La maggior parte degli incidenti di sicurezza nelle PMI non nasce da hacker sofisticati, ma da comportamenti quotidiani: una password riusata, un allegato aperto di fretta, un dato salvato sul desktop personale. Una policy di sicurezza informatica scritta — e fatta sottoscrivere — è il primo, economico strato di difesa: allinea le persone su cosa è permesso e cosa no.
Questa guida spiega cosa includere, e ti dà un template Word gratuito già strutturato per PMI.
A cosa serve davvero una policy IT
- Riduce il rischio umano: la maggioranza degli incidenti è prevenibile con regole chiare.
- Crea responsabilità: la presa visione firmata rende le regole esigibili sul piano disciplinare.
- È base documentale per la compliance: utile per percorsi tipo NIS2 e per le richieste di clienti e assicurazioni cyber.
Le 10 sezioni da includere
Il template segue questa struttura. I punti più importanti:
Account, password e MFA
- Credenziali personali e non cedibili.
- Password robuste e diverse fra servizi (idealmente con un password manager aziendale).
- Autenticazione a più fattori (MFA) obbligatoria su tutti gli account, in primis Microsoft 365 / Entra ID. È la singola misura che blocca la maggior parte degli attacchi su account.
Uso accettabile di dispositivi e rete
Uso prevalentemente lavorativo, blocco schermo quando ci si allontana, divieto di disattivare antivirus, firewall, cifratura del disco e aggiornamenti gestiti dall’IT.
Posta elettronica e anti-phishing
La regola d’oro: attenzione a link e allegati non attesi, verifica del mittente, e un canale chiaro per segnalare le email sospette all’IT. Il phishing resta il vettore d’attacco numero uno.
Dispositivi mobili e BYOD
Se i dipendenti usano dispositivi personali per i dati aziendali, vanno gestiti (es. con Intune/MDM): PIN/biometria, cifratura, possibilità di wipe dei soli dati aziendali, separazione dai dati personali.
Gestione e classificazione dei dati
I dati vanno nei contenitori gestiti (OneDrive/SharePoint), non su copie locali non protette. Una classificazione semplice (Pubblico / Interno / Riservato / Confidenziale), supportata dalle etichette di riservatezza di Microsoft Purview, aiuta a decidere cosa si può condividere e come.
Segnalazione degli incidenti
Smarrimento dispositivo, sospetta compromissione, malware, phishing aperto: vanno segnalati subito. La tempestività limita i danni ed è essenziale per gli obblighi di notifica (data breach al Garante entro 72 ore, art. 33 GDPR).
Policy IT, smart working e DR: il trio documentale
Tre documenti che lavorano insieme e che ogni PMI dovrebbe avere:
- Policy di sicurezza IT (questa) — le regole d’uso.
- Accordo di smart working — le regole del lavoro agile, che richiamano la policy.
- Piano di Disaster Recovery — cosa fare quando qualcosa va storto.
Scarica il template
👉 Template Word: policy di sicurezza informatica e uso accettabile IT — gratuito, dieci sezioni con tabella di presa visione, allineato alle best practice Microsoft 365.
⚠️ Fac-simile da adattare alla tua organizzazione e da integrare con l’informativa privacy ex art. 13 GDPR e con il regolamento sui controlli a distanza (art. 4 L. 300/1970). Non costituisce consulenza legale.
Dalla policy alla protezione reale
Una policy è il punto di partenza; poi servono i controlli tecnici (MFA, Defender, Intune, Purview) e il monitoraggio. Per le PMI senza un team security interno è il caso d’uso tipico di Assistenza Cybersecurity gestita. Per un assessment, parla con un nostro consulente.