Cos'è un SOC e perché serve a una PMI italiana
Un Security Operations Center (SOC) è l'organizzazione - umana, software o ibrida - che osserva continuamente la tua infrastruttura, riconosce gli eventi sospetti, decide se sono incidenti reali e li gestisce. Non è un prodotto: è un processo. Quando si parla di SOC as a Service Italia si intende l'esternalizzazione di questo processo a un fornitore esterno, perché la maggior parte delle PMI italiane non ha il budget per assumere tre analisti su tre turni 24/7.
Il problema reale che un SOC risolve non è “rilevare malware”. Quello lo fa un antivirus. Il SOC risolve un problema diverso: chiudere il gap fra l'evento e la decisione. Un firewall che logga 50.000 connessioni al giorno produce dati. Una macchina compromessa fa rumore: nuovi processi, connessioni in uscita verso IP mai visti, modifiche a file di sistema, login a orari strani. Tutto questo, da solo, è rumore. Il valore del SOC sta nel correlare quel rumore in tempo utile e dire: “questo è un attacco in corso, agisci adesso”.
Per una PMI italiana il caso d'uso tipico nel 2026 ruota attorno a tre minacce concrete:
- Ransomware via accesso compromesso: account VPN o RDP con password riusate, comprate sui marketplace del cybercrime. Il SOC deve accorgersi del login anomalo prima che parta la cifratura.
- Esposizione di server Linux mal configurati: SSH aperto, fail2ban assente, pacchetti non aggiornati. Il SOC deve notare il tentativo di brute force, il drift della baseline e il deploy di cryptominer.
- Compromissione della supply chain software: pacchetti npm/PyPI compromessi, container Docker con backdoor, dipendenze infette. Il SOC deve correlare l'esecuzione del binario con la sua provenienza.
A questi si aggiunge la pressione normativa. La direttiva NIS2, recepita in Italia dal D.Lgs. 138/2024, obbliga categorie sempre più ampie di aziende a notificare incidenti in 24-72 ore e a mantenere evidenze auditabili. Senza un SOC - interno o esterno - rispettare quei tempi è matematicamente impossibile.
Se hai più di 5 server in produzione, fatturato sopra il milione, dati personali di clienti o sei fornitore di un soggetto NIS2, il SOC non è opzionale. La domanda non è se averlo, ma quale modello scegliere.
SOC vs MSSP vs MDR vs SIEM: chiariamo i nomi
Il mercato usa questi acronimi in modo intercambiabile e questo confonde i decisori. Sono cose diverse, anche se si sovrappongono. Tabella di disambiguazione:
| Sigla | Cos'è | Cosa fa | Cosa NON fa |
|---|---|---|---|
| SIEM | Tecnologia (software) | Raccoglie e correla log da fonti eterogenee. Splunk, Elastic, Wazuh, Sentinel sono SIEM. | Non è un servizio. Senza qualcuno che scriva regole e legga gli alert non vale niente. |
| MSSP | Fornitore (servizio gestito) | Managed Security Service Provider: gestisce in outsourcing firewall, antivirus, patching, VPN. Spesso include anche un SOC. | Non è necessariamente specializzato in detection. Molti MSSP italiani fanno soprattutto hardening e operations. |
| MDR | Servizio specializzato | Managed Detection and Response: detection e risposta H24, di solito con EDR proprietario (CrowdStrike, SentinelOne, Sophos). | Non gestisce firewall, identity, configurazioni di sistema. È focalizzato sull'endpoint. |
| SOC | Organizzazione (persone + processi + tech) | L'orchestra che fa funzionare SIEM, EDR, threat intel e playbook H24. Può essere interno, esterno o ibrido. | Non è un prodotto che si compra. È una capacità operativa. |
In pratica: un SOC esterno è un MSSP che si specializza in detection e response, spesso con tecnologia MDR sopra un SIEM. Un SOC autonomo (categoria emergente) è un software che incorpora SIEM, EDR e logica decisionale in un unico agente, eliminando il bisogno di un team umano per la maggior parte degli incidenti Tier-1.
Quanto costa un SOC in Italia nel 2026
Le cifre in giro sul mercato italiano sono opache perché ogni fornitore costruisce il prezzo in modo diverso (per endpoint, per GB di log, per asset, per FTE dedicato). Sintetizzando i benchmark visti sul mercato e i listini pubblici dei vendor internazionali, oggi nel 2026 esistono tre fasce realistiche.
Fascia 1: Consulenza spot a progetto
Da 5.000 a 25.000 euro una tantum, talvolta con un canone di mantenimento da 200-500 euro al mese. È quello che fa la maggior parte dei system integrator italiani quando un cliente chiede “sicurezza”: un assessment, hardening, deploy di firewall e antivirus, qualche regola fail2ban e un report. Non è un SOC. È security operations point-in-time. Va bene per chiudere gap evidenti prima di una certificazione, ma non sostituisce il monitoraggio continuo.
Fascia 2: MSSP/MDR managed con team umano
Da 1.500 a 5.000 euro al mese per servizi base con team di analisti su SIEM proprietario, oltre 8.000 euro al mese per copertura H24 reale con threat hunting dedicato e ambienti OT. Sui marketplace MEPA italiani si vedono offerte SOC-as-a-Service da circa 50-150 euro al mese per utente o endpoint, ma il prezzo finale dipende molto da quante fonti di log si vogliono ingerire e da quanto custom è la configurazione.
I vendor enterprise hanno listini più aggressivi. CrowdStrike Falcon Complete (MDR gestito da analisti CrowdStrike) costa indicativamente 125 dollari per endpoint all'anno per volumi attorno ai 500 endpoint, ma per le PMI italiane il prezzo effettivo via partner sale spesso oltre i 200 dollari. I tier base (Falcon Go a circa 30 dollari/endpoint, Pro a 50, Enterprise a 92) sono solo software senza analisti. Microsoft Sentinel è pay-per-GB ingerito: nel 2026 va da 2,46 a 5,20 dollari per GB a seconda del commitment tier. Una PMI con 30-50 server e logging completo si trova facilmente sopra i 1.500-3.000 euro al mese di sola licenza Sentinel, prima ancora di parlare di analisti umani.
Fascia 3: SOC autonomo software-first (es. Fenrir)
Da poche centinaia di euro al mese a seconda del numero di server. Il modello è completamente diverso: invece di pagare un team umano che guarda dashboard, paghi una licenza software che incorpora detection, investigazione AI e playbook di risposta. La differenza di prezzo non riflette meno valore - riflette l'eliminazione del costo del lavoro umano per gli incidenti routinari (che sono il 90%).
Tutti i preventivi enterprise sottostimano tre voci: onboarding (4-12 settimane di deployment, integrazione log, fine-tuning regole - spesso 10-30k una tantum non incluse nel canone), fine-tuning continuo (le regole vanno riviste ogni trimestre o saturano i falsi positivi), escalation (per incidenti seri molti contratti prevedono ore di incident response a parte, 200-400 euro/h). Chiedi sempre il TCO triennale, non il canone mensile.
Una PMI italiana di 50 dipendenti con 20 server Linux e 30 endpoint deve aspettarsi, sul triennio:
- MSSP italiano managed: 54.000 - 180.000 euro (canone + onboarding + escalation)
- CrowdStrike Falcon Complete via partner: 30.000 - 60.000 euro (solo endpoint, server Linux non sempre coperti decentemente)
- Microsoft Sentinel + analista MSSP: 60.000 - 120.000 euro (varia molto col volume di log)
- Fenrir SOC autonomo: frazione delle cifre sopra, con copertura automatica del Tier-1
5 criteri per scegliere il tuo SOC
Quando valuti un fornitore di SOC managed Italia, dimentica le brochure. Vai a fondo su questi cinque criteri.
1. Sovranità dati (dove finiscono i log)
Domanda diretta: “Dove vengono inviati e conservati i log della mia infrastruttura?”. Se la risposta è “cloud Azure/AWS regione EU”, ricordati che il CLOUD Act statunitense autorizza autorità USA ad accedervi indipendentemente dalla localizzazione fisica. Per soggetti NIS2, fornitori PA o aziende con dati ex-Art. 9 GDPR, questo è un problema contrattuale e di compliance. Un SOC italiano sovrano conserva i log in Italia o, meglio ancora, on-premise sul tuo perimetro.
2. Copertura tecnica reale
Molti MSSP hanno EDR ottimi su Windows endpoint e copertura modesta o terribile su server Linux, macOS, container Kubernetes e workload OT. Chiedi specificatamente quali agenti supportano, quali distribuzioni Linux (Ubuntu LTS? Red Hat 9? Debian 12? SUSE?), come gestiscono server senza GUI, come monitorano i container. Se i tuoi server sono prevalentemente Linux, un MDR endpoint-centric Windows-first non è la risposta.
3. Qualità del Tier-1
Il Tier-1 è il primo livello di triage: capisce se un alert è falso positivo o vero incidente. Nei SOC umani spesso è il livello più debole (turnover alto, junior, processi rigidi). Risultato: alert ignorati, falsi positivi gestiti come incidenti veri, escalation non fatte. Chiedi al fornitore qual è il loro tasso di falsi positivi medio, il tempo medio di risposta al primo alert serio, e quante ore di formazione ricevono i Tier-1 ogni anno. Se non hanno numeri, hai la risposta.
4. Evidenze pronte per audit
NIS2, GDPR, ISO 27001, DORA: tutti chiedono evidenze auditabili. Un SOC che non genera automaticamente log immutabili, registro accessi privilegiati, classificazione asset, report incidenti timestamp-firmati ti scarica addosso il lavoro di compliance. Domanda diretta: “Quali report sono pronti out-of-the-box per il mio DPO e per ACN?”.
5. Integrazione con lo stack esistente
Hai già un firewall pfSense, un Active Directory, un Microsoft 365, un cluster Proxmox? Il SOC deve saperli leggere senza progetti custom da 30k euro. Diffida di chi ti chiede di sostituire mezza infrastruttura per “essere visibili”: spesso significa che la loro pipeline ingerisce solo formati proprietari.
On-premise vs cloud: cosa scegliere in Italia
Negli ultimi cinque anni la moda ha spinto tutto verso il cloud SaaS. Per la sicurezza, in Italia, il bilancio è più sfumato. Vediamo i tre vincoli concreti.
GDPR e Art. 32 (sicurezza del trattamento)
Inviare log che contengono dati personali (anche solo username e IP) a un fornitore di SOC implica un trasferimento di dati personali sotto Art. 28 GDPR. Se il fornitore è sotto giurisdizione USA, serve una valutazione di trasferimento (Transfer Impact Assessment) post-Schrems II. Molte PMI italiane non lo fanno e si espongono a sanzioni del Garante.
NIS2 e ACN
ACN ha pubblicato linee guida sulla sovranità tecnologica per i soggetti del perimetro nazionale. Per i fornitori della PA il cloud non qualificato ACN non è ammesso per dati ordinari e critici. Un SOC che spedisce log a un cloud non qualificato di fatto preclude alcune gare pubbliche.
Lock-in vendor
Una volta che il SIEM cloud ha tre anni di log dentro, migrare costa molto. Microsoft Sentinel, ad esempio, espone gli storici via KQL: spostarli su un altro motore richiede ETL non banali. L'on-premise - su un tuo storage, in un tuo formato standard (JSON Lines, Parquet) - mantiene la portabilità.
Il quadro pratico: cloud SaaS va bene per startup non regolate o aziende già all-in su Microsoft/Google. On-premise sovrano è la scelta di default per PMI italiane regolamentate, fornitori della PA, sanità, finanza, manifatturiero strategico, e per chi non vuole legare la propria continuità operativa di sicurezza a fornitori extra-europei.
Quando il SOC autonomo (AI) è l'opzione giusta
Negli ultimi due anni è emersa una categoria di prodotti - di cui Fenrir fa parte - che usa LLM e logica decisionale per coprire il Tier-1 e parte del Tier-2 senza bisogno di un team umano dedicato. Non è magia né sostituzione totale. È una redistribuzione del lavoro.
Quando il SOC AI è sufficiente:
- PMI da 10 a 200 dipendenti, infrastruttura prevalentemente Linux server e workstation macOS/Windows, qualche servizio cloud (Microsoft 365, qualche istanza AWS/Hetzner).
- Threat model standard: ransomware, brute force, credential stuffing, exposure di servizi mal configurati, vulnerabilità pubbliche su software open source.
- Necessità di evidenze NIS2/GDPR/ISO 27001 generate automaticamente.
- Requisito di sovranità dati (on-premise o data center IT/EU).
- Budget realistico (canoni a tre cifre/mese, non a cinque).
Quando serve ancora un MSSP umano:
- Organizzazioni grandi (sopra 500 dipendenti) con superficie d'attacco eterogenea, applicazioni custom critiche, integrazioni B2B complesse.
- Settori regolati con threat actor avanzati: finanza, energia, difesa, sanità di alto livello. Qui serve threat hunting su misura e forensics legale.
- Ambienti OT/ICS (manifatturiero, utilities) dove i protocolli industriali (Modbus, S7, OPC-UA) richiedono visibilità specifica.
- Richieste contrattuali di un SOC con persone identificabili e responsabili nominati (alcune gare pubbliche o cyber insurance lo richiedono).
Modello ibrido: in molti casi reali la scelta migliore è mettere un SOC autonomo come Fenrir come prima linea sui server e tenere un MSSP umano come backstop su retainer per gli incidenti seri. I costi totali scendono e la copertura aumenta.
Pronto a vedere Fenrir SOC al lavoro?
15 minuti di demo, sul tuo caso reale. Niente form lunghi.
Richiedi una demo →Confronto: Fenrir vs Wazuh, CrowdStrike, Sentinel, MSSP italiani
Confronto onesto, anche con i punti deboli di Fenrir. La tabella riassume i criteri più rilevanti per una PMI italiana nel 2026.
| Criterio | Fenrir | Wazuh (open source) | CrowdStrike Falcon Complete | Microsoft Sentinel | MSSP italiano tipico |
|---|---|---|---|---|---|
| Modello | SOC autonomo software | SIEM open source self-managed | EDR + MDR analisti H24 | SIEM cloud Azure | SOC umano managed |
| Costo entry (PMI 20 server) | Centinaia €/mese | 0 (lic.) + tempo interno | ~3-5k €/mese | 1.5-3k €/mese (solo licenza) | 2-5k €/mese |
| Tempo di deploy | 15 min/server | Settimane (cluster + tuning) | 2-4 settimane | 2-6 settimane | 4-12 settimane |
| Copertura Linux server | Nativa, prima classe | Buona | Discreta, focalizzata Windows | Via agent terzi | Variabile |
| Sovranità dati | On-premise sovrano | Self-hosted (a tua scelta) | Cloud USA (Cloud Act) | Cloud Azure (Cloud Act) | Dipende dal fornitore |
| Evidenze NIS2/GDPR pronte | Automatiche | Da costruire a mano | Report generici | Workbook custom | Variabile, spesso PDF |
| Tier-1 automatizzato | Sì (LLM + playbook) | No | Analisti umani 24/7 | No (richiede MSSP) | Analisti umani |
| Threat hunting su misura | Limitato (in roadmap) | Solo se hai analisti interni | Sì, di alto livello | Solo via MSSP | Variabile |
| Forensics legale per tribunale | No (servono partner) | No | Sì | Parziale | Sì (i seri) |
| Lock-in | Basso (log in formato standard) | Nessuno | Alto | Alto | Medio |
| Adatto a OT/ICS | No | Con add-on | Limitato | Con connector | Solo MSSP specializzati |
Le aree dove Fenrir non è la risposta giusta
Per onestà intellettuale, ecco quando Fenrir non va bene:
- Ambienti OT/ICS: protocolli industriali e PLC richiedono sensori specializzati che Fenrir oggi non implementa.
- Forensics legale: per incidenti che finiranno in tribunale serve catena di custodia certificata e analisti qualificati come CTU. Fenrir genera evidenze auditabili ma non sostituisce un perito.
- Threat hunting su minacce nation-state mirate: organizzazioni nel mirino di APT sponsorizzati hanno bisogno di analisti senior con threat intelligence proprietaria. Quel mercato appartiene a CrowdStrike, Mandiant, Trellix.
- Workload Windows pesanti: Fenrir è nato Linux/macOS-first. Su workstation Windows un EDR endpoint dedicato resta complementare.
Per il resto - cioè per la stragrande maggioranza delle PMI italiane regolate da NIS2 con server Linux esposti - Fenrir copre il caso d'uso meglio e a meno costo delle alternative.
Come iniziare: deployment di Fenrir SOC in 15 minuti
Il modello operativo di Fenrir è pensato per essere installato senza progetto di consulenza. Riassunto della procedura, valida per Ubuntu/Debian/Red Hat/SUSE/macOS:
- Provisioning agent: uno script di installazione singolo, eseguito come root o via Ansible. L'agente parte come servizio systemd e si registra al control plane locale (su un tuo server, non in cloud).
- Baseline iniziale: nei primi 30 minuti l'agente costruisce la baseline del sistema: processi attivi, porte in ascolto, utenti, pacchetti installati, configurazioni SSH/sudoers/cron.
- Detection live: dal primo minuto sono attive le regole di default su brute force SSH, drift della baseline, processi anomali, vulnerabilità CVE pubbliche, modifiche a file sensibili.
- Investigazione AI: ogni alert serio attiva un'investigazione automatica che correla eventi su più macchine, valuta impatto e suggerisce remediation. Per il dettaglio tecnico vedi la documentazione AI investigations.
- Report compliance: a partire dal secondo giorno sono disponibili report NIS2/GDPR/ISO 27001 generati automaticamente, esportabili in PDF firmato.
Tutta l'architettura è documentata pubblicamente: leggi l'architettura, la guida di installazione e il threat model per capire cosa Fenrir vede e cosa no. La trasparenza è un design goal, non un claim di marketing.
Per il pricing concreto sul tuo numero di server, la pagina prezzi riassume le fasce, ma la cifra esatta esce in 5 minuti di chiamata. Le FAQ in homepage coprono i dubbi più ricorrenti sulla parte commerciale.
Domande frequenti
Quanto costa un SOC as a Service in Italia per una PMI nel 2026?
Le fasce realistiche sul mercato italiano nel 2026 sono tre: consulenza spot a progetto da 5.000 a 25.000 euro una tantum, MSSP managed con copertura H24 da 1.500 a 5.000 euro al mese per servizi base (oltre 8.000 al mese se serve OT o threat hunting dedicato), SOC autonomo basato su software (es. Fenrir) con licenze da poche centinaia di euro al mese a seconda del numero di server. La differenza non è solo di prezzo ma di modello operativo.
Qual è la differenza tra SOC, MSSP, MDR e SIEM?
Il SIEM è la tecnologia che raccoglie e correla i log. L'MSSP è il fornitore che gestisce in outsourcing servizi di sicurezza, spesso includendo firewall, antivirus e patching, ma con SLA generici. L'MDR è un servizio focalizzato sulla detection e response, di solito con tecnologia EDR proprietaria. Il SOC è l'organizzazione (interna o esterna) che fa funzionare tutto questo H24. In pratica, un SOC esterno è un MSSP specializzato in security monitoring.
Un SOC autonomo basato su AI può davvero sostituire un MSSP umano?
Per il 90% delle PMI italiane (10-200 dipendenti, infrastruttura prevalentemente Linux/macOS server, niente OT critico) un SOC autonomo come Fenrir copre Tier-1 e parte del Tier-2: detection, triage, investigazione automatica e risposta a basso rischio. Per organizzazioni con threat model complesso, ambienti OT/ICS, requisiti di forensics o threat hunting su misura, un MSSP umano resta necessario o complementare.
Cosa significa SOC sovrano e perché conta in Italia?
SOC sovrano significa che dati, log e telemetria non lasciano la giurisdizione italiana o europea. Per le PMI soggette a NIS2, GDPR o DORA, e per i fornitori della PA inseriti nei perimetri ACN, questo non è un dettaglio: è una condizione contrattuale e normativa. Soluzioni che inviano i log a cloud statunitensi (anche se con datacenter in UE) ricadono sotto Cloud Act ed espongono a rischi di accesso governativo extra-europeo.
In quanto tempo si può attivare un SOC per una PMI?
Dipende dal modello. Un MSSP tradizionale richiede tipicamente 4-12 settimane di onboarding (assessment, deployment agent, fine-tuning regole, runbook). Un SOC autonomo come Fenrir si installa in 15 minuti per server con uno script, ed è operativo con baseline sensata fin dal primo giorno; il fine-tuning continua poi automaticamente.