Approfondimenti
News e approfondimenti
HIPAA per aziende italiane che trattano dati sanitari di clienti USA: cosa serve davvero
Chi tratta dati sanitari per conto di clienti statunitensi è Business Associate ai sensi HIPAA: serve il BAA, non serve un datacenter negli USA e la certificazione HIPAA non esiste. Il mapping con ISO 27001, le linee guida HHS sul cloud e l’aggiornamento in arrivo della Security Rule.
Leggi l'articoloPatch Tuesday giugno 2026: 200 vulnerabilità, sei zero-day e il bug di stampa KB5087424
Il Patch Tuesday più grande di sempre: circa 200 vulnerabilità corrette, 33 critiche, sei zero-day chiusi (tra cui GreenPlasma, YellowKey e HTTP/2 Bomb). E per chi non stampa più da Windows Server 2022, il colpevole è l’hotpatch KB5087424. Cosa installare, cosa verificare e cosa resta scoperto.
Leggi l'articoloAzure Virtual Desktop senza Active Directory: come funziona e quando conviene
Con Microsoft Entra Kerberos, AVD e i profili FSLogix su Azure Files funzionano senza domain controller. Come funziona davvero, la differenza tra modello ibrido e cloud-only, e per quali aziende ha senso (e per quali no).
Leggi l'articoloAddio NTLM: Kerberos ovunque con IAKerb, LocalKDC e cosa fare ora
Microsoft disabiliterà NTLM per impostazione predefinita. IAKerb e LocalKDC portano Kerberos dove prima cadeva su NTLM: account locali, domini senza linea di vista al KDC, ambienti eterogenei con NAS e macOS. Come funziona, perché riguarda la sicurezza zero trust e cosa fare oggi.
Leggi l'articoloRansomware Qilin: come attacca le PMI italiane e come difendersi
Il CSIRT Italia segnala campagne sistematiche del ransomware Qilin contro le PMI italiane: accesso da appliance VPN senza MFA, cifratura degli hypervisor VMware ESXi e neutralizzazione dei backup. La kill chain in 5 passi e le 5 contromisure per difendersi.
Leggi l'articoloBackup gestito o piattaforma di backup: come sceglie il reparto IT
Servizio gestito end-to-end o sola piattaforma su cui il reparto IT opera in autonomia: differenze, criteri di scelta in 5 domande, modello ibrido e copertura NIS2 (art. 21 D.Lgs. 138/2024), ISO/IEC 27001:2022 A.8.13 / A.5.30 e DORA per il backup aziendale.
Leggi l'articoloZTNA: come sostituire la VPN aziendale con Zero Trust Network Access
Le RCE non autenticate su Cisco SD-WAN (CVE-2026-20182) e Fortinet (AL04/260513) di maggio 2026 mostrano i limiti del modello VPN. Cos’è ZTNA, come funziona Microsoft Entra Private Access, percorso di migrazione in 6 step e copertura NIS2 + ISO 27001:2022.
Leggi l'articolo10 anni di GDPR: bilancio per le PMI italiane e prospettive con NIS2 e AI Act
Il 24 maggio 2026 il Regolamento (UE) 2016/679 compie 10 anni. Oltre 6 miliardi € di sanzioni in Europa, 311 milioni in Italia in 538 casi: una storia di evoluzione continua. In molte PMI, però, la privacy è ancora vista come una scocciatura burocratica gestita da consulenti non specializzati. Bilancio, casi reali, convergenza con NIS2 e ISO 27001.
Leggi l'articoloFornitori rilevanti NIS2: come gestire subfornitori e infragruppo sulla piattaforma ACN entro il 31 maggio 2026
Le FAQ ACN FRN.5–FRN.10 (18 maggio 2026) chiariscono fornitura intermediata (FRN.8) e fornitori infragruppo (FRN.9). Cosa fare entro il 31 maggio 2026 per l’aggiornamento annuale dei soggetti NIS sulla piattaforma ACN.
Leggi l'articoloExchange Server zero-day OWA (CVE-2026-42897): perché migrare a Microsoft 365 ora
CVE-2026-42897, vulnerabilità XSS su Outlook Web Access di Exchange Server 2016/2019/SE: exploit attivo in the wild, nessuna patch ufficiale e inserimento nel catalogo CISA KEV. Cosa fare subito e perché Microsoft 365 chiude il problema alla radice.
Leggi l'articoloISO 27001 e NIS2: la certificazione basta per essere conformi?
ISO/IEC 27001:2022 è una base solida per la conformità NIS2 ma non è sufficiente. Sette gap operativi del D.Lgs. 138/2024, distinzione soggetto/fornitore con cascade contrattuale, responsabilità personale dei vertici aziendali e roadmap a tre orizzonti per chi è già certificato.
Leggi l'articoloCyber Resilience Act: come prepararsi alla marcatura CE del software entro il 2027
Regolamento UE 2024/2847: il bollino CE arriva al software, all’IoT e ai dispositivi connessi. Notifica vulnerabilità a ENISA in 24h dall’11 settembre 2026, applicazione piena dall’11 dicembre 2027. Cosa cambia per le PMI italiane che acquistano software.
Leggi l'articoloDANE e MTA-STS per SMTP: cifratura email forzata e protezione anti-downgrade
SMTP usa StartTLS opportunistico, vulnerabile ai downgrade attack. MTA-STS (RFC 8461) e DANE (RFC 7672) impongono la cifratura tra mail server. Microsoft Exchange Online ha attivato DANE outbound. Quale percorso ha senso per la tua azienda.
Leggi l'articoloSupply chain IT: cosa NIS2, GDPR e ISO 27001 chiedono davvero a studi professionali e PMI
Un caso reale del 2026: un fornitore IT chiede una VPN permanente verso il cliente per gestire un centralino. La risposta corretta non è tecnica, è di governo del rischio. Cosa NIS2, GDPR e ISO 27001 dicono sulla supply chain IT, e perché vale per studi professionali, commercialisti e PMI ben oltre i soggetti NIS.
Leggi l'articoloNIS2: i chiarimenti ACN dell’evento Clusit del 29 aprile 2026
All’evento Clusit del 29 aprile 2026 ACN ha chiarito categorizzazione delle attività, fornitori non fungibili, decorrenza delle 24h dall’evidenza e responsabilità degli organi direttivi. La NIS2 entra nella fase del governo reale del rischio.
Leggi l'articoloKB5082063 di aprile 2026: domain controller in crash LSASS e BitLocker recovery, cosa fare
L’aggiornamento Microsoft KB5082063 di aprile 2026 manda in riavvio infinito i domain controller con LSASS e introduce errori BitLocker su Windows Server 2016/2019/2022/2025. Sintomi, mitigazioni e checklist operativa.
Leggi l'articoloVNC esposti su Internet: i rischi per SCADA, IoT e PMI manifatturiere secondo il CSIRT Italia
Il CSIRT Italia segnala un aumento di attacchi a sistemi SCADA, IoT e industriali esposti via VNC su Internet. Cifratura debole, brute force, hacktivismo. Mitigazioni e checklist Zero Trust per le PMI.
Leggi l'articoloCategorizzazione NIS2: come compilare attività e servizi sulla piattaforma ACN entro il 30 giugno 2026
La determinazione ACN 155238/2026 introduce 10 macro-aree e 4 categorie di rilevanza per i soggetti NIS. Compilazione obbligatoria sulla piattaforma ACN dal 1° maggio al 30 giugno 2026.
Leggi l'articoloComprare o noleggiare un server: come si calcola il TCO
Quanto costa davvero un server aziendale? Le 5 voci che fanno il vero TCO: hardware (solo il 30-40%), elettricità, tempo IT (20-25%), licenze, manutenzione. Quando il noleggio in cloud conviene davvero.
Leggi l'articoloWorld Password Day 2026: passkey, MFA phishing-resistant e crittografia post-quantum
Il 7 maggio 2026 è il World Password Day. Passkey supportate da M365, Google, Apple e GitHub, MFA SMS/TOTP non bastano più, NIST PQC standard dal 2024. Tre azioni concrete per la tua azienda nel 2026.
Leggi l'articoloCLOUD Act e sovranità dei dati: perché scegliere datacenter europei
Il CLOUD Act statunitense consente l’accesso extraterritoriale ai dati ospitati dai provider USA, anche in Europa. Cosa cambia con Schrems II, il Data Privacy Framework e le data boundary UE.
Leggi l'articoloOAuth Consent Phishing su Microsoft 365: come bypassa l’MFA
Il CSIRT Italia ha rilevato una campagna OAuth contro Microsoft 365 che bypassa l’MFA. Consent Phishing e Device Code Grant: meccanismo, rischi e contromisure pratiche per Entra ID.
Leggi l'articoloFirma digitale e documenti PA: perché senza marca temporale scadono
I documenti firmati digitalmente senza marca temporale smettono di essere verificabili quando il certificato scade. Perché è rischioso pubblicarli online e come applicare correttamente CAdES-T per forniture PA.
Leggi l'articoloKerberos RC4 enforcement in Active Directory: cosa cambia dal 14 aprile 2026
Dal 14 aprile 2026 il KDC di Active Directory non emette più ticket Kerberos RC4. Service account legacy, NAS con keytab e dispositivi non-Windows possono smettere di autenticarsi. Come verificare e migrare ad AES.
Leggi l'articoloRansomware Akira colpisce le PMI italiane: 13 incidenti confermati dal CSIRT
Il CSIRT Italia ha confermato 13 incidenti ransomware Akira nei primi mesi del 2026, tutti contro PMI italiane. Firewall perimetrali e VPN SSL non aggiornati restano il vettore principale. Cosa fare oggi.
Leggi l'articoloEmail archiving: perché la conservazione legale della posta non è più opzionale
Obblighi civilistici decennali, fatturazione elettronica, GDPR, NIS2 e PEC: nel 2026 le email aziendali vanno conservate in modo immutabile, firmato e ricercabile. Non basta più il backup della mailbox.
Leggi l'articoloQualificazione ACN QC1: due nuovi servizi AtWorkStudio nel Catalogo Cloud PA
L’Agenzia per la Cybersicurezza Nazionale ha attribuito la qualifica QC1 ai servizi ATWS Email Security Gateway (SA-7582) e ATWS Secure Backup for Microsoft 365 (SA-7583). Validità 36 mesi.
Leggi l'articoloDatabase server aziendale: chi ha le chiavi dei tuoi dati?
Software house con accesso sysadmin, strumenti di backup sovrapposti, nessuna governance. Il database server delle PMI è il punto più critico e meno controllato. Come riprendere il controllo.
Leggi l'articoloVulnerabilità WordPress: perché il problema è l’architettura, non il plugin
La CVE-2026-3098 di Smart Slider 3 espone 500.000 siti WordPress. Ma il problema non è il singolo plugin: è l’architettura stessa. Perché i siti statici su infrastruttura cloud sono l’alternativa.
Leggi l'articoloEmail Security Gateway: perché il filtro antispam non basta più
Il 90% degli attacchi informatici inizia con un'email. Come un email security gateway con Libraesva protegge le caselle aziendali da phishing, BEC e malware.
Leggi l'articoloIdentity Management Day: l’identità digitale è il nuovo perimetro aziendale
L’80% delle violazioni parte da credenziali compromesse. MFA, Conditional Access e Zero Trust: come proteggere le identità digitali e rispettare NIS2 e DORA.
Leggi l'articoloDNS Security: proteggere la risoluzione DNS aziendale con Azure
Oltre l’85% del malware usa il DNS per comunicare con i server C2. Come Azure DNS Security Policy protegge la risoluzione DNS aziendale: filtraggio, DNSSEC, monitoraggio e conformità NIS2.
Leggi l'articoloCSIRT in outsourcing: come rispettare gli obblighi NIS2 senza un team interno
La NIS2 impone un referente CSIRT e tempi stringenti di notifica incidenti. Per le PMI senza un team dedicato, il CSIRT in outsourcing è la soluzione per essere conformi senza costruire competenze interne.
Leggi l'articoloTISAX a Piacenza: la filiera automotive non può più aspettare
Gli OEM richiedono sempre più spesso la conformità TISAX ai fornitori. Per le aziende della filiera automotive di Piacenza e dell’Emilia-Romagna, prepararsi è una priorità competitiva.
Leggi l'articoloRapporto Clusit 2026: 5.265 attacchi nel 2025, Italia ancora nel mirino
+49% di incidenti cyber nel 2025. L’Italia rappresenta il 9,6% degli attacchi globali con 507 incidenti gravi. Manufacturing +79%, sanità +19%. I dati chiave e cosa significano per le PMI.
Leggi l'articoloWorld Backup Day 2026: perché il backup aziendale decide il futuro della tua impresa
Il 60% delle PMI che perde i dati chiude entro 6 mesi. I 5 errori più comuni, la regola 3-2-1-1-0 e come proteggere davvero la tua azienda con un backup testato e resiliente.
Leggi l'articoloCome proteggere il tuo ambiente Azure: guida pratica
Identità, rete, protezione dei dati, monitoraggio e compliance: i cinque controlli essenziali per un ambiente Microsoft Azure sicuro.
Leggi l'articoloAssessment NIST ora in italiano, inglese e tedesco
L’assessment di cybersecurity gratuito su nist.atws.app è ora disponibile in tre lingue: italiano, inglese e tedesco. Stesse 106 domande basate sul framework NIST CSF 2.0, con interfaccia e report localizzati.
Leggi l'articoloIl perimetro aziendale non esiste più: perché firewall e VPN non bastano
Il report Zscaler su 1.750 responsabili IT e il WEF confermano: le strategie di sicurezza delle aziende sono ancora troppo orientate all'interno. Il nuovo perimetro è l'identità dell'utente.
Leggi l'articoloCome scegliere un'azienda informatica a Piacenza
Certificazioni, indipendenza da vendor, competenze cloud e cybersecurity: i criteri concreti per valutare un partner IT a Piacenza.
Leggi l'articoloServizi cloud per aziende a Piacenza: cosa valutare
Cloud gestito vs hosting, residenza dati, certificazioni ISO e conformità NIS2: cosa chiedere al tuo provider cloud.
Leggi l'articoloDatacenter per aziende a Piacenza: locale o europeo?
Server in ufficio, datacenter locale o cloud europeo? Confronto pratico per aziende piacentine: costi, sicurezza e conformità.
Leggi l'articoloCybersecurity, AI e cloud: le notizie della settimana
Trivy compromesso due volte in un mese, NVIDIA raggiunge 1 milione di GPU nelle AI factory, smantellata Tycoon 2FA e AWS-Google lanciano il multicloud networking.
Leggi l'articoloCybersecurity a Piacenza: perché le PMI emiliane sono nel mirino
Manifatturiero, logistica, agroalimentare: i settori trainanti del piacentino sono anche i più esposti agli attacchi informatici. Dati, rischi concreti e cosa fare per proteggersi.
Leggi l'articoloPerché il 2026 è il momento giusto per migrare a Microsoft 365
Voucher MIMIT, scadenze NIS2 e fine supporto Exchange 2016: tre motivi concreti per migrare email e file a Microsoft 365 nel 2026.
Leggi l'articoloCyber Index PMI 2026: la maturità cyber delle PMI italiane
Punteggio medio 55/100, solo il 16% delle PMI classificate come mature e 1 su 4 colpita da una violazione negli ultimi tre anni. I dati del terzo rapporto Cyber Index PMI.
Leggi l'articoloVoucher Cloud e Cybersecurity MIMIT 2026
ATWS ha presentato domanda di iscrizione come fornitore per il bando voucher MIMIT 2026. Contributi a fondo perduto fino a 20.000 € per PMI e professionisti.
Leggi l'articoloAssessment Cybersecurity NIST 2.0: valuta gratis la tua sicurezza
Disponibile lo strumento gratuito di self-assessment basato sul framework NIST CSF 2.0. 106 domande, report immediato e analisi della postura di sicurezza della tua azienda.
Leggi l'articoloATWS Secure Backup for Microsoft 365: istanza di qualifica ACN trasmessa
Trasmessa l’istanza di qualifica ACN per il servizio di backup SaaS per Microsoft 365. Protezione di Exchange, SharePoint, OneDrive e Teams con storage cifrato in UE.
Leggi l'articoloATWS Email Security Gateway: istanza di qualifica ACN trasmessa
Trasmessa l’istanza di qualifica ACN per il gateway di sicurezza email. Filtraggio, antispam, antivirus e policy configurabili su infrastruttura cloud europea.
Leggi l'articoloATWS Secure Workspace qualificato ACN per la PA
ATWS Secure Workspace è qualificato ACN e pubblicato nel Catalogo Cloud per la Pubblica Amministrazione. Desktop SaaS sicuro con MFA e dati in UE.
Leggi l'articolo