Computer portatili aziendali, smartphone personali con la posta del lavoro, freelance che si collegano al CRM dal proprio iPad, commerciali in trasferta con i dati dei clienti in tasca… La realtà di oggi è che i dati della tua azienda circolano in molti più posti di quanti il team IT riesca davvero a tenere sotto controllo. E basta un dispositivo smarrito, un’uscita gestita male o un accesso che ci si è dimenticati di revocare per trasformarsi in una fuga di dati prima ancora che l’IT abbia il tempo di reagire.
Di fronte a questo scenario, le aziende hanno due grandi strade per proteggere ciò che passa attraverso quei dispositivi: controllare l’intero dispositivo (MDM) oppure controllare solo le applicazioni aziendali che vi girano sopra (MAM). I due acronimi si somigliano e spesso vengono confusi, ma rispondono a problemi diversi e si usano in contesti diversi.
In questo articolo vediamo nel dettaglio cosa sono esattamente, quali sono le loro funzioni principali, in quali casi conviene puntare sull’uno o sull’altro, e quali sono le differenze chiave da avere chiare prima di decidere.
Cos'è un MDM?
MDM è l’acronimo di Mobile Device Management (gestione dei dispositivi mobili). Si tratta di un insieme di strumenti e processi che permettono a un’azienda di amministrare, configurare e proteggere da remoto tutti i dispositivi utilizzati dai propri dipendenti: laptop, smartphone, tablet e perfino postazioni fisse.
In pratica, un MDM funziona installando un agent su ciascun dispositivo della flotta. Da quel momento, il team IT ottiene il controllo completo del dispositivo da una console centrale: può applicare policy di sicurezza, installare o disinstallare applicazioni, forzare la cifratura del disco, bloccare il dispositivo in caso di smarrimento o cancellare tutti i dati da remoto in caso di furto. Una sorta di telecomando con privilegi di amministratore su tutto il parco dispositivi.
L’MDM è la scelta di riferimento quando i dispositivi sono di proprietà dell’azienda, perché permette di standardizzare la configurazione, garantire il rispetto delle policy di sicurezza e reagire rapidamente di fronte a qualsiasi incidente. Standard come SOC 2, ISO 27001 o la direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024 e supervisionata dall’ACN) non impongono formalmente l’adozione di un MDM, ma la maggior parte delle aziende che puntano a queste certificazioni finisce per implementarlo: è semplicemente la via più veloce per alzare il livello di sicurezza.
Principali funzioni di un MDM
- Gestione delle applicazioni: distribuzione e aggiornamento delle app di cui i dipendenti hanno bisogno, senza che l’utente debba installarle manualmente.
- Controllo delle configurazioni e delle policy di sicurezza: cifratura obbligatoria del disco, attivazione del firewall, password robuste e applicazione degli aggiornamenti del sistema operativo.
- Protezione e cancellazione remota dei dati: in caso di smarrimento o furto, l’intero contenuto del dispositivo può essere cancellato per evitare fughe di informazioni.
- Blocco remoto: impedire l’accesso a un dispositivo in pochi secondi.
- Inventario e visibilità della flotta: mappa in tempo reale di quanti dispositivi ci sono, in che stato, con quale sistema operativo e quali app installate.
- Rilevamento delle vulnerabilità: identificazione di applicazioni non aggiornate o con falle di sicurezza note.
- Esecuzione di script da remoto: automazione delle attività di manutenzione o risoluzione massiva degli incidenti.
- Supporto tecnico da remoto: dal reset di una password dimenticata alla risoluzione di problemi più complessi, senza che il collaboratore debba portare il dispositivo in ufficio.
- Automazione di onboarding e offboarding: quando l’MDM è collegato all’HRIS, ingressi e uscite attivano in automatico l’assegnazione del dispositivo, l’installazione delle app e la revoca degli accessi.
Quando ha senso usare un MDM?
Un MDM è l’opzione giusta quando si verificano uno o più di questi scenari:
- I dispositivi sono di proprietà dell’azienda, che ha quindi tutta la legittimità per configurarli e controllarli integralmente.
- Lavori con dati sensibili (finanziari, sanitari, proprietà intellettuale, informazioni sui clienti) che richiedono un controllo stretto dell’ambiente in cui vengono archiviati ed elaborati.
- Operi in un settore regolamentato oppure punti a certificazioni come SOC 2, ISO 27001 o alla conformità a NIS2.
- Gestisci una flotta eterogenea (macOS, Windows, Linux, iOS, Android) e hai bisogno di standardizzare policy e configurazioni da un’unica console.
- Hai un volume alto di onboarding e offboarding e vuoi eliminare il lavoro manuale legato a configurare e recuperare i dispositivi.
- Hai bisogno di una capacità di reazione immediata in caso di incidente: bloccare, cancellare o auditare un dispositivo in pochi minuti, non in giorni.
Cos'è un MAM?
MAM è l’acronimo di Mobile Application Management (gestione delle applicazioni mobili). A differenza dell’MDM, il MAM non controlla l’intero dispositivo, ma soltanto le applicazioni aziendali che l’azienda ha autorizzato ad accedere ai propri dati e sistemi.
In pratica, questo significa che il team IT può applicare policy di sicurezza su app specifiche (posta aziendale, CRM, strumenti di comunicazione, software di project management…) senza avere visibilità né controllo sul resto del dispositivo. I dati aziendali vivono in una sorta di container isolato, separato dall’ambiente personale dell’utente, in modo da proteggere le informazioni dell’azienda senza toccare foto, app personali o cronologia di navigazione del dipendente.
Questa separazione lo rende una soluzione particolarmente utile negli ambienti BYOD (Bring Your Own Device), dove i dipendenti usano i propri dispositivi personali per lavorare. Imporre un MDM sullo smartphone personale di un dipendente è complicato sia dal punto di vista legale sia da quello culturale; applicare un MAM solo all’app della posta aziendale o del CRM risulta molto più ragionevole e rispettoso della privacy dell’utente.
Principali funzioni di un MAM
- Distribuzione e aggiornamento delle applicazioni aziendali da una console centrale.
- Policy di sicurezza a livello di applicazione: autenticazione obbligatoria, blocco automatico dopo un periodo di inattività, restrizione del copia-incolla tra app aziendali e personali.
- Container per i dati aziendali: le informazioni dell’azienda vengono memorizzate in modo isolato e cifrato all’interno del dispositivo.
- Cancellazione selettiva: in caso di uscita di un dipendente o di smarrimento del dispositivo, vengono eliminati solo i dati e le applicazioni aziendali, senza intaccare le informazioni personali.
- White list e black list di applicazioni: definire quali app sono autorizzate a trattare dati aziendali e bloccare l’accesso da quelle non approvate.
- Controllo degli accessi condizionato: limitare l’accesso alle applicazioni in base al contesto (posizione, rete, stato di sicurezza del dispositivo).
- Distribuzione di applicazioni interne: pubblicare le app sviluppate internamente senza passare dagli store pubblici di Apple o Google.
Quando ha senso usare un MAM?
Un MAM è l’opzione giusta quando si verificano uno o più di questi scenari:
- Lavori con un modello BYOD e i dipendenti usano i propri dispositivi personali per accedere alle risorse aziendali.
- Vuoi rispettare la privacy del dipendente e limitare il controllo al solo ambito strettamente aziendale.
- Collabori con freelance, consulenti esterni o lavoratori temporanei sui quali non ha senso applicare un controllo totale del dispositivo.
- Ti serve solo proteggere un set limitato di applicazioni aziendali (posta, CRM, strumenti interni) e non l’intero dispositivo.
- Cerchi un deployment rapido e leggero, senza dover installare un agent con privilegi completi su ogni dispositivo.
- Il contesto legale o culturale della tua azienda limita la possibilità di imporre un MDM su dispositivi non aziendali.
Principali differenze tra MDM e MAM
Anche se entrambi puntano allo stesso obiettivo finale, ovvero proteggere i dati aziendali, MDM e MAM operano su livelli diversi e risolvono problemi diversi. Ecco le differenze chiave da avere chiare prima di decidere:
| Criterio | MDM (Mobile Device Management) | MAM (Mobile Application Management) |
|---|---|---|
| Ambito del controllo | L’intero dispositivo (sistema operativo, configurazione, applicazioni, dati). | Solo le applicazioni aziendali autorizzate. |
| Tipo di dispositivo ideale | Dispositivi di proprietà dell’azienda. | Dispositivi personali del dipendente (BYOD). |
| Privacy dell’utente | Minore: l’azienda ha un’ampia visibilità sul dispositivo. | Maggiore: le informazioni personali restano fuori dalla portata dell’IT. |
| Cancellazione remota | Totale: cancella tutto il contenuto del dispositivo. | Selettiva: cancella solo dati e app aziendali. |
| Deployment | Richiede l’installazione di un agent con privilegi sul dispositivo. | Più leggero: agisce solo su app specifiche. |
| Casi d’uso tipici | Flotte aziendali, settori regolamentati, compliance stringente. | BYOD, freelance, accesso puntuale ad app aziendali. |
| Configurazione del dispositivo | Permette di standardizzare la configurazione dell’intera flotta. | Non interviene sulla configurazione generale del dispositivo. |
| Costo e complessità | Maggiori: comporta una gestione integrale e una manutenzione continua. | Minori: focalizzati su applicazioni specifiche. |
La verità è che MDM e MAM non sono in competizione tra loro. La maggior parte delle aziende che si pongono questa domanda finiscono per combinarli entrambi: MDM per i dispositivi aziendali, MAM per quelli personali che accedono ai dati della società. E le soluzioni più recenti, i cosiddetti UEM (Unified Endpoint Management), unificano i due livelli in un’unica console, in modo da non dover più saltare da uno strumento all’altro.
Factorial IT porta questa logica un passo più in là e collega la gestione dei dispositivi all’HRIS. Quando qualcuno entra in azienda, computer e applicazioni si configurano da soli. Quando va via, gli accessi vengono revocati e i dati cancellati senza che nessuno, nell’IT, debba ricordarsene.
