi.
Gli accessi non si disperdono solo tra i sistemi; si diffondono in tutta l’organizzazione, passando tra team, partner esterni, collaboratori e ex dipendenti che potrebbero avere ancora un modo per entrare.
Questo significa che, nella pratica, le credenziali si accumulano, i vecchi accessi continuano a persistere e il numero di persone che hanno — o hanno avuto — le chiavi dei tuoi sistemi più sensibili cresce oltre ciò che è facile monitorare.
Avere degli strumenti non significa essere protetti
Le PMI che l’anno scorso hanno subito violazioni non stavano cercando scorciatoie: il 92% investiva attivamente in strumenti di sicurezza. Avevano gestori di password, email crittografata, programmi di formazione e policy scritte. In altre parole, sulla carta le loro configurazioni sembravano solide.
Ciò che a molti mancava era un’applicazione coerente. L’autenticazione a più fattori (MFA) era attivata ma non obbligatoria, i gestori di password erano stati implementati ma non integrati nelle abitudini quotidiane, e i processi di onboarding e offboarding venivano gestiti in modo informale anziché sistematico. Sospettiamo, vista la popolarità dei gestori di password del browser, che molti non usassero affatto una piattaforma di team centralizzata — affidandosi invece, a livello individuale, a un insieme eterogeneo di opzioni meno sicure.
Ognuno di questi è un piccolo divario che resta invisibile fino al momento in cui non lo è più.
La vera misura di una configurazione di sicurezza non è quali strumenti figurano nell’elenco, ma se quegli strumenti reggono alla pressione quotidiana del modo in cui le persone lavorano davvero.
Ecco alcune pratiche per avvicinare questa realtà alla tua azienda:
- Usa un gestore di password progettato per i team. I gestori di password del browser non sono solo meno sicuri, ma non hanno nemmeno gli strumenti per amministratori necessari a mantenere il pieno controllo dei tuoi account. A meno che tu non abbia un gestore di password enterprise facile da usare, non basta.
- Verifica chi ha attualmente accesso a cosa. Controlla gli elenchi degli utenti nei tuoi strumenti più sensibili e verifica se c’è qualche nome inatteso.
- Sostituisci i login condivisi con account individuali. Anche se è facile condividere i login in un gestore di password, non è una buona pratica: i login condivisi riducono la visibilità a livello di account, rendendo più difficile identificare e reagire a una violazione.
- Rendi obbligatoria l’autenticazione a più fattori. L’MFA è una delle protezioni più efficaci disponibili, ma solo quando viene applicata per impostazione predefinita, non lasciata come impostazione facoltativa.
- Rendi sistematico l’offboarding. Ogni uscita, che si tratti di un dipendente, di un collaboratore o di un fornitore, dovrebbe attivare subito una revisione degli accessi, invece di essere gestita solo in un secondo momento.
Vuoi sapere cos’altro potresti scoprire dal nostro sondaggio condotto su 3.000 leader aziendali in sei mercati chiave? Leggi di più nel nostro SMB Cybersecurity Report 2026. Scoprirai che cosa causa le violazioni e quanto costano davvero, dove l’errore umano si manifesta più spesso e come l’adozione del cloud e dell’IA stia creando nuovi punti ciechi. Include anche passaggi pratici per rafforzare la protezione che funzionano in condizioni reali.
