In Italia il furto di credenziali colpisce il 67% delle aziende che hanno subìto attacchi. Per il World Password Day, i vendor ne analizzano le cause e indicano le possibili vie d'uscita.
Autore: Redazione SecurityOpenLab
Il World Password Day torna il 7 maggio 2026 con una notizia poco incoraggiante per le aziende italiane: secondo il Report sulla sicurezza fisica di Genetec, la compromissione delle credenziali ha colpito il 67% delle organizzazioni italiane che hanno subìto attacchi nel 2025, contro il 25% registrato nel resto d'Europa. Un dato anomalo, perché la stessa ricerca segnala che solo il 17% delle imprese italiane ha dichiarato un aumento complessivo degli incidenti, contro il 33% europeo.
I numeri identificano le cause del problema. Kaspersky ha analizzato 231 milioni di password uniche provenienti da fughe di dati avvenute tra il 2023 e il 2026, e i risultati sono poco incoraggianti: il 68% può essere violato nell'arco di una giornata, mentre il 60% circa in circa un'ora. La lunghezza, da sola, non basta: grazie ad algoritmi basati sull'AI, oltre il 20% delle password di 15 caratteri può essere compromesso in meno di un minuto. A rendere il quadro più fragile, gli schemi ricorrenti: il 53% delle password esaminate termina con una cifra, il 17% inizia con una cifra, quasi il 12% contiene una sequenza che ricorda una data. Posizioni prevedibili e simboli comuni, come "@" che compare nel 10% delle password con un solo carattere speciale, riducono drasticamente lo spazio che un attacco brute force deve esplorare.
Le password nascono in un'epoca in cui le infrastrutture aziendali erano semplici e gli utenti erano pochi; oggi sopravvivono in ambienti SaaS complessi, con personale da remoto, accessi ibridi e integrazioni con terze parti. Jan Bee, CISO di TeamViewer, sintetizza la contraddizione di fondo: le password attribuiscono agli utenti una responsabilità che il sistema non è progettato per sostenere. Requisiti complessi, cambi frequenti, decine di account diversi: il risultato sono comportamenti prevedibili, password riciclate, annotate o inserite in pagine di phishing senza che l'utente se ne accorga.
Bee ricorda anche che una password corretta non dice nulla sull'affidabilità del dispositivo, sull'eventuale presenza di un ambiente gestito o sulla posizione da cui avviene l'accesso: il team di security è costretto a compensare con controlli aggiuntivi, mentre la vulnerabilità principale resta intatta. Una ricerca di TeamViewer quantifica l'impatto operativo: i lavoratori perdono 1,3 giorni lavorativi al mese per problemi tecnici, e le difficoltà di autenticazione spostano il rischio nelle mani degli utenti, costretti a trovare scorciatoie per concludere il proprio lavoro.
In un'infrastruttura senza perimetri definiti, l'identità è diventata il principale punto di controllo. Ogni connessione, a prescindere che coinvolga utenti, dispositivi o applicazioni, rappresenta un potenziale punto di ingresso: le decisioni sull'autenticazione sono le fondamenta della resilienza. Jan Bee indica nel Single Sign-On un punto di partenza necessario, ma avverte che la sua efficacia dipende dall'assenza di eccezioni: applicazioni non integrate nel sistema di accesso o sistemi di identità separati creano punti ciechi difficili da individuare e ancora più difficili da gestire.
La prospettiva è condivisa da Marco D'Elia, Country Manager Italia di Sophos: "Le credenziali compromesse restano la principale causa degli attacchi legati all'identità. Gli autori dei cyber attacchi continuano a sfruttare database di password sottratte da servizi e piattaforme molto diffusi, facendo leva su due criticità ormai note: password deboli e riutilizzate su più account." D'Elia precisa che anche l'autenticazione a più fattori, pur essendo un passo avanti importante, non è più sufficiente da sola perché esistono tecniche sempre più sofisticate per aggirarla.
Leggi anche: Speciale gestione degli accessi
Un'angolazione complementare arriva da Check Point Software Technologies, che descrive un ecosistema del cybercrime oggi strutturato come una vera industria di servizi. I tradizionali forum del dark web vengono sempre più usati solo per stabilire la credibilità dei venditori, mentre le transazioni avvengono in canali Telegram privati e attraverso bot automatizzati, riducendo drasticamente i tempi di monetizzazione dei dati sottratti. I dati lo confermano: un accesso verificato a un conto bancario online vale tra i 200 e i 1.170 dollari; un accesso con privilegi amministrativi a una rete aziendale, venduto dagli Initial Access Broker, può superare i 113.000 dollari. A complicare il quadro è l'uso inappropriato che i dipendenti fanno dell'AI: a marzo 2026 un prompt su 28 inviati da ambienti aziendali tramite strumenti GenAI presentava un alto rischio di esfiltrazione di dati sensibili, con un impatto sul 91% delle organizzazioni che usano regolarmente questi strumenti. L'82% di queste operazioni avviene tramite account personali non gestiti, un punto cieco difficile da presidiare con i controlli tradizionali.
I vendor concordano circa la necessità di adottare metodi di autenticazione che sostituiscano le password e i codici che vengono trasmessi (e quindi potenzialmente intercettati). I moderni sistemi basati su passkey utilizzano credenziali crittografiche legate a un dispositivo specifico, spesso verificate tramite biometria: le credenziali non vengono mai trasmesse in una forma che possa essere intercettata o riutilizzata, il che riduce drasticamente l'esposizione agli attacchi di phishing in tempo reale. Questo approccio integra l'affidabilità del dispositivo direttamente nella decisione di accesso: il fatto che un dispositivo sia noto, gestito e conforme diventa parte dell'autenticazione.
D'Elia sottolinea che per le organizzazioni l'adozione delle passkey non richiede necessariamente una rivoluzione tecnologica, dato che molte piattaforme di identity le supportano già: "La vera sfida è integrarle in modo efficace nei processi esistenti, garantendo compatibilità, gestione sicura e adeguate procedure di recupero." Bee aggiunge che questo cambiamento è ormai parte integrante delle linee guida Zero Trust, che pongono l'autenticazione resistente al phishing come requisito fondamentale.
Il Rapporto Genetec offre un quadro articolato del mercato italiano. Per oltre il 72% dei professionisti della sicurezza la motivazione principale per la sostituzione dei sistemi legacy è l'integrazione con nuove tecnologie, dato significativamente superiore alla media europea del 53%. Sul fronte AI, il 14% delle aziende ha già implementato nel 2025 soluzioni basate su machine learning e LLM; il 44% mira a usare l'AI per prevedere minacce future, contro il 27% della media europea. Non mancano le resistenze: il 34% esprime preoccupazioni sull'uso dei dati, il 17% segnala difficoltà nel reperire esperti qualificati.
La compliance normativa pesa in misura maggiore che altrove: oltre il 37% delle organizzazioni italiane dichiara di essere stata influenzata dalle regolamentazioni vigenti, contro il 28% europeo, a conferma che le normative stanno diventando un driver economico rilevante per i budget dedicati alla sicurezza.
La situazione che ne emerge è quella di un mercato orientato all'innovazione ma esposto sul fronte della gestione delle identità. La spinta verso l'ammodernamento dei sistemi, per quanto decisa, non si traduce automaticamente in una protezione delle credenziali adeguata al livello di sofisticazione degli attacchi attuali. Per Genetec la risposta risiede nel superamento del concetto di integrazione a favore di piattaforme di sicurezza fisica unificata, capaci di proteggere nativamente quegli accessi oggi più esposti.