← TORNA AGLI ARTICOLI

PASSWORD POLICY AZIENDALE: COME SCRIVERLA SENZA FAR IMPAZZIRE I DIPENDENTI

"La password deve avere almeno 12 caratteri, una maiuscola, un numero, un simbolo, e va cambiata ogni 30 giorni." Risultato: sul monitor di mezzo ufficio compare un post-it con scritto Password2026!, e il mese dopo Password2026!!. La policy c'è, sulla carta è "sicura", ma nella pratica ha reso l'azienda più vulnerabile di prima.

È un problema che vediamo spesso quando entriamo in una PMI per la prima volta: la password policy esiste, magari è anche scritta in un documento firmato da tutti, ma nessuno la rispetta davvero perché è stata pensata per un audit, non per le persone che devono usarla ogni giorno. Vediamo come scriverne una che funzioni davvero.

PERCHÉ LE POLICY "ALLA VECCHIA MANIERA" NON FUNZIONANO

Per anni la ricetta standard è stata: password lunga, complessa, cambiata spesso. Sembra logico, ma nella pratica quotidiana produce effetti opposti a quelli desiderati. Quando una persona deve ricordare una password diversa, complicata, per ogni sistema aziendale (gestionale, email, VPN, portale fornitori) e deve cambiarla ogni mese, il cervello cerca la scorciatoia più semplice: pattern prevedibili, incrementi numerici, oppure la scrive da qualche parte visibile.

Il risultato è un paradosso ben noto a chi si occupa di sicurezza informatica: più una policy è rigida sulla carta, più spesso viene aggirata nella realtà. E una regola aggirata non protegge nessuno, anzi introduce un rischio nuovo (il post-it, il file Excel condiviso, la password comunicata a voce).

Attenzione: obbligare a cambiare la password ogni 30-60 giorni senza un motivo specifico (es. un sospetto di compromissione) è oggi considerato controproducente dalle principali linee guida internazionali, incluse quelle del NIST statunitense. Spinge le persone a scegliere varianti minime e prevedibili della password precedente, non password realmente nuove.

COSA DICONO OGGI LE LINEE GUIDA

L'approccio moderno alla gestione delle password aziendali si è spostato da "regole complicate imposte dall'alto" a "regole semplici, poche, ma efficaci". I punti chiave su cui converge oggi la maggior parte delle linee guida di settore sono:

  • La lunghezza conta più della complessità. Una frase lunga e facile da ricordare è più sicura di una sequenza corta piena di simboli difficili da digitare e da memorizzare.
  • Niente scadenza forzata senza motivo. Cambiare password su base periodica "perché sì" non aumenta la sicurezza reale; ha senso farlo solo in caso di sospetto accesso non autorizzato.
  • Vietare le password troppo comuni o già compromesse, confrontandole con liste note di credenziali trapelate in violazioni pubbliche.
  • Un secondo fattore di autenticazione (MFA) è oggi considerato più importante della complessità della password stessa: anche una password rubata diventa quasi inutile per un attaccante se manca il secondo fattore.
  • Una password, un solo utilizzo. Riutilizzare la stessa password su più servizi (aziendali e personali) è uno dei rischi più sottovalutati: se un servizio terzo subisce una violazione, la stessa credenziale può essere provata su email e gestionali aziendali.

I TRE PILASTRI DI UNA POLICY CHE LE PERSONE RISPETTANO DAVVERO

Invece di elencare decine di regole, conviene costruire la policy attorno a tre elementi semplici da spiegare e da controllare:

1
Lunghezza minima
Almeno 12-14 caratteri, preferendo frasi facili da ricordare a sequenze complesse ma corte
2
MFA sempre attivo
Secondo fattore obbligatorio su email, VPN e gestionali, specialmente per gli accessi da remoto
3
Un gestore password
Uno strumento condiviso per generare e conservare credenziali diverse per ogni servizio, senza doverle ricordare a memoria

Su questi tre punti si costruisce una strategia di accesso completa, che va oltre la singola password: è il principio alla base di un approccio Zero Trust, dove ogni accesso viene verificato indipendentemente dalla "fiducia" implicita data alla rete interna. Il nostro servizio di cybersecurity parte esattamente da qui: mappare chi accede a cosa, con quali credenziali, e chiudere le falle più comuni prima che diventino un incidente.

VECCHIO APPROCCIO VS NUOVO APPROCCIO

Ecco un confronto sintetico tra la policy "tradizionale" e quella oggi consigliata per una PMI:

Aspetto Approccio Tradizionale Approccio Consigliato Oggi
Lunghezza minima 8 caratteri 12-14 caratteri (o passphrase)
Complessità Maiuscola + numero + simbolo obbligatori Facoltativa se la lunghezza è sufficiente
Scadenza Cambio forzato ogni 30-90 giorni Cambio solo in caso di sospetta compromissione
Controllo password deboli Assente Blocco password comuni/già compromesse
Secondo fattore Raramente richiesto Obbligatorio su servizi critici
Strumento di supporto Nessuno (memoria o foglio Excel) Password manager aziendale condiviso

GLI ERRORI PIÙ COMUNI QUANDO SI SCRIVE UNA POLICY

Errore 1: Copiare una policy trovata online

Ogni azienda ha sistemi e abitudini diverse. Una policy generica scaricata da internet spesso non tiene conto degli strumenti realmente usati (gestionale, VPN, cloud) e finisce per essere ignorata perché "non calza".

Soluzione: parti da un elenco reale dei sistemi aziendali e scrivi regole pensate su quelli, non regole astratte.

Errore 2: Nessuna distinzione tra account critici e account secondari

Non tutti gli accessi hanno lo stesso peso: la casella email amministrativa o l'accesso al gestionale contabile non sono equiparabili all'account di un software di prenotazione sala riunioni.

Soluzione: applica regole più stringenti (MFA obbligatorio, controlli più frequenti) sugli accessi critici, e regole più leggere altrove.

Errore 3: Password condivise "per comodità"

L'account social aziendale, la stampante di rete, il gestionale usato da più persone: spesso la stessa password gira tra colleghi via chat o messaggio vocale. Se qualcuno lascia l'azienda, quella password resta valida per mesi, se non per anni.

Soluzione: usa account nominali dove possibile, e per gli account condivisi realmente necessari affidati a un gestore password aziendale con controllo degli accessi. La stessa logica va applicata quando un dipendente lascia l'azienda: la revoca puntuale di tutte le credenziali dovrebbe far parte di una procedura di offboarding strutturata.

Errore 4: Nessuna formazione, solo un documento da firmare

Far firmare un regolamento non significa che le persone lo capiscano o lo applichino. Se nessuno spiega perché certe regole esistono, la policy resta lettera morta.

Soluzione: dedica anche solo 20-30 minuti a spiegare al team perché una password lunga batte una complessa, come funziona il gestore password, e cosa fare in caso di sospetto furto di credenziali (es. dopo aver ricevuto un tentativo di phishing).

Pro tip: premia la trasparenza, non punire l'errore. Se un dipendente clicca su un link sospetto o sospetta che la propria password sia stata vista da qualcuno, deve sentirsi libero di segnalarlo subito, senza paura di essere ripreso. Una segnalazione tempestiva permette di disattivare l'account in pochi minuti, invece di scoprire il problema settimane dopo.

CHECKLIST: LA TUA POLICY PASSWORD È SCRITTA BENE?

Prima di considerarla completa, verifica questi punti:

  • ☐ La lunghezza minima richiesta è di almeno 12 caratteri?
  • ☐ Hai eliminato l'obbligo di cambio periodico "senza motivo"?
  • ☐ L'MFA è attivo su email, VPN e gestionali critici?
  • ☐ Esiste un elenco chiaro di quali account sono "critici" e richiedono controlli più stretti?
  • ☐ Il team ha accesso a un gestore password aziendale condiviso?
  • ☐ Esiste una procedura scritta per revocare gli accessi quando qualcuno lascia l'azienda?
  • ☐ Le persone sanno a chi rivolgersi in caso di sospetto furto di credenziali?
  • ☐ La policy è stata spiegata a voce, non solo fatta firmare su carta?

Se hai risposto "no" a più di due domande, probabilmente la policy attuale esiste più per adempimento formale che per protezione reale.

DA DOVE PARTIRE SE NON HAI ANCORA UNA POLICY

Se in azienda non esiste ancora nulla di scritto, non serve iniziare da un documento di venti pagine. Bastano poche regole chiare, un gestore password condiviso e l'attivazione dell'MFA sui sistemi principali per alzare in modo concreto il livello di sicurezza, senza stravolgere le abitudini di lavoro del team dall'oggi al domani.

Da lì si può poi ampliare la policy, integrandola con il resto della strategia di sicurezza aziendale: controllo degli accessi di rete, monitoraggio dei tentativi di accesso sospetti, e procedure chiare per onboarding e offboarding dei dipendenti.

In sintesi: una password policy efficace non è quella con più regole, ma quella che le persone rispettano senza doverla aggirare. Punta su password lunghe invece che complicate, elimina il cambio forzato senza motivo, attiva l'MFA ovunque possibile e affidati a un gestore password condiviso: sono quattro mosse semplici che riducono davvero il rischio.

Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Sommacampagna, Sona, Garda, Vigasio, Cerea e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.

HAI BISOGNO DI AIUTO?

Vuoi scrivere o rivedere la password policy della tua azienda senza far impazzire il team? Ti aiutiamo a impostare regole semplici e davvero sicure.

Richiedi Consulenza Scopri Cybersecurity
APPROFONDIMENTI E COPERTURA TERRITORIALE — SUPPORTO E ASSISTENZA LOCALE +

Servizi e Prodotti IT per PMI

Il supporto e l'assistenza locale di Digital Combines raggiungono tutte le PMI della provincia di Verona. Operiamo con tecnici certificati per assistenza remota e on-site, interventi di emergenza, manutenzione preventiva, consulenza IT e formazione.

I nostri servizi includono anche: Installazione server Linux/Windows, Virtualizzazione, Reti aziendali certificate Cisco, Centralini VoIP, Siti Web ottimizzati SEO, e l'esclusiva AI locale Dr. Watson. Forniamo supporto tecnico sistemistico on-site e da remoto, garantendo continuità operativa e costi certi.

Partner Tecnologici

Collaboriamo con i leader del settore: Microsoft (Azure, 365), Cisco, Bitdefender, Netgate (pfSense), OVH Cloud, Aruba Business, Cloudflare, Adobe, Winblu, Ubuntu, Debian, FreeBSD, Samsung Pay, Stripe, PayPal.

Copertura Territoriale: 98 Comuni della Provincia di Verona

Il nostro team opera capillarmente in tutto il territorio veronese, garantendo interventi rapidi nei seguenti comuni: Affi, Albaredo d'Adige, Angiari, Arcole, Badia Calavena, Bardolino, Belfiore, Bevilacqua, Bonavigo, Boschi Sant'Anna, Bosco Chiesanuova, Bovolone, Brentino Belluno, Brenzone sul Garda, Bussolengo, Buttapietra, Caldiero, Caprino Veronese, Casaleone, Castagnaro, Castel d'Azzano, Castelnuovo del Garda, Cavaion Veronese, Cazzano di Tramigna, Cerea, Cerro Veronese, Cologna Veneta, Colognola ai Colli, Concamarise, Costermano sul Garda, Dolcè, Erbè, Erbezzo, Ferrara di Monte Baldo, Fumane, Garda, Gazzo Veronese, Grezzana, Illasi, Isola della Scala, Isola Rizza, Lavagno, Lazise, Legnago, Malcesine, Marano di Valpolicella, Mezzane di Sotto, Minerbe, Montecchia di Crosara, Monteforte d'Alpone, Mozzecane, Negrar di Valpolicella, Nogara, Nogarole Rocca, Oppeano, Palù, Pastrengo, Pescantina, Peschiera del Garda, Povegliano Veronese, Pressana, Rivoli Veronese, Roncà, Ronco all'Adige, Roverchiara, Roveredo di Guà, Roverè Veronese, Salizzole, San Bonifacio, San Giovanni Ilarione, San Giovanni Lupatoto, San Martino Buon Albergo, San Mauro di Saline, San Pietro di Morubio, San Pietro in Cariano, San Zeno di Montagna, Sanguinetto, Sant'Ambrogio di Valpolicella, Sant'Anna d'Alfaedo, Selva di Progno, Soave, Sommacampagna, Sona, Sorgà, Terrazzo, Torri del Benaco, Tregnago, Trevenzuolo, Valeggio sul Mincio, Velo Veronese, Verona, Veronella, Vestenanova, Vigasio, Villa Bartolomea, Villafranca di Verona, Zevio, Zimella.