Perché la guerra informatica è ormai una questione di sicurezza per tutte le aziende

Pubblicato il Giugno 08, 2026

La guerra informatica non si limita più alla geopolitica. Quella che un tempo era principalmente una preoccupazione per le agenzie governative e le aziende del settore della difesa, ora è una realtà per le aziende di ogni settore. Nel marzo 2026, un gruppo di hacker collegato all’Iran, Handala, ha dichiarato di aver cancellato oltre 200.000 sistemi, server e dispositivi mobili presso la Stryker, un’azienda di tecnologia medica senza alcun legame diretto con conflitti geopolitici, sfruttando uno strumento legittimo di gestione degli endpoint all’interno dell’ambiente aziendale.

Questa è la realtà con cui le aziende ora devono confrontarsi. Le organizzazioni vengono prese di mira indipendentemente dalla loro vicinanza al conflitto e l’idea che solo le agenzie governative siano a rischio sta diventando sempre più pericolosa. La superficie degli attacchi informatici è aumentata, le tattiche continuano a evolversi e il livello di sicurezza aziendale deve evolversi di pari passo.

Come la guerra informatica sta interessando le aziende

Le tattiche alla base della moderna guerra informatica non sono più rivolte esclusivamente a obiettivi federali. Gli attori stato-nazione mirano sempre più spesso alle aziende come modo per provocare disturbi più ampi, sia per accedere alle supply chain, sia per esfiltrare dati sensibili, sia per provocare danni collaterali attraverso infrastrutture interconnesse. Allo stesso tempo, le minacce criminali sono aumentate in modo indipendente. L’automazione dell’AI ha reso gli attacchi sofisticati più economici e più rapidi da eseguire e le piattaforme Ransomware-as-a-Service (RaaS) hanno trasformato quello che un tempo richiedeva risorse significative in un playbook accessibile. Le campagne di phishing generate dall’AI e gli strumenti di attacco indipendenti sono ora lo standard, non l’eccezione. Le aziende si trovano ad affrontare contemporaneamente entrambe le minacce e le misure di difesa necessarie per contrastarle si sovrappongono in modo significativo.

La dimensione della supply chain rende questa situazione particolarmente pericolosa. Una singola violazione può colpire qualsiasi azienda ad essa collegata e numerose di queste organizzazioni non si sono mai considerate un potenziale bersaglio. È proprio su questo presupposto che fanno affidamento gli hacker. Le aziende non sono semplici spettatori, spesso sono proprio loro a consentire il successo degli attacchi su larga scala. L’accesso a una rete aziendale significa accesso a clienti, partner, dati sensibili e sistemi finanziari. Qualsiasi organizzazione inserita in una supply chain complessa può diventare un vettore di attacco.

Le aziende sottovalutano l’impatto delle identità sulla superficie di attacco

Nella maggior parte degli attacchi informatici su larga scala, le identità compromesse sono gli obiettivi principali. Gli aggressori informatici utilizzano tecniche come l’attacco di password spray e la raccolta di credenziali per violare le organizzazioni di tutti i settori, compresi i servizi sanitari e finanziari. In molti casi, il punto di ingresso può essere ricondotto a un’identità compromessa, incluse le identità non umane (NHI) come account di servizio e agenti AI.

Il report della ricerca di Keeper Security, Sicurezza delle identità alla velocità della macchina, rafforza questa tendenza, sottolineando come gli strumenti legacy e l’adozione incontrollata dell’AI stanno accelerando gli attacchi basati sulle identità a un ritmo che numerose organizzazioni non riescono a tenere. Infatti, il 43% dei 3.200 responsabili delle decisioni in materia di sicurezza informatica intervistati a livello globale identifica la gestione delle Identità Non Umane (NHI) correlate all’AI come una delle principali lacune nella governance delle identità. Account di servizio con autorizzazioni obsolete, chiavi API incorporate nei repository di codici e agenti AI forniti al di fuori dei processi di governance con provisioning esterni sono tutte lacune sfruttate dagli attaccanti informatici e la maggior parte delle organizzazioni non ha una visibilità chiara sull’effettivo numero all’interno dei loro ambienti.

L’architettura PAM legacy non era stata progettata per questo ambiente

La maggior parte delle aziende gestisce ancora l’accesso con privilegi utilizzando un’architettura strutturata per ambienti on-premise, amministratori umani e perimetri di rete prestabiliti che ora non sono più al passo con i tempi. Quel modello non riflette più il modo in cui le moderne aziende operano realmente. Le organizzazioni devono ora tenere conto di ambienti cloud-native, forze lavoro distribuite, integrazioni di terze parti e flussi di lavoro guidati dall’AI che hanno dissolto i perimetri che le soluzioni legacy PAM erano state progettate per proteggere. Gli agenti AI, gli account di servizio e altre identità delle macchine spesso rimangono fuori dal loro ambito.

Il divario non è solo tecnico, ma strutturale. Le organizzazioni che non hanno modificato la propria architettura PAM negli ultimi 3 anni probabilmente si trovano a gestire solo una piccola parte dei propri accessi privilegiati effettivi.

Cosa devono fare ora le aziende per non essere esposte a rischi

Per la maggior parte delle aziende, il divario tra l’attuale livello di sicurezza e il contesto delle minacce è più ampio di quanto sembri. Colmare questa lacuna richiede una maggiore attenzione alla sicurezza zero-trust, all’accesso con privilegi minimi e all’architettura PAM.

Adotta la sicurezza zero-trust

La sicurezza zero-trust si basa sul principio che nessun utente, dispositivo o sistema è implicitamente affidabile e non importa se opera all’interno o all’esterno del perimetro di rete. L’accesso viene concesso attraverso una verifica costante dell’identità, del contesto e del rischio, così come viene revocato non appena la verifica non ha esito positivo. Per le aziende che affrontano attaccanti che si muovono lateralmente negli ambienti e utilizzano credenziali legittime, il principio zero trust offre un modello di sicurezza più affidabile che garantisce che ogni decisione di autenticazione venga validata costantemente e non presunta.

Estendi l’architettura PAM alle NHI

L’architettura PAM che blocca gli utenti umani non gestisce tutti gli accessi con privilegi ma ne gestisce solo una parte. L’accesso amministrativo e a livello di macchina ai dati di addestramento dell’AI, agli ambienti di implementazione e ai sistemi di produzione critici deve essere gestito con lo stesso livello di controllo applicato agli account umani con privilegi. In pratica, questo significa avere identità uniche e verificabili per ogni account di servizio e agente AI, limiti di accesso ben definiti e nessun privilegio predefinito.

Applica l’accesso con privilegi minimi

Un eccesso di autorizzazioni generalmente viene affrontato in modo retroattivo attraverso controlli periodici degli accessi. L’accesso con privilegi minimi dovrebbe invece essere integrato sin dall’inizio direttamente nelle pipeline di sviluppo e distribuzione, in modo che alle identità umane e meccaniche venga fornito solo l’accesso necessario per un’attività specifica, niente di più. Prevenire gli accessi non autorizzati sin dalla fase di provisioning è molto più efficace che tentare di contenere a posteriori una violazione della supply chain.

Monitora e verifica tutte le attività

La visibilità completa non è un’opzione quando gli attaccanti informatici possono operare in ambienti utilizzando credenziali compromesse ma legittime. L’attività umana e NHI deve essere monitorata, registrata e tracciata costantemente in tutte le sessioni con privilegi e i flussi di lavoro automatizzati. L’obiettivo è rilevare l’uso improprio dei privilegi, l’esposizione dei dati e i comportamenti sospetti prima che gli incidenti degenerino e causino danni più ampi.

Richiedi la garanzia al fornitore

Il livello di sicurezza di un’azienda è tanto elevato quanto l’anello più debole della sua supply chain. Qualsiasi fornitore con accesso alla tua infrastruttura tramite dati, software o integrazioni può diventare un punto di ingresso per gli attaccanti. L’autocertificazione non è sufficiente. I fornitori devono dimostrare la propria conformità attraverso valutazioni indipendenti e controlli verificabili.

Preparati ai danni collaterali della guerra informatica

La guerra informatica che colpisce le aziende non è una novità. Quello che è cambiato è il livello di automazione dietro questi attacchi e la scalabilità su cui possono ora operare. Non esiste nessuna ragione pratica per supporre che un’impresa non sarà colpita. Le organizzazioni devono valutare se la loro attuale strategia di sicurezza sia in grado di far fronte alle moderne minacce informatiche. Se la tua organizzazione usa ancora strumenti che non sono mai stati progettati su larga scala per ambienti cloud-native o NHI, il divario di governance nell’accesso alle identità e nella sicurezza della supply chain potrebbe essere più ampio di quanto sembri. KeeperPAM è stato sviluppato proprio per colmare questa lacuna.

Darren Guccione

Di Darren Guccione

Darren Guccione è un imprenditore, tecnologo, leader aziendale, nonché CEO e co-fondatore di Keeper Security, il principale fornitore di software di sicurezza informatica zero-trust e zero-knowledge utilizzato a livello globale da milioni di persone e migliaia di aziende. Da decenni è un visionario nel settore della tecnologia. Prima di fondare Keeper, Guccione è stato consulente di NinthDecimal, nonché CFO e co-fondatore di Apollo Solutions, Inc. Ha studiato alla Evans, ha ricevuto un Distinguished Alumnus Award dall’Università dell’Illinois, è ingegnere e CPA. Darren è attivamente coinvolto nella promozione di una cultura dell’innovazione nel suo settore, avendo fatto parte di numerosi consigli, comitati e ruoli di consulenza tecnologica per il settore pubblico e privato. Viene regolarmente citato dai media come esperto in materia per condividere informazioni approfondite sulla sicurezza informatica.