FAQ
La formazione cybersecurity è obbligatoria per le PMI secondo la nLPD?
La nLPD (nuova Legge sulla Protezione dei Dati, in vigore da settembre 2023) impone misure organizzative di protezione dei dati, tra cui la sensibilizzazione dei collaboratori ai rischi. Se si verifica una violazione dei dati e l'azienda non può dimostrare di aver formato i suoi team, è esposta a sanzioni fino a 250 000 CHF. I report di formazione generati da Bexxo Academy servono come prova di diligenza in caso di ispezione dell'IFPDT.
La formazione cybersicurezza è obbligatoria con la nLPD svizzera?
La nLPD (legge federale svizzera sulla protezione dei dati, in vigore dal settembre 2023) esige che le aziende adottino misure organizzative per proteggere i dati personali. La formazione del personale è esplicitamente raccomandata dall'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) come misura organizzativa essenziale. In caso di violazione dei dati, l'assenza di una formazione documentata può aggravare la responsabilità dell'azienda. Bexxo fornisce un rapporto di monitoraggio che serve come prova di diligenza in caso di controllo dell'IFPDT. Multe fino a 250 000 CHF per i responsabili del trattamento in caso di violazione.
La formazione in cybersicurezza è obbligatoria per le PMI?
La nLPD (in vigore da settembre 2023) impone misure organizzative di protezione dei dati, tra cui la sensibilizzazione dei collaboratori. Al di là dell'obbligo legale, la formazione è la leva di prevenzione più redditizia: il 91% degli attacchi informatici inizia con un'email di phishing (KnowBe4), una minaccia completamente evitabile con la formazione.
La guida ANSSI è applicabile in Svizzera?
Sì. Sebbene l'ANSSI sia l'autorità francese, le sue 42 misure di igiene informatica sono universali e particolarmente rilevanti per le PMI svizzere francofone. La guida è gratuita, pragmatica e compatibile con il NIST CSF e l'ISO 27001. È un eccellente punto di partenza per le aziende della Svizzera romanda.
La mia rete è soggetta alla nLPD?
Sì. La nLPD (nuova Legge sulla protezione dei dati, in vigore da settembre 2023) impone misure tecniche di sicurezza adeguate per tutti i dati personali trattati. Un'intrusione nella rete che provoca una fuga di dati può comportare sanzioni fino a 250 000 CHF e l'obbligo di notifica all'IFPDT.
La nLPD esige una norma specifica?
No, la nLPD (nuova legge svizzera sulla protezione dei dati) non impone alcuna norma specifica. Essa esige «misure tecniche e organizzative appropriate». L'ISO 27001, il NIST CSF o lo Standard TIC svizzero sono i quadri più riconosciuti per dimostrare questa conformità in caso di controllo dell'IFPDT.
La simulazione di phishing è utile per la conformità alla nLPD?
Sì. La nLPD (nuova Legge sulla Protezione dei Dati, in vigore da settembre 2023) impone misure di sicurezza organizzative, tra cui la sensibilizzazione dei collaboratori ai rischi. In caso di violazione dei dati, un'azienda che non può dimostrare di aver formato i propri team rischia sanzioni fino a 250 000 CHF. I report delle campagne PhishTrainer servono come prova di diligenza: documentano le simulazioni effettuate, i tassi di clic nel tempo e le azioni correttive messe in atto.
Le PMI svizzere sono più esposte delle grandi aziende?
Sì. Le PMI sono obiettivi privilegiati proprio perché dispongono di minori risorse di sicurezza rispetto alle grandi organizzazioni, pur trattando dati sensibili. In Svizzera, il 40% degli attacchi informatici prende di mira direttamente le PMI (NCSC). A differenza delle grandi aziende, esse spesso non dispongono né di un team IT dedicato, né di un piano di continuità testato, né di un budget di remediation sufficiente — il che spiega perché il 60% di esse cessa l'attività entro 6 mesi da un grave incidente.
Perché Bexxo si basa sul CVSS del NIST per valutare la criticità delle vulnerabilità?
Il CVSS (Common Vulnerability Scoring System), sviluppato dal NIST, è lo standard universale di valutazione della gravità delle vulnerabilità informatiche. Assegna a ogni vulnerabilità un punteggio da 0 a 10 in base a criteri oggettivi: vettore di attacco (rete, locale, fisico), complessità di sfruttamento, privilegi richiesti, interazione dell'utente e impatto sulla riservatezza, l'integrità e la disponibilità. L'utilizzo del CVSS consente a Bexxo di comunicare la criticità delle vulnerabilità in un linguaggio standard compreso da tutti i professionisti IT — e ai nostri clienti di confrontare i risultati dei loro audit con benchmark riconosciuti a livello mondiale.
Perché Bexxo è unico per intervenire dopo un ransomware?
Bexxo è una delle rare strutture in Svizzera a riunire sotto lo stesso tetto due competenze complementari: la cybersicurezza e il recupero fisico dei dati. Il nostro gruppo include SOS Data Recovery (sdr.ch), specialista nel recupero dal 2006, dotato di camera bianca e attrezzatura forense per intervenire su tutti i tipi di supporti — dischi rigidi, SSD, RAID, NAS, server. In concreto: un fornitore di cybersicurezza classico si ferma alla decrittazione software e ai backup. Se queste opzioni falliscono, non ha più nulla da offrire. Bexxo può fare un passo in più e tentare l'estrazione fisica dei dati dal supporto — una capacità decisiva nei casi più critici.
Perché definire obiettivi chiari in cybersecurity?
Obiettivi precisi e misurabili permettono di strutturare le risorse disponibili, di anticipare le minacce e di mettere in atto piani d'azione mirati per rafforzare la resilienza globale della vostra infrastruttura.
Perché formare il personale alla cybersecurity?
Formare il personale alla cybersecurity è cruciale, poiché l'elemento umano rimane l'anello più vulnerabile nella maggior parte degli incidenti di sicurezza. Che si tratti di un clic su un link di phishing, di una password troppo debole o della condivisione involontaria di informazioni sensibili, gli errori umani sono all'origine di molte compromissioni.
Una buona formazione permette ai collaboratori di riconoscere le minacce, di adottare comportamenti sicuri quotidianamente (gestione delle password, vigilanza verso le email sospette, rispetto delle procedure) e di reagire correttamente in caso di dubbio. Ciò rafforza la postura di sicurezza globale dell'azienda e riduce significativamente il rischio di attacchi riusciti.
Perché il monitoraggio dei CVE è essenziale per una PMI?
Ogni giorno vengono pubblicate più di 130 vulnerabilità, e questo numero aumenta di anno in anno (+20% tra il 2024 e il 2025). Senza un monitoraggio attivo, la vostra azienda potrebbe utilizzare software con falle note e sfruttabili. Il 60% delle violazioni dei dati sfrutta vulnerabilità per le quali esisteva già una patch (Verizon DBIR).
Perché la rete aziendale è esposta agli attacchi informatici?
La rete aziendale è il primo obiettivo degli aggressori: fornisce accesso a tutti i sistemi, dati e comunicazioni interne. Tre fattori aggravano l'esposizione delle PMI:
- Lungo tempo di rilevamento — il tempo medio per rilevare un'intrusione è di 204 giorni (IBM Cost of a Data Breach 2024), lasciando agli aggressori il tempo di esfiltrare i dati.
- Configurazioni predefinite — firewall, router e switch consegnati con impostazioni non protette costituiscono punti di ingresso sfruttabili.
- Accessi remoti non controllati — VPN, lavoro da remoto e accessi dei partner ampliano la superficie di attacco senza essere sempre adeguatamente protetti.
Perché rafforzare l'infrastruttura di rete della mia azienda?
Una rete robusta e ben configurata previene la maggior parte degli attacchi e assicura la continuità delle vostre operazioni, anche in periodi di forte sollecitazione o di elevata minaccia cyber.