Il firewall tradizionale è davvero al tramonto? Cosa dice Moody’s
Per trent’anni le reti aziendali hanno funzionato come un castello medievale: un perimetro fortificato con pochi punti di ingresso controllati. Tutto il traffico passava attraverso un firewall centrale che ispezionava ogni pacchetto. L’accesso interno era considerato affidabile, quello esterno no. Questo modello ha protetto le infrastrutture IT di mezzo mondo, ma oggi sta mostrando tutti i suoi limiti. La diffusione del cloud, del lavoro ibrido e delle applicazioni SaaS ha frantumato il concetto stesso di perimetro aziendale. Moody’s Ratings ha messo nero su bianco una previsione che molti addetti ai lavori attendevano: la fine del firewall tradizionale come elemento centrale della sicurezza IT. Per le PMI italiane che hanno costruito le proprie difese attorno a dispositivi perimetrali, è il momento di comprendere cosa sta cambiando e come prepararsi alla transizione verso architetture più moderne.
Perché il modello perimetrale non regge più
Quando i dipendenti accedono a Salesforce da un bar, caricano codice su GitHub da casa e fanno videochiamate su Teams da hotspot 5G nello stesso giorno, il modello perimetrale tradizionale si rompe. Il firewall vede solo il traffico che attraversa il datacenter aziendale, ma la maggior parte dei flussi non passa più da lì. Un’azienda di tipo enterprise gestisce in media oltre duecento applicazioni SaaS, mentre gran parte della forza lavoro opera in modalità ibrida o completamente da remoto. Il problema è architetturale, non tecnico: il firewall implementa un modello di fiducia binario dove il dentro è considerato fidato e il fuori no. Oggi il dentro include laptop personali connessi da Wi-Fi pubblici e dispositivi non aggiornati, moltiplicando la superficie di attacco. A questo si aggiunge un elemento nuovo e dirompente: Moody’s avverte che il malware generato con intelligenza artificiale sarà capace di modificare autonomamente il proprio codice in tempo reale per eludere il rilevamento, rendendo le difese statiche obsolete. I firewall tradizionali operano con regole statiche aggiornate manualmente o tramite feed di threat intelligence, arrivando sempre in ritardo contro avversari adattivi.
SASE e Zero Trust: l’architettura che sostituisce il firewall
Secure Access Service Edge rappresenta la convergenza di networking e sicurezza in un framework cloud-delivered. Gartner prevede che entro il 2026 la maggioranza dei nuovi acquisti di SD-WAN farà parte di offerte SASE. Il modello integra cinque componenti principali. Lo Zero Trust Network Access fornisce accesso least-privileged alle applicazioni specifiche senza esporre l’intera rete: ogni richiesta viene verificata in base a identità, postura del dispositivo e contesto. Il Secure Web Gateway controlla il traffico web e blocca siti malevoli. Il Cloud Access Security Broker protegge l’utilizzo di applicazioni SaaS monitorando accessi e applicando policy di data loss prevention. Il Firewall-as-a-Service porta le funzionalità del firewall nel cloud con scaling automatico. Il Data Loss Prevention monitora i dati in movimento identificando informazioni sensibili. Il cambio di paradigma è radicale: da device-centric a identity-centric, da location-based a policy-driven, da fiducia perimetrale a verifica continua. Nessuna entità, che sia un utente, un dispositivo o un’applicazione, è implicitamente fidata.
Implicazioni per le PMI italiane: NIS2, assicurazioni e costi reali
Per i CISO italiani ed europei, la predizione di Moody’s arriva in un momento di convergenza regolamentare e di mercato. La direttiva NIS2 richiede gestione esplicita del rischio supply chain e tempistiche stringenti di notifica incidenti, con sanzioni fino a dieci milioni di euro o al due percento del fatturato mondiale. SASE, con il suo modello identity-centric e cloud-delivered, fornisce nativamente la visibilità che NIS2 richiede: ogni connessione è loggata, ogni accesso associato a un’identità verificata, ogni anomalia rilevabile in tempo reale. Sul fronte assicurativo, le compagnie di cyber insurance hanno inasprito i requisiti richiedendo prove di controlli zero trust, backup immutabili e autenticazione resistente al phishing. Alcune polizze escludono la copertura per ransomware se l’azienda non dimostra controlli adeguati. Dal punto di vista del budget, le architetture tradizionali richiedono hardware firewall, VPN concentrators, proxy, molteplici soluzioni puntuali, personale specializzato e upgrade hardware ogni tre-cinque anni. SASE opera con subscription cloud-based, scaling automatico e gestione centralizzata. Le aziende che hanno già completato la transizione riportano riduzioni operative del trenta-quaranta percento sui costi di networking e security.
Punti chiave per le PMI
- Il firewall tradizionale non è più sufficiente come difesa primaria in ambienti cloud e ibridi: la superficie di attacco si è estesa ben oltre il perimetro aziendale
- SASE e Zero Trust rappresentano un’evoluzione architetturale necessaria, non una moda tecnologica: integrano networking e sicurezza in un unico framework cloud-delivered
- La direttiva NIS2 richiede visibilità e controllo che le architetture perimetrali tradizionali faticano a garantire, rendendo la transizione anche un obbligo di conformità
- La transizione può essere graduale, partendo da un pilot ZTNA per utenti remoti e progredendo verso il decommission dei dispositivi legacy in dodici-diciotto mesi
- Il costo totale di proprietà di SASE risulta spesso inferiore alle architetture tradizionali grazie all’eliminazione di hardware dedicato, manutenzione e aggiornamenti periodici
Verso una sicurezza identity-centric
La transizione dal firewall tradizionale a SASE non è un salto nel vuoto ma un percorso strutturato che parte dall’assessment delle applicazioni e dei flussi di dati per arrivare al decommission progressivo delle infrastrutture legacy. Per le PMI italiane il timing è favorevole: i costi delle soluzioni SASE si sono abbassati, la conformità NIS2 spinge nella stessa direzione e il mercato assicurativo premia chi adotta controlli zero trust. Chi inizia la transizione oggi sarà pronto per le minacce di domani. 10punto10 accompagna le imprese italiane in questo percorso, dall’assessment iniziale fino alla piena operatività di architetture zero trust cloud-delivered.