L’Identity Management Day 2026, che si tiene ogni anno il secondo martedì di aprile ed è giunto alla sesta edizione, punta a sensibilizzare l’opinione pubblica sull’importanza della gestione e della protezione delle identità digitali per i singoli individui e le organizzazioni, “richiamando l’attenzione sul ruolo centrale dell’identità nella sicurezza digitale moderna”, secondo Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Istituito dall’Identity Defined Security Alliance (IDSA) e dalla National Cybersecurity Alliance, l’evento sottolinea che il 79% delle organizzazioni ha subito violazioni legate alle identità, ma la prevenzione sarebbe sufficiente.
“Il sesto Identity Management Day mette in evidenza la natura in continua evoluzione dell’identità digitale”, commenta Sean Deuby, Semperis Principal Technologist in occasione del prossimo Identity Management Day.
Ma la verità è che “la gestione delle identità e degli accessi (IAM) è oggi centrale in quanto il tradizionale perimetro di rete è ormai scomparso”, secondo Domenico Raguseo, Head of CyberSecurity & ( Digital ) Infrastructure Exprivia.
Ma a rendere il tema quest’anno così scottante è la veloce proliferazione delle identità non umane negli ambienti IT.
Ecco come mitigare i rischi, dal momento che “parliamo tanto di firewall, EDR e threat intelligence, ma poi lasciamo le identità gestite male: è lì che entri davvero”, avverte Sandro Sana, Ethical Hacker e membro Comitato Scientifico Cyber 4.0.
Infatti “l’Identity Management Day ci ricorda una verità semplice: l’identità non è un dettaglio amministrativo, ma il punto in cui diritti, fiducia e responsabilità si incontrano e, neppure tanto in fondo, è la nostra prima infrastruttura critica”, secondo Alessandro Curioni, Presidente e fondatore di DI.GI Academy.
Indice degli argomenti
Identity Management Day: cos’è e a cosa serve la gestione dell’identità
L’Identity Management o gestione delle identità rappresenta “la protezione degli accessi è fondamentale quanto la protezione dei sistemi stessi. L’identità digitale è uno degli asset più critici da proteggere nell’ecosistema tecnologico attuale”, spiega Paganini.
Infatti l’identità è sempre più spesso sotto attacco da parte dei cyber criminali, che sfruttano differenti modalità per sottrarre le credenziali utente. E, una volta ottenute, ottengono libero accesso all’ambiente e alle infrastrutture target.
L’identità digitale è sotto pressione per i crescenti attacchi per frodi digitali che si moltiplicano tramite ripetuti tentativi di sottrarre le identità digitali altrui per rivenderle direttamente nel Dark Web, oppure attraverso appropriazione subdola delle credenziali di quei soggetti le cui organizzazioni sono obiettivi al fine di esfiltrare dati strategici o sensibili da monetizzare.
“Nell’era digitale, proteggerla non significa solo difendere un dato, ma custodire la persona che quel dato rappresenta. Una necessità che, come ho già scritto, ci costringe a non essere mai qualcuno una volta per tutte e ad essere accettati dai sistemi solo “temporaneamente”. Il rischio è che l’accesso finisca per prevalere sull’identità, l’effetto collaterale è che la fiducia venga sostituita da una verifica continua, trasformandoci in variabili da validare”, sottolinea Alessandro Curioni.
“L’Identity Management non è burocrazia IT: è controllo del rischio“, conclude Sandro Sana: “Se non sai esattamente chi può fare cosa nei tuoi sistemi, non stai gestendo la sicurezza. Stai solo sperando”.
Il tema di quest’anno è la rapida diffusione delle identità non umane negli ambienti IT.
L’impatto dell’AI sulle identità non umane
“La crescita meteoritica dell’intelligenza artificiale, in generale, e il suo impatto sulle identità non umane (NHI), in particolare, hanno portato l’attenzione sulla sicurezza delle identità come mai prima d’ora”, spiega Sean Deuby.
“Ma, in una prospettiva più ampia, questo fenomeno non fa che mettere in luce le stesse criticità che caratterizzano la gestione delle identità sin da quando è stata definita come tale. E la fase di discovery ne ha sempre fatto parte”, continua Deuby.
“Consentire al business di operare è sempre stata la priorità per l’IT. Al contrario, la gestione delle identità create per supportare il business non lo è stata, perché non produce benefici diretti e immediati per l’organizzazione”, avverte Sean Deuby, secondo il quale “serve creare un gruppo, popolarlo e collegarlo a un’applicazione”.
“Serve subito un account di servizio immediatamente. Meglio concedergli anche qualche privilegio in più, così da evitare problemi di autorizzazioni in futuro”, secondo Deuby.
“Quante volte capita di vedere una richiesta del tipo ‘Rimuovete questo account perché non viene più utilizzato’? Raramente. A meno che non si tratti di organizzazioni soggette a normative stringenti, la governance e l’amministrazione delle identità (IGA) restano spesso un aspetto secondario. È una realtà che accompagna l’IT da sempre”, sottolinea Sean Deuby.
“Questo rientra in quella categoria della sicurezza delle identità che definisco ‘mangiare le verdure’: sappiamo che fa bene, ma non lo facciamo abbastanza. Anche dopo oltre 26 anni dalla sua diffusione, la governance delle identità è tutt’altro che una pratica consolidata negli ambienti Active Directory, soprattutto nelle realtà più piccole”, mette in guardia Sean Deuby.
I service account negli ambienti on-premises
Dal momento che i sistemi di identità, come Active Directory, hanno cicli di vita molto lunghi, queste decisioni quotidiane si accumulano nel corso di anni o decenni.
“Le organizzazioni si ritrovano così con migliaia, se non decine di migliaia, di identità non umane scarsamente regolamentate (i cosiddetti service account negli ambienti on-premises)”, spiega Sean Deuby.
“Questo è uno dei motivi per cui i sistemi di identità rappresentano un bersaglio privilegiato per gli attori malevoli: sanno bene che queste identità sono eccessivamente privilegiate, poco protette e trascurate.
“Se a questi fattori si aggiunge la facilità d’uso dei servizi cloud e si ‘versa sopra’ il carburante dell’intelligenza artificiale, mettendo poi il fiammifero in mano agli sviluppatori, il risultato è la situazione attuale: un vero e proprio incendio fuori controllo, con le identità non umane che crescono a un ritmo quasi geometrico rispetto a quelle umane. È giusto essere preoccupati”, evidenzia Sean Deuby.
L’identità come principale punto di controllo della sicurezza
La gestione delle identità e degli accessi (IAM) è cruciale in uno scenario dove è tramontato il tradizionale perimetro di rete. “Oggi il perimetro non esiste più, esistono solo identità e troppo spesso sono il punto più debole”, conferma Sandro Sana.
“Con cloud, SaaS e microservizi, le organizzazioni devono controllare chi accede a cosa in modo continuo, da qualsiasi luogo e dispositivo. L’identità è quindi diventata il principale punto di controllo della sicurezza”, evidenzia Domenico Raguseo.
“Allo stesso tempo, la sua gestione si è complicata enormemente. I modelli IAM tradizionali, pensati per utenti interni e identità statiche, non riescono più a gestire un ecosistema composto da identità umane e non umane: applicazioni, dispositivi, macchine e workload dinamici”, sottolinea Domenico Raguseo.
“In ambienti moderni, soprattutto nei microservizi, le comunicazioni machine-to-machine sono predominanti e rendono inadeguato l’uso di credenziali statiche”, avverte l’Head of CyberSecurity & (Digital) Infrastructure di Exprivia. “Questa complessità porta a un aumento significativo dei rischi. Credenziali compromesse, privilegi eccessivi, identità non governate e certificati mal gestiti rappresentano oggi alcune delle principali cause di attacco”.
Inoltre, “molte organizzazioni soffrono di una forte frammentazione dei sistemi IAM, con soluzioni non integrate che creano silos e riducono la visibilità complessiva. A ciò si aggiunge il problema dell’esperienza utente: controlli di sicurezza troppo invasivi possono rallentare il lavoro e spingere verso comportamenti insicuri. Diventa quindi necessario trovare un equilibrio tra protezione e semplicità d’uso”, avverte Raguseo.
Best Practice per rafforzare la gestione dell’identità
L’iniziativa offre risorse, buone pratiche ed eventi per promuovere una migliore igiene della sicurezza informatica, esortando tutti a “Be Identity Smart”.
In questo contesto, la scoperta delle identità non umane riveste un ruolo importante.
“Non possiamo limitarci a constatare il problema: è necessario agire subito. Occorre introdurre controlli il prima possibile e, soprattutto, individuare ciò che esiste già, utilizzando tutti gli strumenti disponibili, per comprenderne la reale portata. Non si può valutare la dimensione del problema finché non lo si osserva da vicino”, conclude Sean Deuby.
Per rafforzare la gestione dell’identità, occorre sensibilizzare l’opinione pubblica, implementare l’autenticazione a più fattori (MFA), minimizzare il privilegio, gestire le identità delle macchine e ridurre i rischi.
Bisogna informare i dirigenti aziendali, i responsabili delle decisioni IT e il pubblico sulla protezione delle identità digitali. Occorre inoltre adottare l’autenticazione a più fattori (MFA) su tutti gli account, dando priorità ai metodi resistenti al phishing. Il privilegio minimo significa concedere agli utenti solo l’accesso minimo necessario per i loro ruoli.
“Il controllo degli accessi deve concentrarsi sulla verifica continua dell’identità e sul contesto in cui avviene ogni richiesta di accesso ai dati.
Con l’evoluzione di IA e deepfake, è cruciale adottare buone pratiche come autenticazione multifattore (MFA), principi di Zero Trust, gestione dei privilegi minimi (least privilege) e monitoraggio continuo degli accessi”, conferma Paganini.
Poi è necessario proteggere il numero crescente di identità non umane, delle macchine e guidate dall’intelligenza artificiale. Bisogna infine affrontare le minacce relative alle credenziali compromesse e alla gestione impropria degli accessi.
“In questo contesto emerge l’esigenza di un approccio più evoluto, capace di gestire la complessità in modo coerente e scalabile. È qui che si inserisce l’idea di un modello integrato e distribuito per la gestione delle identità , Identity Fabric “, avverte Domenico Raguseo.
L’Identity Fabric, per superare la frammentazione dei sistemi tradizionali
“L’Identity Fabric è un modello concettuale e operativo che definisce come orchestrare e integrare le diverse componenti IAM in un sistema unitario. L’idea è quella di creare un ‘tessuto’ di servizi e capacità (autenticazione, autorizzazione, governance, gestione dei privilegi e delle identità non umane) che, pur essendo distribuiti, funzionano in modo coordinato attraverso policy comuni e controllo continuo”, spiega Raguseo.
“In questo modo, l’Identity Fabric consente di superare la frammentazione dei sistemi tradizionali, garantendo una gestione uniforme delle identità e degli accessi lungo tutto il loro ciclo di vita, indipendentemente dalla natura delle identità o dalla collocazione delle risorse. Non introduce semplicemente nuovi strumenti, ma definisce un modo diverso di progettare e governare l’IAM, rendendolo più flessibile, integrato e adatto ai modelli di sicurezza moderni, come lo Zero Trust“, conclude Domenico Raguseo.
“Attacchi come credential stuffing e compromissioni IAM dimostrano che un singolo account può avere impatti sistemici. Integrare una gestione sicura dell’identità nelle infrastrutture critiche è fondamentale per la sovranità digitale. La sicurezza non è uno stato, ma un processo costante di verifica, consapevolezza e adattamento”, mette in guardia Paganini.
