In un’epoca in cui si parla sempre più di attacchi sofisticati, di firewall e barriere digitali, emerge un’immagine sorprendente e al tempo stesso inquietante: l’attaccante moderno non cerca più di sfondare i muri. Piuttosto, si limita a entrare usando porte già aperte, o meglio, accessi autenticati. Il fenomeno è chiaro: quasi quattro attacchi su cinque oggi aggirano del tutto le difese tradizionali, grazie all’uso indebito di credenziali legittime. Non c’è rottura, non c’è compromesso evidente: c’è un “login” legittimo travestito da exploit.
Questa trasformazione profonda delle minacce nasce insieme all’avanzare dell’AI generativa, che sta plasmando la sicurezza delle identità come nulla aveva fatto prima. Le tecniche fanno leva su intelligenza artificiale per costruire deepfake, voice phishing o “vishing”, ma anche per impersonare utenti in modo estremamente realistico e difficilmente distinguibile, aggirando sistemi come l’autenticazione a più fattori (MFA) che fino a poco tempo fa erano considerate tra le barriere più robuste.
Una evidenza che mette i brividi è che molte organizzazioni hanno subito intrusioni correlate all’identità durante l’ultimo anno: infiltrazioni non attraverso vulnerabilità software esplicitamente sfruttate, ma tramite credenziali ottenute o rubate, oppure tramite la imitazione di comportamenti “legittimi”. L’esperienza accumulata dimostra che gli approcci tradizionali — basati su regole statiche, revisioni periodiche, autenticazioni convenzionali — non riescono più a stare al passo con la velocità e la creatività degli attaccanti.
Un caso emblematico è quello di Cushman & Wakefield, gigantesco operatore immobiliare internazionale, che con decine di migliaia di dipendenti sparsi in ogni zona oraria ha dovuto ripensare la sicurezza dell’identità come qualcosa che accompagna ogni accesso, non solo quelli “sensibili”. Per l’azienda non è bastato un firewall migliore, né procedure più rigide: era necessario costruire una sorveglianza in tempo reale dei comportamenti, una capacità di misurare anomalie, reagire immediatamente quando un account – sia umano che di macchina – accede a risorse inusuali, espandendo improvvisamente i privilegi. In quel momento l’accesso non più prescritto diventa segnale, diventa allarme.
Con queste esigenze è nata una nuova generazione di strumenti: piattaforme che non solo verificano “chi sei” o “cosa hai accesso a”, ma “cosa stai facendo, dove, come” in modo continuo. L’identità non è più un attributo statico, è un flusso, un insieme di segnali comportamentali, ambientali, contestuali. Machine-identity, account di servizio, agenti automatizzati, intelligenze artificiali: tutto deve essere monitorato, confrontato con baseline di comportamento, valutato in tempo reale. In questo scenario il tradizionale perimetro della sicurezza — la rete, il data center, il gateway — perde potere, perché l’attacco spesso è interno o sfrutta identità già accettate.
C’è un contrasto evidente tra velocità delle intrusioni e lentezza dei vecchi metodi di difesa. Mentre un attaccante con smart phishing o con credenziali compromesse può muoversi lateralmente in pochi decine di secondi, la revisione mensile dei permessi, la verifica trimestrale, le policy che richiedono interventi umani appaiono insufficienti. Il comportamento degli account che “all’improvviso” accedono a risorse non usuali diventa segnale prezioso, ma solo se il sistema lo riconosce in tempo, se l’automazione interviene non quando è troppo tardi.
Un’altra area in cui l’AI mostra il suo potenziale e al contempo spinge la complessità al massimo è nella governance delle identità e nel risk management dinamico. Sistemi che valutano vulnerabilità in maniera statica, assegnando punteggi fissi alle falle, vengono messi in crisi da exploit che sfruttano situazioni che non erano considerate “critiche” fino a quel momento. Diventa importante vedere queste vulnerabilità in prospettiva: quali account le toccano, quanto sono usate, che impatto può avere una compromissione. L’AI può aiutare a collegare i puntini tra asset, utenti, permessi, comportamenti, storicità, anomalie.
Ma non tutto è roseo. Il fatto che le identità siano diventate il nuovo perimetro significa che il rischio diventa più sottile, meno visibile. Come riconoscere se una voce che parla in faccia al telefono è deepfake? Come distinguere un login da dentro casa da uno fatto da lontano, con VPN, con credenziali duplicate? Come gestire la privacy, il rischio di falsi positivi, il carico operazionale che deriva dal sorvegliare milioni di eventi ogni giorno? Intervenire troppo in fretta può bloccare utenti legittimi, generare frustrazione, compromettere produttività, mentre intervenire troppo tardi può permettere danni enormi.
Si sta delineando una sfida culturale, prima ancora che tecnica. Le aziende devono ripensare la fiducia: non più data per scontata quando si ha un “username + password + MFA”, ma continuamente guadagnata, continuamente verificata. Serve una visione che integri comportamenti, identità, contesto, rischio, dinamica. Serve che strumenti vivano insieme al flusso operativo, che si adattino, apprendano ciò che è normale in un’organizzazione, che distinguano tra un’azione rara ma legittima e un’azione sospetta.
Le conclusioni necessariamente guardano al futuro. Le difese del passato non bastano più, ma il problema non è tanto costruire muri più alti quanto cambiare l’architettura del confine: l’identità diventa confine. Difendere non è più impedire “l’ingresso” bensì sorvegliare come quell’ingresso viene usato, cosa accade dopo che il login è stato concesso. Serve formazione, consapevolezza, governance, regolamentazione. Serve che le imprese investano non solo in tecnologia, ma in processi, in cultura della sicurezza, nella capacità di reagire, autocorreggersi, anticipare.
Il fenomeno è già qui, non è una minaccia futura lontana. Le aziende che stanno correndo dietro oggi non stanno solo proteggendo dati, stanno proteggendo le proprie fondamenta: fiducia, reputazione, continuità. Nell’ultimo anno molte hanno realizzato che non basta più chiedersi “cosa farei se qualcuno entrasse”, ma piuttosto “cosa succede quando qualcuno entra usando un’identità che sembra legittima”. Se non sei pronto a rispondere a quest’ultima domanda, potresti scoprire che la porta di casa era aperta da molto tempo.