: Lascia il tuo voto agli Italian Security Awards 2026
Non abbastanza. E non abbastanza in fretta. È questa, in sintesi, la fotografia poco confortante sullo stato attuale della sicurezza degli accessi privilegiati di terze parti nelle organizzazioni di ogni settore. Un tema che non riguarda, peraltro, solo l'IT.
Man mano che le organizzazioni esternalizzano operazioni sempre più critiche come il supporto IT, lo sviluppo software e la gestione di alcuni processi aziendali, l'accesso ai sistemi dei fornitori è diventato uno dei vettori d'attacco più comuni e pericolosi. Quasi la metà delle organizzazioni, precisamente il 47%, ha subìto una violazione o un attacco che coinvolgeva un vendor esterno (*).
Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative
Gli incidenti di alto profilo, come quello recente di Conduent e Volvo Group North America, non sono diventati solo delle notizie, ma soprattutto illustrano perfettamente la posta in gioco e confermano la sequenza di falle che si ripete con inquietante regolarità. Tutto ciò nonostante, l’origine di molte di queste compromissioni sia ormai ben nota ed è spesso riconducibile a dinamiche relativamente semplici: un account di un fornitore con accesso legittimo, ma privo di adeguate misure di protezione, a partire dall’autenticazione a più fattori (MFA), viene compromesso dagli attaccanti tramite phishing, riutilizzo di password, credential stuffing o malware.
Gilberto Bonutti, Regional Sales Manager & Head of Italy di Imprivata
L'impatto reale di una violazione che passa per la supply chain va ben oltre l'intrusione iniziale, dal momento che ci sono costi diretti legati alla risposta all'incidente, remediation, esposizione legale e normativa, downtime, notifiche ai clienti, ma anche la perdita di fiducia, l’abbandono dei clienti, ritardi nei progetti e mesi di lavoro speso a rivalutare le relazioni con i vendor. Tutte conseguenze indirette, eppure di lungo periodo e con ricadute anche sul conto economico fino a centinaia di migliaia di euro (*).
Indubbiamente gestire gli accessi di terze parti è complesso dal momento che ogni organizzazione dipende anche da fornitori, e molti di questi hanno bisogno di accedere ai sistemi. Questa dipendenza crea una tensione costante tra l'abilitazione a un accesso rapido e il controllo del rischio. In particolare alcune sfide mettono costantemente in difficoltà le imprese e gli enti:
1. Troppi vendor, troppo poca visibilità
La maggior parte delle aziende ha decine e, in settori come il manifatturiero o le utilities, anche centinaia di vendor o provider. Senza un inventario affidabile di chi ha accesso a cosa, i team di sicurezza sono costretti a operare per assunzioni. E se non si riesce a rispondere con certezza alla domanda "chi ha accesso?", diventa quasi impossibile rispondere a "chi non dovrebbe averlo?";
2. Responsabilità poco chiare e processi incoerenti
La gestione degli accessi di terze parti ricade spesso in una zona grigia tra IT, sicurezza, procurement e le business unit che "trattengono" la relazione con il vendor. Quando nessun team ha chiaramente in mano la governance degli accessi end-to-end, i controlli diventano frammentati e il risultato è un insieme di inefficienze costose e lacune rischiose;
3. Accessi sovradimensionati e soluzioni legacy
Molte organizzazioni estendono ai vendor i modelli di accesso pensati per i dipendenti interni come VPN e permessi statici che rimangono attivi per mesi o anni, rendendo disponibili perimetri molto più ampi del necessario perché è più rapido concederli che definirne con precisione i confini;
4. Gestione debole delle credenziali
L'MFA è essenziale, ma la sicurezza dell'identità va oltre. Le domande difficili sono: questa è ancora la stessa persona approvata mesi fa? Sappiamo con certezza che lavora ancora per quel vendor? Si collega da posizioni e dispositivi attesi? Il suo comportamento è coerente con il suo profilo? Gli attaccanti amano gli account vendor perché si confondono con le operazioni ordinarie e, sempre più spesso, non hanno nemmeno bisogno della password. Il furto di token e il session hijacking consentono all'avversario di "diventare" un utente legittimo senza bypassare le difese tradizionali;
5. Pressione operativa
In aziende ad alta criticità come l’industry, i servizi finanziari o le energy utilities, il downtime è intollerabile. Quando una linea si ferma o un servizio di erogazione del gas viene interrotto, le richieste di accesso diventano urgenti e questo inevitabilmente apre a scorciatoie e ad approvazioni frettolose. Accessi vulnerabili che quasi mai vengono revocati dopo la crisi.
Una migliore gestione del rischio vendor si fonda su una strategia proattiva, non su reazioni ad hoc. L'obiettivo è consentire ai fornitori di svolgere il lavoro necessario in modo rapido ed efficace, riducendo al contempo il rischio e limitando i danni in caso di compromissione di un account.
E per costruire una strategia di accesso ai vendor davvero efficace servono regole chiare, controlli continui e governance proattiva. In particolare:
Queste pratiche rappresentano ormai il fondamento di una gestione sicura degli accessi da parte di terzi, soprattutto in un contesto in cui l’AI rende phishing e pretexting sempre più convincenti, contestuali e rapidi. Allo stesso tempo, minacce come il furto di token, il session hijacking e le tecniche di aggiramento dei flussi di autenticazione impongono una verifica continua di identità, privilegi e comportamenti anomali. Un diktat ormai anche alla luce della velocità con cui le vulnerabilità vengono sfruttate dopo la disclosure, grazie a scanning automatizzati e a catene di exploitation sempre più accessibili.
È per questo che la gestione degli accessi della catena di fornitura non può essere trattata come un progetto una tantum e di mera protezione. I vendor sono e rimarranno indispensabili, è indubbio, quindi l’obiettivo deve diventare rendere il loro accesso sicuro, osservabile e resiliente, così che la prossima (inevitabile) intrusione non si traduca in conseguenze rilevanti e prolungate.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
16-07-2026
16-07-2026
16-07-2026
16-07-2026