Risk assessment: cos’è, come si fa, perché è fondamentale

Risk assessment: cos’è, come si fa perché è fondamentale per la sicurezza informatica delle PMI

Di : Manuele Bassanini 31 Gennaio 2026

Nel nostro blog mettiamo in primo piano la sicurezza informatica per le aziende, e tutti i temi collegati alla cyber security. Ecco perché è indispensabile ragionare anche in termini di risk assessment. Questo servizio è una priorità assoluta per le aziende, soprattutto per le PMI che spesso non dispongono di competenze interne dedicate.

Gli attacchi ransomware sono cresciuti in modo costante, le interruzioni operative hanno costi sempre più alti e le normative come GDPR e NIS2 richiedono livelli di protezione avanzati. Non lo diciamo noi ma le statistiche degli studi:

Il sondaggio del governo britannico sulle violazioni della cybersecurity 2025 (Cyber Security Breaches Survey 2025) ha inoltre rilevato che il 43% delle aziende britanniche ha subito una violazione o un attacco alla cybersecurity nell’ultimo anno.

In questo scenario, il risk assessment è una priorità assoluta per il board aziendale. Perché diventa lo strumento più efficace per capire quali rischi corre la tua azienda e quali misure servono per proteggerla. Non si tratta di un documento teorico, ma di un processo pratico che permette di mappare vulnerabilità, priorità e soluzioni concrete.

Indice dei contenuti

Cos’è il risk assessment: definizione semplice

Il lavoro di risk assessment è la valutazione svolta da esperti nel settore della sicurezza informatica per valutare e anticipare tutto ciò che può essere un rischio per l’ecosistema aziendale. Si va dal cyber attacco esterno all’errore umano, fino al banale guasto hardware che però può bloccare un’intera linea di produzione a causa di interruzioni dei servizi IT.

Per sintetizzare, possiamo dire che il risk assessment, nella sua pubblicazione finale, risponde in modo approfondito e dettagliato a tre domande fondamentali: quali asset sono critici per il business? Quali minacce potrebbero comprometterli? Qual è il livello di rischio che può investire l’azienda e come possiamo ridurlo?

Differenza tra risk management e assessment

Spesso questi concetti vengono presentati come sinonimi ma non è così. A differenza del risk management, che riguarda la gestione continua dei rischi a cui va incontro l’azienda valutandone anche la soluzione materiale, il risk assessment è la fase iniziale di analisi da cui parte ogni decisione strategica in ambito sicurezza.

Risk assessment tradizionale vs cyber risk assessment

È importante distinguere anche questi processi. Se il cyber risk assessment è la gestione continua dei pericoli che riguardano l’aspetto digitale e l’infrastruttura IT, quello tradizionale riguarda tutto ciò che tocca strutture fisiche, macchinari e processi operativi. Nello specifico, oggi il cyber risk assessment sposta l’attenzione sulle attività informatiche, sugli accessi digitali e sulla sicurezza dei dati. Includendo anche la valutazione di quanto siano sicuri i nostri fornitori digitali.

Il valore strategico del risk assessment in azienda

Le PMI italiane sono diventate una preda succulenta per i criminali informatici. Questo perché è probabile che riescano a violarla con un impegno medio basso: spesso meno protette delle grandi multinazionali. Certo, la posta in gioco è minore ma il lavoro risulta meno impegnativo.

Un attacco non bloccato, che riesce a fare breccia, non è solo un problema tecnico: diventa un colpo durissimo alla stabilità economica. Senza una protezione adeguata, un’azienda rischia di dover fermare la produzione per giorni, perdendo ordini e clienti, oltre a dover affrontare costi di ripristino che spesso superano di gran lunga il costo della prevenzione.

GDPR e NIS2: cosa chiedono al risk assessment

La pressione normativa è importante quando si affronta il tema della sicurezza digitale e informatica. Il GDPR esige l’adozione di misure tecniche e organizzative adeguate per ottenere diversi benefici. Ad esempio, specifica che ogni azienda sia in grado di dimostrare la propria accountability, ovvero di aver fatto tutto il possibile per proteggere i dati.

Il risk assessment è la prova tangibile di questo impegno. Ancora più stringente è la direttiva NIS2, che trasforma la valutazione dei rischi informatici in un vero obbligo di legge per molte realtà produttive e per i loro fornitori, perché esige dalle aziende dei settori critici e delle relative supply chain di analizzare e valutare i rischi ICT, garantire continuità operativa, proteggere le infrastrutture critiche e gestire la sicurezza della supply chain.

Il requisito per dimostrare e attivare tutti questi passaggi? L’adozione di un risk assessment non improvvisato, gestito attraverso l’esperienza e le competenze di un team specializzato in cyber security (come quello di IT Impresa).

Le 5 fasi del risk assessment aziendale

Un’azienda ha bisogno di un partner specializzato per portare a termine un percorso del genere, ma questo non vuol dire ignorare la base che ti permette di realizzare un programma di risk assessment. Programma che si basa su 5 punti essenziali. Vale a dire?

Identificazione degli asset critici

Prima di capire cosa proteggere, bisogna sapere cosa hai in azienda. Molte aziende non hanno una mappatura completa dei propri asset digitali critici: quegli elementi senza i quali l’azienda si ferma o subisce danni gravi.

Devi censire server e infrastrutture – Dove risiedono? Chi ha accesso? Sono ridondati? – ERP e software gestionali, dati dei clienti con anagrafiche, storico ordini, contratti. In più aggiungiamo credenziali amministrative, accessi privilegiati, account di servizio. E processi produttivi/logistici tipo sistemi SCADA, macchinari connessi, piattaforme di tracciabilità.

Un errore comune? Concentrarsi solo sull’IT e dimenticare gli asset ibridi: quel vecchio NAS in magazzino dove l’ufficio tecnico salva i progetti CAD, il PC dell’amministrazione con l’unica copia del file Excel dei fornitori, il backup su hard disk esterno che nessuno controlla da mesi. Tutti asset critici e potenziali punti di rottura.

Analisi delle minacce e delle vulnerabilità

Le minacce più probabili nascono da errori umani, configurazioni sbagliate e tecnologie obsolete. Il risk assessment si occupa di delineare, in base alle analisi precedenti, le vulnerabilità tipiche che riguardano alcuni aspetti ben noti:

Sistemi non aggiornati: server Windows 2012 ancora in produzione, Linux con kernel vecchio di anni, applicativi che girano su versioni non supportate.
Firewall obsoleto o mal configurato con regole PERMIT ANY ereditate da anni fa, firmware datato 2018, assenza di inspection del traffico cifrato.
Assenza di politiche backup: fai una copia dei file ogni notte? Bene ma non è una politica. Dove finiscono? Sono testati? Quanto serve per ripristinarli?
Credenziali deboli: combinazioni banali, stesso admin password su tutti i dispositivi, account condivisi tra più persone. Molte violazioni nascono così.
Scarsa formazione interna: dipendenti che cliccano su phishing, usano chiavette USB sconosciute, portano dati aziendali su Dropbox personale.
Configurazioni errate: permessi di rete troppo aperti, condivisioni accessibili senza autenticazione, servizi esposti su internet che dovrebbero stare in DMZ.

L’obiettivo non è fare un elenco infinito di possibili problemi, ma identificare le criticità reali. Un vulnerability scanner automatico può aiutare, ma serve anche l’occhio esperto di chi sa dove guardare.

Valutazione dell’impatto

Non tutti i rischi sono uguali. La valutazione dell’impatto serve proprio a questo: quantificare le conseguenze. Ogni minaccia va analizzata su quattro dimensioni di impatto:

Economico diretto: quanto costa il fermo? Considerate ricavi persi, costi di ripristino, eventuale riscatto (in caso ransomware), consulenze emergenziali.
Operativo: per quanto tempo l’azienda resta ferma o rallenta? Un’interruzione di 2 ore è ok. Una di 2 giorni manda in crisi l’organizzazione.
Reputazionale: difficile da quantificare, ma reale. Un data breach finisce sui giornali, i clienti perdono fiducia, i prospect scelgono concorrenti.
Legale e normativo: sanzioni GDPR fino al 4% del fatturato globale annuo, sanzioni NIS2 fino a 10 milioni di euro, responsabilità civile verso terzi

La valutazione dell’impatto dovrebbe produrre numeri concreti. Affidarsi a un’azienda professionale ti permette di avere una marcia in più anche su questo fronte. Che non è una banalità ma un contributo per la tua azienda.

Prioritizzazione dei rischi

Servono priorità chiare, basate su criteri oggettivi. Lo strumento principe è la matrice di rischio, che incrocia due variabili: probabilità – quanto è probabile che questa minaccia si concretizzi – e impatto. Ovvero, se si concretizza, quanto danno fa? Il risultato è una griglia che classifica i rischi in:

Critico (alta probabilità, alto impatto): intervento immediato, non procrastinabile. Esempio: server critico senza backup, esposto su internet.
Alto (alta probabilità, impatto medio, oppure media probabilità × alto impatto): da pianificare entro 1-3 mesi. Esempio: firewall obsoleto.
Medio: da gestire nell’arco dell’anno, budget permettendo. Esempio: workstation non aggiornate, formazione cybersecurity non fatta.
Basso: da monitorare, eventualmente da affrontare se restano risorse. Esempio: software marginale non più supportato ma usato raramente.

Questo approccio evita due errori classici: paralisi decisionale e spreco di risorse. Un partner IT serio ti presenta questa matrice con i dati reali, non una tabella generica copiata da un template.

Piano di mitigazione e monitoraggio continuo

Questa è la fase che trasforma l’analisi in azione. Un risk assessment senza piano di mitigazione è un esercizio inutile. Per ogni rischio prioritizzato, vanno definite contromisure concrete:

Aggiornamento infrastruttura: dismissione di sistemi obsoleti, patch management strutturato, upgrade a versioni supportate. Non serve cambiare tutto.
Firewall e sistemi avanzati di sicurezza: next-generation firewall con inspection del traffico cifrato, IDS/IPS, Web Application Firewall per servizi esposti online.
VPN e autenticazione a due fattori: accessi remoti protetti, autenticazione multifattore su tutti gli account privilegiati, gestione centralizzata delle identità.
Backup e disaster recovery: backup automatizzati, testati regolarmente, con copie off-site (meglio ancora immutabili/air-gapped per protezione da ransomware). Piano di disaster recovery documentato e verificato almeno una volta l’anno.
Monitoraggio continuo: SOC (anche in modalità as-a-service), SIEM per correlazione eventi, alerting su anomalie. La sicurezza è imprescindibile.
Formazione del personale: awareness su phishing, gestione password, uso corretto di dispositivi. La maggior parte degli incidenti ha una componente umana.

Ogni contromisura va corredata di: responsabile dell’implementazione, timeline realistica, costo stimato, KPI per misurare l’efficacia. Senza questi elementi, il piano resta sulla carta. E qui c’è il punto cruciale: il monitoraggio non finisce con l’implementazione.

Come fare risk assessment: checklist pratica

Se sei un imprenditore o un IT manager che vuole partire subito, ecco una checklist operativa per impostare un primo assessment interno. Non sostituisce un lavoro professionale, ma è un punto di partenza utile:

Identifica gli asset critici: fai un inventario completo. Server, software, dati, accessi. Usa Excel. Segnala per ogni nodo: dove si trova, chi lo gestisce, quanto è critico
Elenca le principali minacce: ransomware, phishing, guasti hardware, errori umani, fornitori compromessi. Sii concreto: quali minacce informatiche sono più probabili?
Valuta le vulnerabilità interne ed esterne: sistemi non aggiornati? Backup funzionanti? Firewall configurato? Password robuste? Fai un giro in azienda.
Stabilisci impatto e probabilità: per ogni combinazione asset/minaccia, chiediti: quanto è probabile? E se succede, quanto mi costa? Usa numeri, non aggettivi.
Definisci le priorità: crea la tua matrice di rischio. Anche fatta a mano va bene, purché ci siano criteri chiari. Focus sui rischi critici e alti, mi raccomando.
Crea un piano di mitigazione: per i primi 5-10 rischi più gravi devi chiederti cosa fare, quando, chi se ne occupa. Non serve un documento da 100 pagine.
Prevedi aggiornamento annuale: metti in agenda. Non improvvisare. E se cambia qualcosa di importante nell’infrastruttura, rifai l’assessment su quella parte.

Questa checklist non ti rende esperto di cyber security, ma è un punto di partenza: evita l’errore più grande ovvero ignorare il problema. E già questo è un passo avanti rispetto a molte PMI italiane. Poi, per il resto serve un contributo extra da parte di chi sa cosa fare.

Esempi e casi reali: risk assessment per PMI italiane

La teoria è una cosa, la pratica un’altra. Vediamo cosa emerge concretamente quando si fa un risk assessment in una PMI italiana tipica. E ti renderai conto che i problemi si ripetono con una regolarità impressionante.

Uno dei punti più comuni è quello dei server obsoleti. Ad esempio un Windows 2012 R2 (fuori supporto da ottobre 2023) che lavora ancora. Perché? “Ci gira sopra il gestionale e il fornitore dice che non è compatibile con versioni più recenti”. Oppure server Linux con kernel vecchi di 5-6 anni, mai aggiornati per paura di rompere qualcosa.

E poi c’è la tipica assenza del disaster recovery. La maggior parte delle PMI confonde backup con disaster recovery. Hanno i backup, ma non hanno un piano per ripristinare l’operatività in tempi accettabili. E poi c’è il backup non testato da 14 mesi: gira regolarmente, il log dice success, tutto sembra a posto. Poi arriva il ransomware, si va a ripristinare ma i file sono corrotti, il backup non include quel server critico, la procedura di restore non funziona.

Ancora un caso concreto: assenza di autenticazione multifattore. C’è solo una VPN aziendale accessibile da internet con solo username e password. Nessun secondo fattore.

Credenziali rubate o, peggio, indovinate con un attacco di brute force e l’attaccante è dentro la rete aziendale. E poi c’è il caso tipico dei dipendenti vulnerabili al phishing: la maglia più debole della catena. Email ben fatta che sembra arrivare dal CEO, dal commercialista, dalla banca: il dipendente clicca, inserisce credenziali o scarica l’allegato. Tutto crolla.

Un risk assessment serio non si limita a elencare i problemi. Propone soluzioni concrete, con costi, tempi e priorità chiare. Ecco gli interventi che vengono raccomandati:

Migrazione a firewall di nuova generazione.
Migrazione a infrastrutture.
Disaster recovery per ovviare al ransomware.
Implementazione backup con replica off-site.
Formazione anti-phishing.
Implementazione MDM per i dispositivi aziendali.

Risk assessment e servizi IT di un partner professionale

Quando si parla di risk assessment in ambito IT non bisogna ipotizzare dei percorsi autonomi, bisogna mettere da parte il fai da te e affidare tutto a un’azienda qualificata. Un partner dedicato a questo argomento non si limita a una visione superficiale dei sistemi: ha un approccio strutturato, ripetibile e soprattutto documentato che ti permette di lavorare sul risk assessment e su altre attività collegate che si effettuano dopo come il vulnerability assessment e il penetration test. Ecco qualche indicazione:

L’audit dell’infrastruttura IT è il punto di partenza ma non si tratta di un semplice inventario di hardware e software. Un audit ben confezionato mappa le dipendenze tra sistemi, identifica i single point of failure e scopre le carenze tra l’architettura attuale e le best practice del settore.
L’analisi delle vulnerabilità e i test di sicurezza vanno oltre il classico scan automatizzato. Gli strumenti automatici sono utili per identificare mancanze note e configurazioni insicure, ma un partner esperto integra test manuali, simulazioni di attacco (penetration test) e verifica delle policy di accesso.
La valutazione della conformità GDPR e NIS2 è diventata indispensabile, specie dopo l’entrata in vigore della direttiva NIS2. Qui non basta una checklist: serve un’analisi di processo che verifichi come vengono gestiti i dati personali e se l’azienda rientra nei settori critici.
Il piano di backup, disaster recovery e continuità operativa è dove puoi fare la differenza. Avere i backup è il minimo; sapere quanto tempo ci vuole per ripristinare ogni singolo sistema critico e quanti dati si possono permettere di perdere (rispettivamente RTO e RPO) è un altro discorso.
L’implementazione di firewall, VPN e sistemi antivirus avanzati deve essere contestualizzata al profilo di rischio. Non tutte le aziende hanno bisogno di una next-generation firewall da decine di migliaia di euro.
Il report dettagliato con priorità e roadmap è probabilmente l’elemento più sottovalutato. Un buon report non è un elenco di 300 vulnerabilità in ordine alfabetico che paralizza il management.

Il risultato di un approccio basato su questi punti? Decisioni basate su evidenze empiriche, non su opinioni o idee nate dal passaparola. Questo, in un mondo dove ogni giorno spunta una nuova minaccia informatica, è probabilmente l’investimento più sensato che un’azienda possa fare.

Risk assessment: come scegliere il partner IT giusto

Non tutti i fornitori IT sono uguali, e quando si tratta di risk assessment la differenza conta. Le competenze in cyber security sono il primo filtro. Certificazioni come ISO 27001, CISSP, CEH (Certified Ethical Hacker) o CISM dimostrano che il partner ha investito in formazione continua e segue standard riconosciuti.

Non basta avere un certificato, la capacità di offrire monitoraggio proattivo è ciò che separa un intervento superficiale da una vera gestione della sicurezza.

Il risk assessment fotografa la situazione attuale, ma i rischi evolvono continuamente. Un partner serio propone SOC (Security Operations Center) o servizi MDR (Managed Detection and Response) per tenere sotto controllo la situazione nel tempo, non solo quando qualcosa si rompe. E poi c’è l’esperienza con normative GDPR e NIS2 che va verificata sul campo. Ecco perché è meglio chiedere case study con esempi concreti di aziende seguite.

La compliance normativa non è una checklist da spuntare: è un processo che deve integrarsi con le procedure operative quotidiane. Un partner che propone soluzioni già pronte, molto probabilmente, non ha il polso della situazione. Trasparenza e report chiari sono un punto essenziale per gestire questo equilibrio ma troppi fornitori IT producono documenti incomprensibili pieni di tecnicismi per giustificare costi elevati.

Un’azienda specializzata in risk assessment spiega i rischi in termini di impatto sul business, mostra esattamente dove stai investendo e non nasconde le criticità dietro giri di parole, ma si concentra anche su un altro concetto: la sicurezza IT è un processo continuo. Ecco perché ti serve un partner che offra SLA chiari, canali di escalation definiti e aggiornamenti regolari sulle nuove minacce che potrebbero toccarti.

Un buon partner IT sa anche contestare l’azienda quando è necessario. Ad esempio se una spesa non è giustificata o quando la percezione del rischio è errata, sottostimata o esasperata. La vendita aggressiva e la sicurezza informatica seria raramente vanno d’accordo, ma lo stesso vale per la superficialità nell’ignorare determinati segnali.

Quanto costa un buon piano di risk assessment?

Non possiamo dare una definizione precisa di un lavoro così articolato e dipendente dalle caratteristiche della singola azienda. Però ci sono degli elementi che influenzano direttamente il prezzo del risk assessment.

Numero di server e dispositivi.
Complessità infrastrutturale.
Livello di profondità (base / avanzato).
Necessità di test di vulnerabilità.

Quello che è importante comprendere è che non si tratta di un costo, non deve essere visto come un investimento: il risk assessment è un valore. Certo, in un mondo perfetto non ci sarebbero i black hat hacker e quindi sarebbe superfluo parlare di questo argomento. Ma non è così. Quindi dobbiamo ragionare in termini virtuosi.

Domande frequenti sul risk assessment IT

Il risk assessment è obbligatorio per il GDPR?

Tecnicamente no, ma è una di quelle situazioni in cui la forma conta meno della sostanza. L’articolo 32 del GDPR richiede che le aziende implementino “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. In caso di violazione dei dati (data breach), il Garante Privacy ti chiederà di dimostrare che avevi fatto tutto il possibile per prevenirla. E senza un risk assessment documentato, questa dimostrazione diventa praticamente impossibile.

La NIS2 obbliga al risk assessment?

Sì. La direttiva NIS2, recepita in Italia e operativa dal 17 ottobre 2024, è esplicita. Le aziende che rientrano nei settori critici (energia, trasporti, sanità, infrastrutture digitali, settore bancario, tra gli altri) o importanti (servizi postali, gestione rifiuti, produzione di alimenti, provider digitali) devono implementare “misure di gestione dei rischi relativi alla cyber sicurezza”.

Ogni quanto va rifatto il risk assessment?

La risposta breve: almeno una volta all’anno ma dipende da quanto cambia velocemente l’ambiente IT. Un’azienda stabile, con infrastruttura consolidata e poche modifiche, può fare un assessment annuale completo e aggiornamenti trimestrali di verifica. Ma se stai migrando al cloud, implementando nuovi sistemi gestionali, aprendo sedi, assumendo dipendenti in smart working o cambiando fornitori critici, il risk assessment va rifatto immediatamente.

Serve competenza tecnica avanzata?

Un risk assessment professionale richiede competenze tecniche specifiche: capacità di fare vulnerability assessment, leggere log di sistema, valutare architetture di rete, interpretare configurazioni di firewall, comprendere normative sulla protezione dati, conoscere framework di sicurezza (NIST, ISO 27001, CIS Controls). Non sono skill che si improvvisano. Ecco perché affidarsi a un partner IT qualificato ha senso.

La sicurezza è un investimento strategico

Il risk assessment è lo strumento che ti permette di prendere il controllo reale della sicurezza informatica aziendale, prevenire interruzioni che costano migliaia di euro al giorno e proteggere gli asset digitali che fanno girare il tuo business.

L’equazione è cambiata: non avere una base di risk assessment significa accettare consapevolmente rischi evitabili. E quando qualcosa andrà storto, sarà difficile giustificare questa scelta al consiglio di amministrazione o, peggio ancora, al Garante Privacy piuttosto che l’Agenzia per la Cybersicurezza Nazionale (ACN) .

La domanda non è “posso permettermi un risk assessment?“

Ma piuttosto “posso permettermi di non farlo?“.

La risposta, nella maggior parte dei casi, è no.

Vuoi scoprire il livello reale di sicurezza della tua azienda? Contattaci per una consulenza professionale e lavoriamo insieme sulla creazione di un risk assessment completo: analisi dettagliata delle vulnerabilità, classificazione dei rischi per priorità e roadmap concreta di miglioramento. In modo da prendere decisioni informate sulla sicurezza dei tuoi sistemi.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Risk assessment: cos’è, come si fa perché è fondamentale per la sicurezza informatica delle PMI

Risk assessment: cos’è, come si fa perché è fondamentale per la sicurezza informatica delle PMI

Cos’è il risk assessment: definizione semplice

Differenza tra risk management e assessment

Risk assessment tradizionale vs cyber risk assessment

Il valore strategico del risk assessment in azienda

GDPR e NIS2: cosa chiedono al risk assessment

Le 5 fasi del risk assessment aziendale

Identificazione degli asset critici

Analisi delle minacce e delle vulnerabilità

Valutazione dell’impatto

Prioritizzazione dei rischi

Piano di mitigazione e monitoraggio continuo

Come fare risk assessment: checklist pratica

Esempi e casi reali: risk assessment per PMI italiane

Risk assessment e servizi IT di un partner professionale

Risk assessment: come scegliere il partner IT giusto

Quanto costa un buon piano di risk assessment?

Domande frequenti sul risk assessment IT

La sicurezza è un investimento strategico

Tags

Articoli

Parla con un Nostro Esperto

Siamo disponibili per ogni chiarimento e problema, non esitare a contattarci

Hanno scelto IT Impresa

Contatti e Indirizzi

Sedi

Restiamo in contatto

Categorie Blog

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.