EDR vs Antivirus: perché l’antivirus tradizionale
non basta più
Per anni, l’antivirus è stato considerato sufficiente per proteggere i computer aziendali. Installalo, aggiornalo, sei a posto.
Questo approccio oggi è pericolosamente inadeguato, e la Direttiva NIS2 lo rende anche un potenziale problema di conformità.
Come funziona l’antivirus tradizionale
L’antivirus classico lavora con un approccio basato su firme: un database di “impronte digitali” di malware conosciuti. Quando un file corrisponde a una firma nota, viene bloccato. Funziona contro minacce note, ma ha limiti strutturali.
Gli attacchi zero-day sfruttano vulnerabilità sconosciute per cui non esiste ancora una firma. Il malware polimorfico cambia firma a ogni infezione. Gli attacchi fileless operano interamente in memoria, dove l’antivirus non guarda. Le tecniche di living-off-the-land sfruttano strumenti legittimi del sistema operativo (PowerShell, WMI) rendendo impossibile distinguere attività malevola da legittima basandosi sulle firme.
Il risultato: un attaccante competente bypassa l’antivirus tradizionale in modo relativamente semplice. Gli attacchi ransomware più devastanti degli ultimi anni lo hanno dimostrato.
Cos’è l’EDR e come funziona
EDR sta per Endpoint Detection and Response. Non cerca firme: monitora continuamente il comportamento di ogni processo sull’endpoint.
L’EDR osserva cosa fanno i programmi, come interagiscono con il sistema e con la rete, e rileva quando un comportamento devia dalla normalità: un processo PowerShell che scarica codice da internet, un’applicazione legittima che si comporta in modo sospetto, escalation di privilegi non autorizzate, movimenti laterali nella rete.
Quando rileva un comportamento sospetto, l’EDR agisce automaticamente: isola l’endpoint dalla rete, blocca il processo, raccoglie evidenze forensi, allerta il team di sicurezza. Tutto in pochi secondi. Utilizza analisi comportamentale, machine learning e threat intelligence per rilevare minacce mai viste prima.
Cosa richiede la NIS2
L’Art. 21 richiede misure “adeguate e proporzionate”. Nel 2026, con attacchi che usano tecniche fileless e evasion sofisticate, un antivirus basato su firme non è ragionevolmente “adeguato” per un soggetto NIS2. La normativa richiede capacità di rilevamento avanzato, risposta rapida e gestione incidenti che solo l’EDR può fornire.
La NIS2 richiede anche notifica incidenti entro 24 ore: per notificare, devi prima rilevare — e l’EDR rileva ciò che l’antivirus non vede.
La scelta pratica
La soluzione ideale è un EDR gestito da un MSP specializzato. L’EDR richiede competenze specifiche per configurazione, interpretazione degli alert e risposta efficace. Un EDR installato e abbandonato non offre molto più di un antivirus. Un MSP con competenze di cybersecurity gestisce: monitoraggio centralizzato, tuning delle policy, risposta immediata, reporting per la conformità.


