"La password deve avere almeno 12 caratteri, una maiuscola, un numero, un simbolo, e va cambiata ogni 30 giorni." Risultato: sul monitor di mezzo ufficio compare un post-it con scritto Password2026!, e il mese dopo Password2026!!. La policy c'è, sulla carta è "sicura", ma nella pratica ha reso l'azienda più vulnerabile di prima.
È un problema che vediamo spesso quando entriamo in una PMI per la prima volta: la password policy esiste, magari è anche scritta in un documento firmato da tutti, ma nessuno la rispetta davvero perché è stata pensata per un audit, non per le persone che devono usarla ogni giorno. Vediamo come scriverne una che funzioni davvero.
PERCHÉ LE POLICY "ALLA VECCHIA MANIERA" NON FUNZIONANO
Per anni la ricetta standard è stata: password lunga, complessa, cambiata spesso. Sembra logico, ma nella pratica quotidiana produce effetti opposti a quelli desiderati. Quando una persona deve ricordare una password diversa, complicata, per ogni sistema aziendale (gestionale, email, VPN, portale fornitori) e deve cambiarla ogni mese, il cervello cerca la scorciatoia più semplice: pattern prevedibili, incrementi numerici, oppure la scrive da qualche parte visibile.
Il risultato è un paradosso ben noto a chi si occupa di sicurezza informatica: più una policy è rigida sulla carta, più spesso viene aggirata nella realtà. E una regola aggirata non protegge nessuno, anzi introduce un rischio nuovo (il post-it, il file Excel condiviso, la password comunicata a voce).
Attenzione: obbligare a cambiare la password ogni 30-60 giorni senza un motivo specifico (es. un sospetto di compromissione) è oggi considerato controproducente dalle principali linee guida internazionali, incluse quelle del NIST statunitense. Spinge le persone a scegliere varianti minime e prevedibili della password precedente, non password realmente nuove.
COSA DICONO OGGI LE LINEE GUIDA
L'approccio moderno alla gestione delle password aziendali si è spostato da "regole complicate imposte dall'alto" a "regole semplici, poche, ma efficaci". I punti chiave su cui converge oggi la maggior parte delle linee guida di settore sono:
- La lunghezza conta più della complessità. Una frase lunga e facile da ricordare è più sicura di una sequenza corta piena di simboli difficili da digitare e da memorizzare.
- Niente scadenza forzata senza motivo. Cambiare password su base periodica "perché sì" non aumenta la sicurezza reale; ha senso farlo solo in caso di sospetto accesso non autorizzato.
- Vietare le password troppo comuni o già compromesse, confrontandole con liste note di credenziali trapelate in violazioni pubbliche.
- Un secondo fattore di autenticazione (MFA) è oggi considerato più importante della complessità della password stessa: anche una password rubata diventa quasi inutile per un attaccante se manca il secondo fattore.
- Una password, un solo utilizzo. Riutilizzare la stessa password su più servizi (aziendali e personali) è uno dei rischi più sottovalutati: se un servizio terzo subisce una violazione, la stessa credenziale può essere provata su email e gestionali aziendali.
I TRE PILASTRI DI UNA POLICY CHE LE PERSONE RISPETTANO DAVVERO
Invece di elencare decine di regole, conviene costruire la policy attorno a tre elementi semplici da spiegare e da controllare:
Su questi tre punti si costruisce una strategia di accesso completa, che va oltre la singola password: è il principio alla base di un approccio Zero Trust, dove ogni accesso viene verificato indipendentemente dalla "fiducia" implicita data alla rete interna. Il nostro servizio di cybersecurity parte esattamente da qui: mappare chi accede a cosa, con quali credenziali, e chiudere le falle più comuni prima che diventino un incidente.
VECCHIO APPROCCIO VS NUOVO APPROCCIO
Ecco un confronto sintetico tra la policy "tradizionale" e quella oggi consigliata per una PMI:
| Aspetto | Approccio Tradizionale | Approccio Consigliato Oggi |
|---|---|---|
| Lunghezza minima | 8 caratteri | 12-14 caratteri (o passphrase) |
| Complessità | Maiuscola + numero + simbolo obbligatori | Facoltativa se la lunghezza è sufficiente |
| Scadenza | Cambio forzato ogni 30-90 giorni | Cambio solo in caso di sospetta compromissione |
| Controllo password deboli | Assente | Blocco password comuni/già compromesse |
| Secondo fattore | Raramente richiesto | Obbligatorio su servizi critici |
| Strumento di supporto | Nessuno (memoria o foglio Excel) | Password manager aziendale condiviso |
GLI ERRORI PIÙ COMUNI QUANDO SI SCRIVE UNA POLICY
Errore 1: Copiare una policy trovata online
Ogni azienda ha sistemi e abitudini diverse. Una policy generica scaricata da internet spesso non tiene conto degli strumenti realmente usati (gestionale, VPN, cloud) e finisce per essere ignorata perché "non calza".
Soluzione: parti da un elenco reale dei sistemi aziendali e scrivi regole pensate su quelli, non regole astratte.
Errore 2: Nessuna distinzione tra account critici e account secondari
Non tutti gli accessi hanno lo stesso peso: la casella email amministrativa o l'accesso al gestionale contabile non sono equiparabili all'account di un software di prenotazione sala riunioni.
Soluzione: applica regole più stringenti (MFA obbligatorio, controlli più frequenti) sugli accessi critici, e regole più leggere altrove.
Errore 3: Password condivise "per comodità"
L'account social aziendale, la stampante di rete, il gestionale usato da più persone: spesso la stessa password gira tra colleghi via chat o messaggio vocale. Se qualcuno lascia l'azienda, quella password resta valida per mesi, se non per anni.
Soluzione: usa account nominali dove possibile, e per gli account condivisi realmente necessari affidati a un gestore password aziendale con controllo degli accessi. La stessa logica va applicata quando un dipendente lascia l'azienda: la revoca puntuale di tutte le credenziali dovrebbe far parte di una procedura di offboarding strutturata.
Errore 4: Nessuna formazione, solo un documento da firmare
Far firmare un regolamento non significa che le persone lo capiscano o lo applichino. Se nessuno spiega perché certe regole esistono, la policy resta lettera morta.
Soluzione: dedica anche solo 20-30 minuti a spiegare al team perché una password lunga batte una complessa, come funziona il gestore password, e cosa fare in caso di sospetto furto di credenziali (es. dopo aver ricevuto un tentativo di phishing).
Pro tip: premia la trasparenza, non punire l'errore. Se un dipendente clicca su un link sospetto o sospetta che la propria password sia stata vista da qualcuno, deve sentirsi libero di segnalarlo subito, senza paura di essere ripreso. Una segnalazione tempestiva permette di disattivare l'account in pochi minuti, invece di scoprire il problema settimane dopo.
CHECKLIST: LA TUA POLICY PASSWORD È SCRITTA BENE?
Prima di considerarla completa, verifica questi punti:
- ☐ La lunghezza minima richiesta è di almeno 12 caratteri?
- ☐ Hai eliminato l'obbligo di cambio periodico "senza motivo"?
- ☐ L'MFA è attivo su email, VPN e gestionali critici?
- ☐ Esiste un elenco chiaro di quali account sono "critici" e richiedono controlli più stretti?
- ☐ Il team ha accesso a un gestore password aziendale condiviso?
- ☐ Esiste una procedura scritta per revocare gli accessi quando qualcuno lascia l'azienda?
- ☐ Le persone sanno a chi rivolgersi in caso di sospetto furto di credenziali?
- ☐ La policy è stata spiegata a voce, non solo fatta firmare su carta?
Se hai risposto "no" a più di due domande, probabilmente la policy attuale esiste più per adempimento formale che per protezione reale.
DA DOVE PARTIRE SE NON HAI ANCORA UNA POLICY
Se in azienda non esiste ancora nulla di scritto, non serve iniziare da un documento di venti pagine. Bastano poche regole chiare, un gestore password condiviso e l'attivazione dell'MFA sui sistemi principali per alzare in modo concreto il livello di sicurezza, senza stravolgere le abitudini di lavoro del team dall'oggi al domani.
Da lì si può poi ampliare la policy, integrandola con il resto della strategia di sicurezza aziendale: controllo degli accessi di rete, monitoraggio dei tentativi di accesso sospetti, e procedure chiare per onboarding e offboarding dei dipendenti.
In sintesi: una password policy efficace non è quella con più regole, ma quella che le persone rispettano senza doverla aggirare. Punta su password lunghe invece che complicate, elimina il cambio forzato senza motivo, attiva l'MFA ovunque possibile e affidati a un gestore password condiviso: sono quattro mosse semplici che riducono davvero il rischio.
Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Sommacampagna, Sona, Garda, Vigasio, Cerea e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.