Zero Trust e dispositivi di stampa: proteggere l’anello debole della rete

da | Mag 25, 2026 | Condivisione, News

Le stampanti sono spesso le ultime ad essere aggiornate e le prime a essere compromesse. In un’architettura Zero Trust, nessun dispositivo — nemmeno quello nell’angolo dell’ufficio — merita fiducia implicita.

Il problema che tutti ignorano

Quando i team IT parlano di sicurezza aziendale, pensano a firewall, endpoint protection, Multi-Factor Authentication. Raramente pensano alla stampante multifunzione nel corridoio. Eppure, secondo le analisi più recenti sul settore, le vulnerabilità legate ai dispositivi di stampa sono tra le più sottovalutate nelle reti aziendali.

  • 68% delle aziende ha subito almeno un incidente legato alla stampa negli ultimi 12 mesi
  • 43% dei dispositivi MFP aziendali non riceve aggiornamenti firmware regolari
  • 1 su 4 stampanti di rete è accessibile senza autenticazione dall’interno della LAN

“Una stampante connessa alla rete è, a tutti gli effetti, un computer con un sistema operativo, un disco, una memoria e una connessione attiva. Trattarla diversamente è un errore di valutazione che gli attaccanti sfruttano sistematicamente.”

I principi Zero Trust applicati alla stampa

Il modello Zero Trust si fonda su un assunto semplice: non fidarsi di nessun dispositivo, utente o traffico per default — anche se si trovano già dentro la rete. Applicarlo ai dispositivi di stampa richiede di rivedere alcune abitudini profondamente radicate.

  • Autenticazione forte: Ogni richiesta di stampa deve essere associata a un’identità verificata. Niente stampa anonima, nemmeno dalla rete interna.
  • Micro-segmentazione: I dispositivi di stampa devono risiedere in segmenti di rete isolati, con accesso strettamente controllato tramite policy.
  • Monitoraggio continuo: Il traffico generato da stampanti e MFP deve essere visibile al SOC, come qualsiasi altro endpoint aziendale.
  • Least privilege: Limitare le funzionalità abilitate al minimo necessario: disabilitare protocolli non usati, porte aperte, servizi legacy.

Vettori di attacco più comuni

La superficie di attacco di una stampante moderna è più ampia di quanto sembri. Questi sono i punti di ingresso più sfruttati dagli attaccanti:

  • Firmware non aggiornato: vulnerabilità note nei sistemi operativi embedded restano esposte per mesi o anni.
  • Credenziali di default: interfacce web di gestione con username e password invariati rispetto alla configurazione di fabbrica.
  • Protocolli non cifrati: LPD, FTP, Telnet ancora attivi su dispositivi legacy permettono intercettazione e injection.
  • Hard disk interni: documenti sensibili memorizzati localmente sul dispositivo, senza cifratura né policy di cancellazione.
  • Pivoting di rete: la stampante usata come punto di accesso per muoversi lateralmente verso sistemi più critici.

Una checklist operativa

Implementare Zero Trust sui dispositivi di stampa non richiede una rivoluzione infrastrutturale. Questi passaggi concreti possono ridurre significativamente la superficie esposta:

  • Inventariare tutti i dispositivi di stampa connessi alla rete, inclusi quelli dimenticati in sale riunioni e filiali remote.
  • Attivare l’autenticazione utente obbligatoria (PIN, badge o certificato) prima del rilascio dei documenti.
  • Aggiornare il firmware di tutti i dispositivi e pianificare un ciclo di aggiornamento regolare.
  • Isolare i dispositivi di stampa in VLAN dedicate con regole di accesso esplicite.
  • Disabilitare protocolli non necessari e abilitare la cifratura TLS per tutte le comunicazioni.
  • Configurare la cancellazione automatica dei dati su disco e abilitare la cifratura dell’hard disk interno.
  • Integrare i log dei dispositivi di stampa nel SIEM (Security Information and Event Management) aziendale per rilevare anomalie di comportamento.

Il ruolo dei Managed Print Services

Per molte organizzazioni, delegare la gestione della flotta di stampa a un provider MPS (Managed Print Services) che includa la sicurezza nel contratto di servizio è la scelta più pragmatica. I fornitori più evoluti offrono oggi funzionalità di monitoraggio continuo, patch management automatico e reportistica di conformità integrata.

La valutazione di un fornitore MPS dovrebbe includere esplicitamente i requisiti di sicurezza: come vengono gestiti gli aggiornamenti firmware? Sono previsti audit periodici? Qual è il processo di incident response in caso di compromissione di un dispositivo?

In un’architettura Zero Trust matura, non esistono dispositivi “di serie B” che possono essere trattati con meno rigore degli altri. Le stampanti sono endpoint a tutti gli effetti: hanno un sistema operativo, comunicano sulla rete, memorizzano dati. Includerle nel perimetro della sicurezza non è un’opzione.

 

Fonti: Quocirca, IDC, EEA – Eurostat