Quale percentuale di organizzazioni ha subito una violazione legata all'identità nell'ultimo anno secondo Sophos?

Il 71% delle organizzazioni a livello mondiale ha subito almeno una violazione della sicurezza legata all'identità nell'ultimo anno.

In che modo le violazioni basate sull'identità differiscono dalle intrusioni di rete tradizionali?

Invece di superare un firewall, gli aggressori compromettono credenziali o token per ottenere un accesso dall'apparenza legittima, rendendo il rilevamento più lento e la correzione più complessa.

Quali sono alcuni esempi concreti recenti di violazioni causate da identità compromesse?

La violazione di Alert 360 ha esposto 2,5 milioni di record e la violazione di Zara ha colpito quasi 200.000 clienti tramite un fornitore terzo, entrambe originate da credenziali di accesso compromesse.

Perché le identità non umane come le chiavi API e gli agenti AI stanno diventando bersagli principali?

Sono spesso gestite male, con permessi troppo ampi, raramente ruotate e monitorate in modo incoerente, il che le rende bersagli di alto valore che possono persistere inosservati.

Cosa rende particolarmente rischiose le chiavi API nei repository di codice?

Una chiave API incorporata in un repository può concedere agli aggressori l'accesso senza una corretta gestione del ciclo di vita, poiché queste identità non umane spesso mancano di rotazione e monitoraggio regolari.

Sophos: il 71% delle aziende colpite da violazioni dell'identità nel 2025

Un importante nuovo rapporto di Sophos ha messo in luce un dato impressionante su un problema di cui i professionisti della sicurezza mettono in guardia da anni: il 71% delle organizzazioni in tutto il mondo ha subito almeno una violazione della sicurezza legata all'identità nell'ultimo anno. I risultati arrivano in un momento in cui gli attacchi basati sull'identità non sono più una minaccia di nicchia, ma il metodo principale con cui gli aggressori ottengono un punto d'appoggio negli ambienti aziendali. Sia per le aziende che per i singoli individui, i dati sono un chiaro segnale che l'igiene dell'identità non può più essere considerata una preoccupazione secondaria.

Cosa rivelano i dati Sophos sulla frequenza e la portata delle violazioni dell'identità

La portata dei risultati di Sophos è difficile da ignorare. Quasi tre organizzazioni su quattro, in tutti i settori e aree geografiche, hanno subito una compromissione legata all'identità in un solo anno. Non si tratta di una manciata di obiettivi di alto profilo; riflette una vulnerabilità sistemica e diffusa nel modo in cui le organizzazioni gestiscono chi, e cosa, ha accesso ai propri sistemi.

Le violazioni legate all'identità differiscono dalle intrusioni di rete tradizionali in modo importante. Invece di superare un firewall, gli aggressori compromettono credenziali o token che garantiscono un accesso dall'aspetto legittimo. Una volta all'interno, possono muoversi lateralmente, aumentare i privilegi ed esfiltrare dati, apparendo, almeno inizialmente, come utenti autorizzati. Ciò rende il rilevamento più lento e la correzione più complessa.

Le conseguenze reali dei fallimenti identitari hanno già riempito i titoli dei giornali nel 2025. La violazione di Alert 360 che ha esposto 2,5 milioni di record e la violazione di Zara che ha colpito quasi 200.000 clienti tramite un fornitore terzo mostrano entrambe come le credenziali di accesso compromesse, sia attraverso attacchi diretti che esposizioni nella catena di fornitura, possano trasformarsi in massicce perdite di dati.

Come le identità non umane e le chiavi API stanno diventando bersagli principali

Uno degli aspetti più lungimiranti del rapporto Sophos è l'attenzione che dedica alle identità non umane. Questa categoria include chiavi API, account di servizio, script di automazione e, sempre più spesso, agenti AI a cui viene concesso l'accesso ai sistemi per svolgere compiti in modo autonomo.

Con l'adozione di strumenti basati sull'AI e l'automazione di un numero crescente di flussi di lavoro, le organizzazioni stanno creando un inventario sempre più ampio di attori non umani che detengono credenziali e permessi. Il problema è che queste identità sono spesso gestite male: i permessi sono eccessivamente ampi, le credenziali vengono ruotate raramente e il monitoraggio di comportamenti anomali è tutt'altro che sistematico.

Una chiave API incorporata in un repository di codice, o un agente AI con accesso in scrittura a un database di produzione, rappresentano un bersaglio di alto valore per gli aggressori. A differenza degli account utente umani, le identità non umane spesso mancano della stessa gestione del ciclo di vita, il che significa che possono persistere a lungo dopo non essere più necessarie e passare inosservate quando vengono compromesse. Il rapporto Sophos identifica questa cattiva gestione come uno dei principali vettori di attacco che determinano la cifra del 71%.

Perché l'errore umano resta l'anello debole nella sicurezza dell'identità

Accanto all'aumento dei rischi legati alle identità non umane, i risultati di Sophos confermano che l'errore umano continua a minare anche i programmi di sicurezza meglio finanziati. Il phishing resta straordinariamente efficace. Il riutilizzo delle credenziali tra account personali e professionali crea vie per gli aggressori per spostarsi da una violazione consumer all'ambiente aziendale. E gli account con privilegi eccessivi, creati per comodità e mai adeguatamente limitati, danno agli aggressori più accesso di quanto dovrebbero mai poter ottenere.

L'elemento umano è evidente anche nella rapidità con cui le violazioni si amplificano una volta ottenuto l'accesso iniziale. Un singolo account compromesso utilizzato da qualcuno con ampi diritti amministrativi può esporre migliaia di record nel giro di poche ore. Il settore sanitario si è rivelato particolarmente vulnerabile, come dimostrato da incidenti come la violazione di NYC Health che ha colpito 1,8 milioni di individui, dove la cattiva gestione dell'identità a qualsiasi livello di un sistema complesso può avere conseguenze sproporzionate.

I programmi di formazione e sensibilizzazione aiutano, ma non sono sufficienti da soli. I dati di Sophos suggeriscono che le organizzazioni necessitano di controlli strutturali che riducano il raggio d'azione degli errori umani, non solo di politiche che dipendano dal fatto che i dipendenti facciano sempre la cosa giusta.

Difesa a più livelli: dove si inseriscono VPN e strumenti di privacy nella protezione dell'identità

Nessun singolo strumento risolve il problema della sicurezza dell'identità, ed è proprio questo il punto. Il concetto di difesa a più livelli, sovrapponendo diversi controlli di sicurezza in modo che un fallimento in uno non significhi automaticamente una compromissione totale, è il quadro che i risultati di Sophos sostengono, anche implicitamente.

Le VPN giocano un ruolo specifico e importante in questa architettura. Crittografando il traffico di rete e mascherando i metadati di connessione, una VPN riduce il rischio che credenziali o token di sessione vengano intercettati in transito, specialmente su reti non fidate. Per i lavoratori remoti che accedono alle risorse aziendali da hotel, aeroporti o spazi di coworking, una VPN è un controllo essenziale ma significativo che chiude una finestra altrimenti aperta.

Oltre alle VPN, una strategia di protezione dell'identità a più livelli include l'autenticazione a più fattori su tutti gli account, il principio del minimo privilegio sia per le identità umane che non umane, un controllo regolare delle credenziali e delle chiavi API attive e il monitoraggio di modelli di accesso anomali. I dati di Sophos confermano che non si tratta di extra opzionali per le grandi imprese; organizzazioni di ogni dimensione sono nel mirino.

Cosa significa per te

Che tu gestisca l'IT per un'azienda o sia semplicemente un individuo che cerca di proteggere i propri account, il rapporto Sophos porta un messaggio diretto: l'identità è ora il perimetro, e va difesa di conseguenza.

Ecco i passi concreti da compiere:

Verifica le tue credenziali. Identifica gli account che usano password riutilizzate o deboli e aggiornali con alternative uniche e complesse, memorizzate in un gestore di password.
Abilita l'autenticazione a più fattori ovunque. Dai la priorità agli account email, finanziari e di lavoro.
Rivedi i permessi delle app e l'accesso alle API. Se gestisci progetti software o strumenti aziendali, verifica quali servizi dispongono di credenziali attive e revoca tutto ciò che non è più in uso.
Usa una VPN su reti non fidate. Crittografare la connessione impedisce l'intercettazione delle credenziali quando ti trovi lontano da ambienti protetti.
Rimani informato sulle violazioni. I servizi che ti avvisano quando la tua email compare in un dataset di violazioni note ti danno un allarme precoce per ruotare le credenziali compromesse prima che gli aggressori possano sfruttarle.

La cifra del 71% di Sophos non è un motivo per farsi prendere dal panico, ma è un motivo per agire. Le violazioni della sicurezza legate all'identità nel 2025 non sono rischi ipotetici; stanno accadendo proprio ora alla maggior parte delle organizzazioni. Costruire difese a più livelli, combinando solide pratiche di identità con protezioni a livello di rete, è la risposta pratica che i dati richiedono.