La sicurezza delle identità diventa il vero vantaggio competitivo: tra cloud ibrido, NHI, Shadow AI e pressione sui CISO, la resilienza conta più della prevenzione.
Autore: Matthieu Trivier
C’è qualcosa di particolarmente significativo nel modo in cui molte certezze sulla sicurezza informatica sono crollate nel corso del 2025. Per anni, le organizzazioni hanno creduto di poter prevenire le crisi cyber semplicemente accumulando livelli di protezione: muri sempre più alti, controlli sempre più sofisticati e una crescente dipendenza dai servizi cloud. Eppure, gli attacchi hanno continuato ad aumentare.
La realtà è ormai evidente: la compromissione non è più un’eventualità, ma una certezza statistica e la cybersecurity non può più essere affrontata esclusivamente come una questione tecnologica. I responsabili della sicurezza sanno che nessun sistema è impenetrabile, i dirigenti stanno comprendendo che i contratti cloud garantiscono la disponibilità dell’infrastruttura ma non necessariamente il recupero dei dati, mentre i dipendenti adottano strumenti di intelligenza artificiale al di fuori dei processi aziendali, creando nuove vulnerabilità spesso invisibili.
In questo contesto, quattro grandi trend stanno ridefinendo il concetto stesso di protezione.
Il cloud avrebbe dovuto semplificare la gestione dell’IT. A distanza di oltre dieci anni dall’inizio della grande migrazione, molte aziende stanno invece scoprendo una realtà più complessa. I costi sono aumentati, la flessibilità promessa si è spesso scontrata con vincoli contrattuali e soprattutto è emerso un elemento fondamentale: i provider cloud proteggono la propria infrastruttura, ma la responsabilità dei dati e delle identità resta in capo alle organizzazioni.
Non sorprende quindi assistere a un graduale ritorno di interesse verso gli ambienti on-premises. Persino Microsoft, dopo anni di focus quasi esclusivo sul cloud, ha rilanciato Active Directory con importanti aggiornamenti all’interno di Windows Server 2025.
Il futuro non sarà né completamente cloud né completamente on-premises. Sarà inevitabilmente ibrido.
Ed è proprio questa complessità a rappresentare un vantaggio per gli attaccanti. Le architetture ibride introducono zone grigie, connessioni poco monitorate e responsabilità frammentate. Nel 2024, per la prima volta, gli attacchi rivolti agli ambienti cloud hanno superato quelli contro le infrastrutture tradizionali. Un dato che dimostra come i cybercriminali non cerchino più soltanto vulnerabilità tecniche, ma sfruttino soprattutto la confusione architetturale.
In tutti questi scenari, l’identità rappresenta il filo conduttore che collega ogni compromissione.
Quando si parla di identità digitale, il pensiero corre immediatamente agli utenti: dipendenti, amministratori, partner. Tuttavia, questa visione non riflette più la realtà.
Oggi oltre il 70% delle identità presenti nelle organizzazioni è costituito da identità non umane (Non-Human Identities, NHI): account di servizio, script automatizzati, applicazioni, dispositivi connessi e servizi cloud.
Queste identità crescono rapidamente, spesso senza processi di governance adeguati e senza una reale visibilità. Il risultato è una superficie di attacco sempre più estesa e difficile da controllare.
La sfida per i team di sicurezza diventa quindi fondamentale: come proteggere ciò che non si riesce nemmeno a vedere? E come applicare criteri di accesso efficaci a identità che vengono create e modificate automaticamente?
L’intelligenza artificiale ha già trasformato il modo di lavorare delle organizzazioni. Tuttavia, accanto ai benefici, sta emergendo un fenomeno che preoccupa sempre più i responsabili della sicurezza: la Shadow AI.
Secondo diverse ricerche, una larga parte dei dipendenti utilizza strumenti di AI generativa senza il coinvolgimento o l’approvazione dei team IT. L’obiettivo è aumentare la produttività, ma il risultato può essere l’esposizione involontaria di dati sensibili e informazioni aziendali critiche.
Per i CISO si tratta di una situazione particolarmente complessa. Bloccare questi strumenti significherebbe spesso rallentare il business; consentirne l’utilizzo senza controlli adeguati significa invece accettare nuovi rischi.
Nel frattempo, anche gli attaccanti stanno sfruttando l’AI per aumentare efficacia e velocità delle operazioni malevole. I modelli di Ransomware-as-a-Service continuano a evolversi, mentre alcuni malware sono già in grado di modificare automaticamente il proprio codice per eludere i sistemi di rilevamento.
L’identità resta il bersaglio privilegiato. Un singolo account compromesso può diventare il punto di ingresso per compromettere un’intera organizzazione.
Esiste un parallelo interessante tra il ruolo del CISO moderno e la figura mitologica di Cassandra: entrambi vedono il pericolo prima degli altri, ma spesso faticano a essere ascoltati.
I responsabili della sicurezza si trovano oggi in una posizione particolarmente delicata. Devono segnalare rischi, predisporre piani di crisi e promuovere investimenti preventivi, pur sapendo che il loro lavoro viene spesso valutato soltanto quando qualcosa va storto.
Questa pressione costante sta generando livelli di stress sempre più elevati. Secondo BitSight, il 63% dei CISO ha sperimentato direttamente o osservato casi di burnout all’interno del proprio team negli ultimi dodici mesi.
La questione non è soltanto umana, ma strategica. Un’organizzazione può davvero definirsi resiliente se il suo principale responsabile della sicurezza opera in una condizione di sovraccarico permanente?
A questo si aggiunge un altro problema: molti indicatori tradizionali di resilienza, come RTO (Recovery Time Objective) e RPO (Recovery Point Objective), vengono ancora calcolati sulla base di test annuali poco rappresentativi della realtà operativa.
La vera domanda è un’altra: quanto tempo serve realmente per ripristinare sistemi e servizi durante una crisi reale, con infrastrutture compromesse e personale sotto pressione?
Per rispondere è necessario superare l’approccio basato esclusivamente sulla compliance e introdurre esercitazioni periodiche che coinvolgano non solo l’IT, ma anche il management e il consiglio di amministrazione.
L’anno in corso potrebbe essere ricordato come l’anno della maturità cyber. Le organizzazioni che riusciranno a distinguersi non saranno necessariamente quelle con il maggior numero di tecnologie implementate, ma quelle capaci di comprendere che la cybersecurity si misura nella capacità di recupero.
La gestione delle identità non può più essere considerata una responsabilità esclusivamente tecnica. È una questione di governance che coinvolge leadership, board e processi aziendali.
Se il cloud rappresenta il castello e l’infrastruttura on-premises il suo mastio, l’identità è la chiave che apre tutte le porte. Se gestita in modo inadeguato, diventa il punto di ingresso privilegiato per gli attaccanti. Se governata correttamente, rappresenta invece il fondamento della resilienza.
In un contesto in cui la compromissione è ormai inevitabile, la capacità di ripristinare rapidamente operazioni, dati e identità diventa un vantaggio competitivo concreto. In definitiva, la domanda non è se si verrà attaccati, ma se si riuscirà a rialzarsi dopo l’attacco.