Meno della metà delle PMI usa una VPN. Ecco cosa ha scoperto la nostra ricerca.

Per la maggior parte delle piccole e medie imprese (PMI), l’“ufficio” ora è un insieme di reti WiFi domestiche, hotspot nei bar, spazi di lavoro condivisi e strumenti SaaS basati sul cloud.

Eppure, anche mentre il lavoro continua a diventare più distribuito, molte aziende non sono riuscite a mettere in atto controlli di rete. Meno della metà delle PMI usa una VPN per proteggere l’accesso alla propria rete, secondo una nuova ricerca di Proton.

Allo stesso tempo, gli incidenti di sicurezza stanno aumentando. Una PMI su quattro ha subito un attacco informatico o una violazione nell’ultimo anno.

Quindi perché, nonostante un passaggio apparentemente permanente al lavoro ibrido, l’adozione delle VPN è così incoerente? Ed è questa la causa di così tanti recenti incidenti di sicurezza?

Il nostro SMB Cybersecurity Report 2026 fa luce su questa domanda. Per la nostra ricerca esclusiva, abbiamo posto a migliaia di leader aziendali in tutto il mondo decine di domande sulle loro pratiche di sicurezza. Puoi scaricare il report gratuito sulla cybersecurity per ottenere quattro informazioni chiave e cinque raccomandazioni per la tua azienda.

Perché gli attaccanti prendono di mira le PMI

Per anni, i criminali informatici si sono concentrati principalmente sulle grandi aziende. Ma man mano che le difese delle imprese sono migliorate, gli attaccanti hanno preso sempre più di mira le PMI(nuova finestra) a causa di:

Risorse limitate: i piccoli team spesso non hanno personale di sicurezza dedicato e policy di sicurezza formali.

Reti distribuite: i dipendenti si connettono da reti WiFi domestiche, spazi di lavoro condivisi e hotspot pubblici, creando più punti di ingresso per gli attaccanti.

Dati di alto valore: le PMI possono archiviare gli stessi dati sensibili delle grandi imprese(nuova finestra) — comprese informazioni sui clienti, registri finanziari e proprietà intellettuale — ma con meno protezioni in atto.

Il divario di adozione: le PMI stanno trascurando le VPN

Il Proton SMB Cybersecurity Report 2026 ha evidenziato due lacune tra le piccole e medie imprese:

• Divario di adozione: meno della metà delle PMI usa una VPN per proteggere i propri endpoint(nuova finestra).
• Divario di esecuzione: anche tra chi adotta una VPN, le pratiche di sicurezza sono incoerenti.

Iniziamo dal divario di adozione.

L’ascesa del software-as-a-service ha creato un falso senso di sicurezza tra le piccole imprese. Sebbene la maggior parte delle piattaforme SaaS usi una crittografia forte (cioè TLS(nuova finestra)) per proteggere il traffico in transito, e alcune come Proton Mail o Proton Drive usino anche la crittografia end-to-end(nuova finestra) a riposo, non proteggono il percorso che i tuoi dipendenti seguono per accedere.

Ad esempio, la tua organizzazione potrebbe usare un servizio di email crittografata(nuova finestra) per proteggere il contenuto dei tuoi messaggi, ma senza una VPN non puoi applicare restrizioni basate su IP per controllare chi può accedere alla piattaforma. Quindi un attaccante con un set di credenziali sottratte potrebbe accedere e violare la tua rete.

Sebbene il passaggio al lavoro ibrido sia globale, i relativi adattamenti di sicurezza sono stati disomogenei. Gli Stati Uniti sono l’unico paese del nostro studio in cui la maggioranza delle PMI usa una VPN. In ogni altro mercato, l’adozione resta sotto il 50 %. Questo divario è ancora più pronunciato al di fuori del settore tecnologico, dove la sicurezza non ha tenuto il passo con il passaggio al lavoro ibrido.

Il divario di esecuzione: la vera sicurezza va oltre una VPN

Il 52 % delle PMI che usano una VPN afferma di essere molto o completamente fiducioso nella propria capacità di resistere agli attacchi. Ma i nostri dati mostrano che anche in questo gruppo il 26 % ha subito una violazione negli ultimi 12 mesi. Se un’azienda sta già proteggendo la propria rete, com’è possibile che accada ancora?

Il problema non è la VPN in sé, ma i controlli circostanti e la diffusione dell’errore umano. Solo il 56 % di chi adotta una VPN nel nostro studio impone l’autenticazione a due fattori(nuova finestra) (2FA). Quando quasi la metà delle aziende si affida solo alle password, il rischio è aggravato da una scarsa disciplina nella gestione delle credenziali. Invece di usare con costanza un gestore di password aziendale(nuova finestra):

• il 31,5 % condivide ancora le credenziali via email
• il 33,4 % tramite documenti condivisi
• il 28 % si affida alle app di messaggistica per condividere i login
• il 24,6 % scrive ancora le password su carta

I nostri dati suggeriscono che molte aziende trattano la sicurezza come un investimento frammentario in prodotti isolati piuttosto che come un sistema coeso, senza policy di sicurezza applicate in modo coerente.

La sicurezza come infrastruttura, non come ripensamento

Lo studio ha rivelato un’altra osservazione preziosa: la sicurezza è un motore di ricavi.

Nel nostro rapporto, il 66 % delle aziende afferma che dimostrare una gestione sicura dei dati è “molto” o “criticamente” importante per conquistare nuovi affari. Una VPN per la sicurezza degli endpoint ti offre l’infrastruttura e la visibilità per dimostrarlo ai potenziali clienti.

Senza un perimetro di rete definito, i punti di ingresso si moltiplicano, la visibilità diminuisce e il controllo degli accessi è disperso tra piattaforme di terze parti. Tutto questo amplia la superficie di attacco e rende più difficile rilevare comportamenti sospetti, contenere gli incidenti o dimostrare il controllo a clienti e partner. Una VPN ripristina il confine e stabilisce un perimetro controllabile attorno ai dipendenti ovunque lavorino.

Ecco come puoi applicare questa lezione nella tua azienda:

• Limita l’accesso per IP o Posizione: consenti l’accesso agli strumenti interni solo da dispositivi o reti approvati.
• Ottieni piena visibilità della rete: quando i login sono consentiti solo dalla tua VPN, puoi monitorare il traffico verso le tue risorse e individuare potenziali attacchi.
• Applica policy coerenti: applica regole di sicurezza sulla tua rete, invece di fare affidamento sulle promesse di terze parti.

Senza una VPN, il traffico remoto passa attraverso reti pubbliche senza controllo centralizzato, aumentando l’esposizione. La vera sicurezza richiede che il livello di rete e il livello di identità operino come un unico sistema rafforzato.

Scarica il report completo SMB Cybersecurity 2026

Il SMB Cybersecurity Report 2026 di Proton esamina dove si incrina la fiducia nella sicurezza, perché mancano i controlli fondamentali e come il lavoro ibrido ha rimodellato la superficie di attacco per le aziende in crescita.

Nel rapporto troverai:

• Modelli globali di violazioni e tendenze dell’errore umano
• L’impatto finanziario delle moderne violazioni dei dati
• Lacune di fiducia nel cloud e nell’IA tra i leader aziendali
• Passaggi pratici per costruire sistemi di sicurezza stratificati