La PKI, pilastro della fiducia digitale, è sotto pressione: troppi certificati, poca expertise e processi manuali. AI e automazione diventano cruciali con le scadenze più brevi dei certificati TLS.
Autore: Redazione SecurityOpenLab
Oltre metà delle aziende ha subìto interruzioni non pianificate a causa di certificati scaduti o errori di configurazione; sei su dieci hanno registrato exploit legati a crittografia debole o mal gestita. Sono alcuni dei numeri che fotografano bene quanto la PKI, ossatura della fiducia digitale, sia diventata un tallone d’Achille strutturale nell’era delle identità macchina e dei carichi di lavoro cloud‑native. A mettere a nudo la questione è il report Trends in PKI Security – A Global Study of Trends, Challenges, Business Impact, realizzato dal Ponemon Institute su un campione di 1.833 professionisti IT e sicurezza a livello globale e commissionato da CyberArk.
Quello che emerge è motivo di preoccupazione: la complessità delle infrastrutture a chiave pubblica sta superando la capacità delle organizzazioni di governarle in modo efficace. In media, le aziende devono gestire oltre 114.000 certificati interni, ma dispongono di appena quattro risorse a tempo pieno dedicate alla PKI: una proporzione che rende quasi inevitabili errori manuali, opacità sull’inventario e dipendenza da soluzioni esterne. Questo non cambia il fatto che la PKI resta un pilastro per l’autenticazione, la cifratura e l’integrità dei dati, ma è necessario prendere atto del fatto che sistemi legacy, processi frammentati e tracciamenti via fogli Excel impediscono di tenerle il passo con la crescita di identità macchina, con i workload distribuiti e con le architetture Zero Trust.
È quindi logico che solo il 46% delle organizzazioni dichiari un’elevata fiducia nella capacità della propria PKI di soddisfare i requisiti di conformità, e che meno della metà del campione la consideri davvero efficace nella protezione cyber. Il paradosso è che più si spinge sulla cifratura, più l’infrastruttura a chiave pubblica si trasforma in un single point of failure: la metà degli intervistati parla di misconfigurazioni e il 49% di outage da certificati scaduti come cause principali della scarsa fiducia sul rispetto delle normative.
Il 58% ha sperimentato compromissioni di certificazione terze e il 43% episodi di furto di chiavi private di server. Il 34% indica in modo esplicito costi e rischi delle PKI tradizionali come il maggiore ostacolo a una gestione sicura; il 63% è ormai costretto a esternalizzare parte delle attività verso fornitori di servizi gestiti per compensare la mancanza di competenze interne.
È ovvio che il confine tra controllo e delega diventi sempre più sottile: la governance della PKI spesso oscilla tra CISO, CIO e team IT, senza una responsabilità chiara della strategia e delle policy di certificazione. Le valutazioni di sicurezza, quando ci sono, restano nella maggioranza dei casi manuali o affidate a penetration test occasionali, con il risultato che le finestre in cui vulnerabilità e configurazioni deboli possono passare inosservate restano ampie.
Il report individua però anche un gruppo di high performer, ossia di organizzazioni che dichiarano alta fiducia nella capacità della propria PKI di rispondere alla compliance e mostrano caratteristiche ricorrenti. In particolare testimoniano maggiore visibilità sull’inventario dei certificati (75% contro il 47% del campione totale), migliore capacità di remediation rispetto ai certificati non conformi e un livello più elevato di expertise interna. Queste realtà si distinguono anche per l’adozione più spinta dell’intelligenza artificiale nella strategia PKI (il 61% l’ha già integrata, contro il 50% del totale) con l’obiettivo di prevedere scadenze, individuare anomalie e ridurre il rischio di outage.
Proprio questa esperienza virtuosa anticipa ciò che sta per diventare una necessità per tutti: l’imminente riduzione della validità dei certificati TLS pubblici a 47 giorni approvata dal CA/Browser Forum, spingerà le organizzazioni verso modelli di gestione automatizzati e cicli di rinnovo molto più frequenti, difficilmente sostenibili senza un uso esteso di automazione e AI nei processi PKI. In assenza di strumenti intelligenti, l’effetto combinato di volumi in crescita, scadenza più brevi e carenza di skill rischia di trasformare la PKI da abilitatore di fiducia in una fonte cronica di interruzioni e non conformità.