🛡️ Segmentazione rete aziendale VLAN: la difesa invisibile delle PMI di Torino

Reti aziendali piatte nel 2026: una vulnerabilità che le PMI di Torino non possono più permettersi

Nel 2026 la segmentazione della rete aziendale non è più una pratica avanzata riservata alle grandi corporation: è diventata una misura di sicurezza di base per qualunque PMI di Torino e del Piemonte che gestisca dati sensibili, fatturazione elettronica, gestionali in cloud e personale in smart working. Eppure, la stragrande maggioranza delle reti aziendali nelle PMI torinesi è ancora costruita come una rete "piatta": un unico segmento in cui tutti i dispositivi — computer, stampanti, telecamere, NAS, smartphone degli ospiti, IoT industriali — comunicano liberamente tra loro senza barriere interne.

Questa architettura, ereditata da quando le reti aziendali ospitavano una decina di dispositivi e nessuna minaccia significativa, è oggi la principale causa di propagazione catastrofica di ransomware nelle PMI italiane. Un singolo endpoint compromesso — un PC con credenziali rubate via phishing, una stampante con firmware obsoleto, un dispositivo IoT mai aggiornato — diventa la testa di ponte da cui l'attaccante si muove lateralmente per giorni o settimane, mappando l'infrastruttura prima di colpire dove fa più male: il file server con i dati dei clienti, il NAS dei backup, il gestionale, le mail.

La segmentazione di rete con VLAN (Virtual Local Area Network) e la più recente micro-segmentazione cambiano radicalmente le regole del gioco. Dividendo la rete aziendale in segmenti logici isolati, ciascuno con regole di accesso proprie, la propagazione di un attacco viene fermata al primo perimetro interno. Anche se un attaccante entra, non può muoversi: incontra barriere invisibili che contengono il danno al singolo segmento compromesso. Secondo i dati dell'Osservatorio Cybersecurity 2026, le PMI con reti segmentate riducono mediamente l'impatto economico di un incidente del 78% rispetto a chi opera su reti piatte.

In questo articolo, AscenSys — system integrator IT con sede a Torino e specialista in reti aziendali sicure per PMI piemontesi — spiega cosa significa concretamente segmentare una rete, quando una PMI dovrebbe farlo, quanto costa e quali risultati misurabili porta in termini di sicurezza e performance.

Il rischio reale di una rete piatta in una PMI torinese

Per capire perché la segmentazione di rete è oggi una priorità per le PMI di Torino, basta analizzare cosa accade in pratica quando un attacco colpisce una rete aziendale non segmentata. Tre scenari che AscenSys osserva regolarmente nelle aziende del territorio torinese.

Scenario 1 — Ransomware via phishing: dal PC della segreteria al file server in 4 ore

Una collaboratrice apre un allegato apparentemente legittimo da un fornitore conosciuto. L'allegato esegue un loader malware che si installa silenziosamente sul PC e stabilisce una connessione verso il server di controllo dell'attaccante. In una rete piatta, da quel PC l'attaccante vede e raggiunge: il file server con tutti i documenti aziendali, il NAS dei backup, le stampanti di rete, il gestionale, le condivisioni di rete degli altri colleghi, il PC dell'amministrazione con i dati bancari. In media servono 4-8 ore di movimento laterale prima che il ransomware venga distribuito su tutti i sistemi raggiungibili. Con la segmentazione VLAN, l'attaccante resta confinato al segmento "Uffici" e non raggiunge mai il segmento "Server" o "Backup".

Scenario 2 — Dispositivo IoT compromesso: telecamere e stampanti come testa di ponte

Le PMI manifatturiere e gli studi professionali di Torino hanno spesso decine di dispositivi connessi alla rete che nessuno aggiorna mai: telecamere di sorveglianza, stampanti multifunzione, sensori di magazzino, NAS consumer, smart TV nelle sale riunioni. Molti di questi dispositivi hanno credenziali di default, firmware vulnerabile, porte di servizio esposte. In una rete piatta, da una telecamera compromessa l'attaccante raggiunge direttamente i PC degli utenti e i server. La segmentazione isola tutti gli IoT in una VLAN dedicata che non può comunicare con i dati aziendali.

Scenario 3 — Wi-Fi ospiti che vede la LAN interna

È la configurazione più diffusa e pericolosa nelle PMI torinesi: l'access point del Wi-Fi per visitatori condivide la stessa rete della LAN aziendale. Chiunque si colleghi — un cliente in visita, un commerciale di passaggio, un tecnico esterno — si trova tecnicamente sulla stessa rete dei sistemi critici, e con strumenti gratuiti può effettuare scansioni e tentativi di accesso. La segmentazione separa fisicamente e logicamente la VLAN "Ospiti" dal resto, garantendo solo accesso a internet senza visibilità sulle risorse interne.

Perché le soluzioni tradizionali non bastano

Molte PMI di Torino pensano che un firewall perimetrale e un antivirus su ogni PC siano sufficienti. È un'illusione pericolosa: il firewall perimetrale protegge solo dal traffico in ingresso da internet, non dai movimenti laterali interni; l'antivirus interviene quando il malware è già attivo sull'endpoint, ma non impedisce la propagazione verso gli altri dispositivi della stessa rete. La segmentazione è l'unico controllo che funziona come "compartimento stagno" interno, contenendo il danno a prescindere dal vettore di attacco iniziale.

La proposta AscenSys: reti segmentate progettate per le PMI di Torino

AscenSys progetta e implementa architetture di rete segmentate su misura per le PMI torinesi e piemontesi, partendo dall'analisi del traffico reale dell'azienda e mappando ruoli, dispositivi e flussi critici. L'obiettivo è chiaro: trasformare una rete piatta vulnerabile in un'infrastruttura compartimentata in cui ogni segmento ha solo gli accessi strettamente necessari al suo funzionamento.

Le VLAN tipiche di una PMI torinese ben segmentata

• VLAN Server: file server, gestionale, applicativi business — accesso limitato ai soli utenti autorizzati con autenticazione forte
• VLAN Uffici: PC degli operatori, telefoni VoIP, periferiche di reparto — accesso filtrato verso i server tramite firewall interno
• VLAN Direzione: segmento isolato per i sistemi con dati sensibili (amministrazione, controllo gestione, HR)
• VLAN Backup: NAS e sistemi di backup separati, raggiungibili solo dal server di backup con regole molto restrittive
• VLAN IoT: stampanti, telecamere, sensori, dispositivi IoT — completamente isolata dalla rete dati
• VLAN Ospiti: Wi-Fi visitatori e collaboratori esterni — solo accesso internet, zero visibilità sulla LAN
• VLAN Produzione: per le PMI manifatturiere del torinese, segmento OT (Operational Technology) separato dalla rete IT

Firewall di livello interno e regole di traffico

Tra una VLAN e l'altra, AscenSys configura un firewall interno (UTM o firewall multi-zona) che applica regole specifiche: solo determinati protocolli, solo da determinati indirizzi, solo verso determinati servizi. Ogni richiesta che attraversa un confine di VLAN viene esaminata e registrata. Questo crea anche una preziosa fonte di log per la rilevazione di anomalie: un PC della VLAN Uffici che improvvisamente tenta di accedere alla VLAN Backup è un segnale di compromissione che attiva immediatamente un alert.

Integrazione con cybersecurity e Zero Trust

La segmentazione di rete è l'infrastruttura abilitante per un approccio Zero Trust completo. AscenSys integra la segmentazione VLAN con le soluzioni di cybersecurity dei propri partner ufficiali: gli endpoint protetti da ESET, di cui AscenSys è Partner, forniscono telemetria comportamentale che si combina con il monitoraggio del traffico di rete; le identità utente gestite da Microsoft Entra ID (AscenSys è Cloud Solution Provider Microsoft) controllano gli accessi alle risorse di ciascun segmento. Il risultato è una difesa a strati in cui ogni accesso, anche interno, viene verificato.

Wi-Fi aziendale e Wi-Fi ospiti: separazione totale

AscenSys utilizza access point enterprise con supporto multi-SSID e VLAN tagging: lo stesso apparato fisico trasmette più reti Wi-Fi distinte (dipendenti, ospiti, IoT) ciascuna mappata su una VLAN diversa. Per il Wi-Fi aziendale viene applicato lo standard WPA3 con autenticazione enterprise; per gli ospiti, un portale captive con timeout sessione e isolamento client.

VLAN, micro-segmentazione e ROI: cosa scegliere per la propria PMI

Quando AscenSys analizza l'infrastruttura di una PMI di Torino o del Piemonte, la prima decisione tecnica è il livello di segmentazione appropriato. Non tutte le aziende hanno bisogno della stessa profondità di controllo: il fattore determinante è la criticità dei dati gestiti e il numero di postazioni.

Segmentazione VLAN classica: il punto di partenza per PMI da 10 a 80 postazioni

La segmentazione tramite VLAN su switch managed è la soluzione standard per la maggior parte delle PMI torinesi. Richiede l'aggiornamento o la sostituzione degli switch di rete con modelli managed (Cisco, Aruba, HPE, MikroTik a seconda del budget), un firewall di livello interno per le regole inter-VLAN, e access point Wi-Fi enterprise con supporto VLAN. L'implementazione tipica richiede 3-7 giornate di lavoro a seconda della dimensione e del numero di postazioni. Il vantaggio: nessun cambiamento operativo per gli utenti, che continuano a lavorare esattamente come prima.

Micro-segmentazione: quando ogni server è un'isola

Per studi professionali e PMI che gestiscono dati altamente sensibili (studi legali, commercialisti, sanità privata, aziende con dati strategici), AscenSys propone la micro-segmentazione: ogni singolo server o gruppo di server viene isolato con regole proprie, e il traffico tra workload viene controllato anche all'interno della stessa VLAN. Le tecnologie utilizzate spaziano dal software defined networking sui firewall enterprise alle soluzioni di host-based segmentation che applicano regole direttamente a livello di sistema operativo. Richiede un investimento più alto rispetto alla VLAN classica, ma garantisce un controllo capillare adatto a contesti regolamentati e a chi deve dimostrare compliance NIS 2 o GDPR rafforzata.

ROI concreto: cosa cambia nei numeri

• Riduzione superficie d'attacco: la propagazione di un ransomware viene contenuta in media a 1-2 segmenti su 6-7, riducendo del 70-85% i sistemi compromessi in caso di incidente
• Tempo medio di recovery: da 3-7 giorni in rete piatta a 12-24 ore in rete segmentata (solo i sistemi del segmento compromesso vanno ripristinati)
• Performance di rete: il broadcast traffic viene ridotto drasticamente, eliminando un'altra causa frequente di rallentamento percepito dagli utenti
• Compliance: la segmentazione è un requisito esplicito o fortemente raccomandato in NIS 2, GDPR (art. 32), ISO 27001 e nei capitolati di gara di numerose committenze pubbliche

Quando è il momento giusto per segmentare

AscenSys consiglia di pianificare la segmentazione in tre momenti chiave: durante un rinnovo dell'infrastruttura di rete (l'hardware managed costa marginalmente di più ma abilita la segmentazione); dopo un incidente di sicurezza che ha rivelato la propagazione laterale; in preparazione a una certificazione (ISO 27001, NIS 2) o a una gara pubblica. In tutti gli altri casi, la segmentazione può essere introdotta in modo incrementale, partendo dall'isolamento del Wi-Fi ospiti e degli IoT — i due segmenti più rischiosi e i più semplici da separare.

📌 Caso Reale: PMI Manifatturiera, Hinterland Torinese

Un'azienda manifatturiera dell'hinterland torinese, con 38 dipendenti distribuiti tra uffici amministrativi e officina, si era rivolta ad AscenSys dopo aver subito un tentativo di ransomware che, fortunatamente, era stato bloccato dall'antivirus prima della cifratura — ma la successiva analisi forense aveva rivelato che l'attaccante si era già mosso per 11 giorni all'interno della rete, raggiungendo praticamente ogni dispositivo connesso, comprese telecamere di sorveglianza e PLC della linea di produzione.

La situazione di partenza

La rete aziendale era completamente piatta: un'unica VLAN ospitava 38 PC d'ufficio, 12 telecamere IP non aggiornate dal 2021, 4 stampanti multifunzione, un NAS dei backup, il file server, il gestionale ERP, l'access point Wi-Fi con la stessa rete tra dipendenti e visitatori, e 6 PLC industriali della linea produttiva. Tutto in 192.168.1.0/24, senza separazione logica di alcun tipo. Lo switch principale era un modello unmanaged da 24 porte, senza alcuna capacità di applicare VLAN o regole di traffico.

L'intervento di AscenSys

Dopo un'analisi del traffico e dei flussi reali, AscenSys ha progettato un'architettura a 6 VLAN: Server, Uffici, Direzione, Backup, Produzione (OT, isolata dalla rete IT), IoT, Ospiti Wi-Fi. Lo switch unmanaged è stato sostituito con uno switch enterprise managed a 48 porte; è stato installato un firewall UTM dotato di motore di ispezione inter-VLAN; gli access point Wi-Fi sono stati aggiornati a modelli enterprise con supporto multi-SSID. La segmentazione è stata completata in 4 giornate di lavoro, distribuite su due weekend per non impattare la produzione. Sul fronte cybersecurity, gli endpoint sono stati protetti con ESET, integrato con il SIEM gestito da AscenSys per correlare eventi di rete ed endpoint.

I risultati dopo 6 mesi

• Due tentativi di compromissione rilevati e fermati al primo segmento — zero impatto sulla produzione
• Riduzione del traffico broadcast dell'82%, con miglioramento percepito delle performance di rete e telefonia VoIP
• Eliminazione del rischio Wi-Fi ospiti: 14 connessioni esterne in 6 mesi, tutte confinate al segmento internet-only
• Compliance NIS 2 dimostrata in fase di audit di un cliente strategico del settore automotive

Il titolare ha commentato: "Pensavamo che il firewall e l'antivirus fossero abbastanza. Oggi sappiamo che il vero salto di sicurezza è stato dividere la rete in compartimenti stagni. La produzione non si è mai fermata e siamo certificabili NIS 2."

Vuoi sapere se la tua rete è davvero protetta? AscenSys ti aiuta

Se la tua azienda a Torino o nel Piemonte ha ancora una rete piatta — un'unica LAN in cui tutti i dispositivi parlano con tutti — sei esposto a un rischio sproporzionato rispetto al costo di una segmentazione fatta bene. AscenSys offre un assessment iniziale gratuito che include la mappatura della rete attuale, l'identificazione dei dispositivi critici, l'analisi dei flussi di traffico e una proposta di segmentazione su misura per la tua PMI.

Lavoriamo con switch managed Cisco, Aruba, HPE e MikroTik a seconda del budget e della complessità, integriamo firewall UTM di livello enterprise e access point Wi-Fi 6/6E con supporto VLAN tagging. Le soluzioni di cybersecurity dei nostri partner ufficiali — ESET per la protezione endpoint, Microsoft per l'identità e l'accesso — completano la difesa a strati. L'intervento medio si completa in 3-7 giornate lavorative, senza fermare l'operatività aziendale.

Contatta AscenSys per richiedere il tuo assessment gratuito: ti diremo in chiaro qual è il livello di rischio attuale della tua rete, quale architettura ti serve davvero e quanto costa raggiungerla. Sede operativa a Torino, interventi in tutto il Piemonte. Telefono: 011 800 1449 — email: generale@ascensys.it — oppure compila il form di contatto sul sito.

Domande frequenti (FAQ)