Giovanni gestisce un piccolo studio di consulenza fiscale a Catanzaro, 6 dipendenti, tre dei quali lavorano da casa due giorni a settimana. Un venerdì pomeriggio, uno dei collaboratori clicca su un link in una mail apparentemente inviata dall'Agenzia delle Entrate. Il PC si blocca. I file condivisi diventano illeggibili. Giovanni non sa cosa sta succedendo, non sa chi contattare, non sa se i dati dei clienti sono stati compromessi. Quel weekend lo passa a sperare che vada bene. Non va bene.

🔍 Il problema vero dello smart working nelle PMI

Quando i dipendenti lavorano da casa, la tua rete aziendale si allarga in modo invisibile. Ogni casa diventa un pezzo della tua infrastruttura IT, con il router del gestore telefonico, il figlio che gioca online, il PC condiviso con il coniuge.

Non è una questione di fiducia nei confronti dei tuoi collaboratori. È una questione di superficie di attacco: più dispositivi connessi fuori dalla tua rete, più punti dove qualcosa può andare storto.

Il paradosso è che molte PMI hanno fatto smart working "di urgenza" durante il COVID e non hanno mai sistemato davvero l'infrastruttura. Si va avanti con soluzioni improvvisate: accessi diretti, password condivise su WhatsApp, cartelle Dropbox personali.

💻 Cosa significa davvero «monitorare» i dispositivi remoti (senza diventare il Grande Fratello)

Quando si parla di RMM - Remote Monitoring and Management, molti titolari reagiscono con sospetto: «vuol dire che mi leggono tutto?». No. Non funziona così.

Un sistema RMM ti permette di sapere, in tempo reale, lo stato di salute dei dispositivi aziendali: se gli aggiornamenti di sicurezza sono installati, se l'antivirus è attivo e aggiornato, se il disco sta per esaurirsi, se c'è un processo anomalo in esecuzione. Niente email lette, niente screenshot, niente controllo delle attività personali.

Pensa a un cruscotto della macchina: non ti dice dove vai, ti dice se il motore sta surriscaldando.

Esempio pratico - Prima/Dopo:

Un'agenzia di comunicazione di 9 persone a Reggio Calabria lavorava in full remote. I tecnici intervenivano solo quando qualcosa si rompeva, mediamente ogni 6 settimane, con costi di intervento urgente che oscillavano tra 200 e 400 euro a volta.

Dopo l'attivazione di un sistema RMM: zero interventi urgenti nei primi 4 mesi, 3 problemi intercettati e risolti in anticipo (un disco in via di rottura, un aggiornamento critico mancante, un tentativo di accesso sospetto bloccato), risparmio stimato in circa 1.200 euro in un anno solo sugli interventi. Ma soprattutto: nessun fermo attività.

🔐 La VPN aziendale: non è roba da grandi aziende

La VPN - Virtual Private Network - crea un tunnel cifrato tra il dispositivo del dipendente e la rete aziendale. Significa che quando il tuo collaboratore si connette da casa (o dal bar, o dall'aeroporto), i dati viaggiano protetti, come se fosse fisicamente in ufficio.

Senza VPN, qualsiasi rete intermedia può potenzialmente intercettare i dati trasmessi. Con dati sensibili di clienti, fatture, contratti: non è un rischio che vale la pena correre.

La buona notizia: implementare una VPN aziendale per una PMI sotto 20 persone non è né costosissimo né complicatissimo. È uno di quei punti dove avere un tecnico IT di fiducia fa la differenza, non tanto per la tecnologia in sé, ma per configurarla correttamente e aggiornarla nel tempo.

Esempio pratico - Prima/Dopo:

Una cooperativa sociale di Lamezia Terme, 14 dipendenti tra ufficio e territorio, gestiva gli accessi al gestionale interno tramite desktop remoto senza VPN. A seguito di un tentativo di accesso non autorizzato rilevato dai log (per fortuna andato a vuoto), hanno deciso di intervenire.

Dopo l'implementazione della VPN + autenticazione a due fattori: gli accessi non autorizzati si sono azzerati, il responsabile ha un report mensile con tutti gli accessi effettuati (chi, quando, da dove), e il GDPR officer ha finalmente qualcosa di concreto da mostrare in caso di verifica.

🗝️ Chi accede a cosa: il principio del minimo privilegio

Un errore comune nelle PMI è dare a tutti accesso a tutto «per comodità». Il commerciale ha accesso ai file della contabilità. L'assistente ha le stesse credenziali dell'amministratore. Tutti usano la stessa password per il gestionale.

Il principio del minimo privilegio dice una cosa semplice: ogni persona accede solo a quello che serve per fare il suo lavoro. Niente di più.

Non è burocrazia, è protezione concreta. Se le credenziali di un dipendente vengono compromesse, il danno è limitato a quello che quel dipendente poteva vedere. Non all'intera azienda.

In pratica significa:

• Creare profili utente separati per ogni dipendente
• Definire quali cartelle/applicazioni sono accessibili da chi
• Usare l'autenticazione a due fattori per gli accessi remoti (una misura che da sola riduce del 99% gli accessi non autorizzati, secondo i dati Microsoft)
• Revocare subito gli accessi quando un dipendente lascia l'azienda

Quell'ultimo punto, la revoca degli accessi, è una delle vulnerabilità più sottovalutate nelle PMI. Ex dipendenti che hanno ancora accesso a email, cloud o gestionale mesi dopo aver lasciato l'azienda: non è una rarità.

📋 Cosa dice il GDPR su tutto questo

Se tratti dati di clienti, e praticamente ogni PMI lo fa, hai obblighi precisi in materia di sicurezza del trattamento. Lo smart working non ti esime da questi obblighi: anzi, li amplifica.

Dare un PC aziendale non configurato a un dipendente che lavora da casa, senza VPN, senza policy di sicurezza, senza log degli accessi, può costituire una violazione delle misure tecniche e organizzative richieste dal GDPR.

In caso di data breach, la domanda del Garante non sarà «avevi intenzione di proteggere i dati?» ma «cosa avevi concretamente fatto per proteggerli?».

Avere un sistema RMM attivo, una VPN configurata e una gestione degli accessi documentata è anche una risposta concreta a quella domanda.

⚠️ I segnali che qualcosa non va nella tua infrastruttura remota

Non sempre il problema arriva con un blocco totale come quello di Giovanni a Catanzaro. Spesso i segnali sono più silenziosi:

• I dipendenti si lamentano di lentezza quando lavorano da casa ma non da ufficio
• Non sai quanti dispositivi sono connessi alla tua rete in un dato momento
• Le password vengono condivise per comodità via chat o email
• Non hai mai fatto un controllo sugli accessi al tuo gestionale
• Un ex dipendente potrebbe ancora avere le credenziali attive

Se riconosci anche solo due di questi scenari, hai già una risposta su da dove partire.

Cosa puoi fare subito

1. Fai un inventario dei dispositivi remoti: quanti PC/laptop aziendali ci sono fuori dall'ufficio? Sono tutti aggiornati? Hanno un antivirus attivo? Parti da questa lista.
2. Controlla chi ha accesso a cosa: apri il tuo gestionale o il sistema di posta e verifica gli utenti attivi. Ci sono account di ex dipendenti ancora attivi? Eliminali oggi.
3. Attiva l'autenticazione a due fattori almeno sugli accessi email e sul gestionale. La maggior parte dei servizi cloud (Microsoft 365, Google Workspace) la offrono gratuitamente nelle impostazioni di sicurezza.
4. Parla con un nostro tecnico IT di fiducia per valutare VPN e RMM: non è un investimento da grandi aziende, e una valutazione iniziale ti dirà concretamente cosa ti manca e quanto costa coprirlo.
5. Metti per iscritto una policy minima per il lavoro da casa: dispositivi consentiti, reti Wi-Fi, cosa fare in caso di problema. Bastano una pagina e la firma dei dipendenti per avere già una base documentale seria.

Hai già vissuto uno di questi problemi? Parliamone concretamente — una call gratuita di 30 minuti per capire da dove partire: [Prenota qui](https://calendly.com/innovathio)