Solo l’1% delle aziende usa davvero una gestione dei privilegi Just-in-Time. Nel 91% dei casi almeno metà dei privilegi resta always-on, esponendo gli ambienti AI e cloud a rischi crescenti.
Autore: Redazione SecurityOpenLab
Solo l’1% delle aziende ha già adottato un modello moderno di accesso privilegiato Just-in-Time. Nel 99% dei casi analizzati, i privilegi permanenti non sono ancora stati eliminati, nonostante la corsa verso AI e cloud. È uno dei campanelli di allarme messi in luce dalla nuova ricerca condotta da Censuswide per CyberArk mediante interviste a 500 professionisti IT statunitensi, svolte tra l’11 e il 21 novembre 2025.
Il quadro che emerge è quello di aziende che dichiarano di essere pronte per AI e cloud, ma che in realtà non lo sono perché continuano a usare schemi di accesso permanenti, ereditati da contesti infrastrutturali molto meno fluidi. La ricerca rivela che il 76% delle aziende interpellate reputa le proprie strategie di Privileged Access Management adeguate a supportare ambienti AI, cloud e ibridi. Eppure, nel 91% delle organizzazioni analizzate, almeno la metà degli accessi privilegiati rientra ancora nella categoria always-on, con diritti illimitati e persistenti verso sistemi sensibili. In pratica, la disponibilità di privilegi elevati per periodi ben più lunghi dello stretto necessario, se non addirittura in modo continuativo, apre finestre di esposizione che si estendono ben oltre il perimetro operativo effettivo, alimentando il “Privilege Reality Gap”, ossia il divario tra percezione di readiness e pratiche quotidiane.
Uno dei fronti più critici riguarda la gestione delle nuove identità alimentate dall’AI. Il 45% delle aziende applica agli agenti AI gli stessi controlli di accesso privilegiato previsti per le identità umane, il che significa che c’è il tentativo di ricondurre le nuove tipologie di identità sotto i framework di controllo esistenti. Il 33% dichiara di non disporre di policy chiare per l’accesso delle identità AI, il che significa che permangono aree grigie in cui l’uso di agenti AI avviene senza regole codificate e verificabili, con rilevanti implicazioni in termini di governance, accountability e gestione degli abusi.
La ricerca dedica inoltre ampio spazio al tema dei privilegi ombra, cioè account e secret privilegiati non gestiti, poco conosciuti o del tutto sconosciuti ai team di sicurezza, che si accumulano nel tempo. Il 54% delle aziende afferma di scoprire ogni settimana account e credenziali privilegiate non gestite. Questi privilegi ombra rappresentano un vettore privilegiato per gli attaccanti, che possono sfruttare credenziali dimenticate o non mappate per muoversi lateralmente, scalare privilegi e aggirare i controlli più visibili.
Ad aggravare la situazione contribuisce la frammentazione delle piattaforme di identità. L’88% delle organizzazioni gestisce due o più strumenti di sicurezza delle identità, introducendo punti ciechi, disallineamenti nelle policy e difficoltà nel comporre una vista unificata su chi ha accesso a cosa, quando e perché. In assenza di una regia centralizzata, ogni piattaforma tende a sviluppare regole, ruoli e workflow propri, ostacolando l’applicazione coerente di principi quali il privilegio minimo e l’accesso Just-in-Time.
Le ricadute operative sono tangibili. Il 66% del campione reputa che le tradizionali revisioni degli accessi privilegiati rallentino i progetti, perché richiedono cicli manuali di approvazione e verifiche a posteriori che non tengono il passo con la velocità degli ambienti cloud-native e delle pipeline DevOps. Non sorprende quindi che il 63% ammetta che i dipendenti aggirano i controlli per procedere più rapidamente, generando ulteriori privilegi ombra e riducendo l’efficacia dei meccanismi di controllo esistenti.
Il quadro evidenzia la necessità di un’evoluzione profonda, con una modernizzazione della gestione degli accessi che non è più rinviabile e che impone l’adozione di modelli di accesso dinamici, basati sul rischio e fondati su principi come Zero Standing Privilege e Just-in-Time, estesi a tutte le identità, umane e non umane. Questi principi, peraltro, oltre a ridurre il rischio, consentono anche a migliorare la readiness agli audit e a dare ai team la flessibilità necessaria per innovare, senza che il controllo sugli accessi diventi un freno strutturale ai progetti.