L'identità è il nuovo perimetro aziendale
Il concetto di perimetro aziendale tradizionale è superato. Con il lavoro ibrido, il cloud computing e i dispositivi personali, le risorse aziendali sono distribuite ovunque. Non c'è più un muro da difendere: ogni accesso passa attraverso un'identità digitale.
Secondo Microsoft, vengono bloccati oltre 7.000 attacchi basati su password ogni secondo — il 75% in più rispetto al 2024. Il 97% degli attacchi alle identità utilizza password spray. Le credenziali compromesse restano il vettore principale per ransomware, data breach e movimenti laterali nelle reti aziendali. La gestione delle identità digitali non è più un tema IT: è una priorità di business.
Identity Management Day 2026: perché è importante
L'Identity Management Day, promosso dalla IDSA (Identity Defined Security Alliance) e dalla NCA (National Cybersecurity Alliance), si celebra ogni secondo martedì di aprile. L'edizione 2026 cade il 14 aprile ed è dedicata alla sensibilizzazione di aziende e professionisti sull'importanza della gestione sicura delle identità digitali.
Il messaggio centrale è chiaro: proteggere le identità significa proteggere l'azienda. Non basta un firewall o un antivirus se le credenziali di accesso sono deboli, condivise o non monitorate. Ogni account non protetto è una porta aperta per gli attaccanti.
Microsoft Entra ID e la gestione delle identità cloud
Microsoft Entra ID (ex Azure Active Directory) è la piattaforma IAM (Identity and Access Management) cloud di Microsoft. Gestisce l'autenticazione e l'autorizzazione per milioni di organizzazioni nel mondo, integrandosi nativamente con Microsoft 365, Azure e migliaia di applicazioni SaaS.
Le funzionalità chiave di Entra ID per la sicurezza delle identità includono:
- Single Sign-On (SSO)— un'unica identità per accedere a tutte le applicazioni aziendali, riducendo la proliferazione di password.
- MFA (Multi-Factor Authentication)— autenticazione a più fattori che blocca il 99,9% degli attacchi basati su credenziali rubate.
- Conditional Access— policy che valutano il rischio in tempo reale (posizione, dispositivo, comportamento) prima di concedere l'accesso.
- Identity Protection— rilevamento automatico di accessi anomali, credenziali compromesse e comportamenti sospetti basato su machine learning.
MFA, Conditional Access e Zero Trust
Il modello Zero Trust si basa su un principio semplice: non fidarti mai, verifica sempre. Ogni accesso deve essere autenticato, autorizzato e continuamente validato, indipendentemente dalla posizione dell'utente o dal dispositivo utilizzato.
In pratica, questo si traduce in una strategia a più livelli:
- 1MFA obbligatoria per tutti gli utenti— non basta una MFA qualsiasi. SMS e OTP sono vulnerabili ad attacchi adversary-in-the-middle. Configurare metodi phishing-resistant (FIDO2, passkey, Windows Hello) e disabilitare i fallback deboli è la priorità numero uno.
- 2Conditional Access basato sul rischio— policy che richiedono verifiche aggiuntive quando il rischio è elevato (accesso da un paese insolito, dispositivo non conforme, orario anomalo).
- 3Privileged Identity Management (PIM)— accesso privilegiato concesso solo quando necessario, con approvazione e scadenza temporale. Nessun account admin sempre attivo.
- 4Monitoraggio continuo con EDR/XDR — integrazione tra identità e soluzioni EDR e XDR per correlare segnali di compromissione delle identità con attività sospette sugli endpoint.
La Direttiva NIS2 include esplicitamente la gestione degli accessi e l'autenticazione forte tra le misure obbligatorie (Articolo 21). Implementare un modello Zero Trust basato su Entra ID non è solo una best practice: è un requisito normativo.
Cosa può fare la tua azienda oggi
L'Identity Management Day è l'occasione giusta per valutare la postura di sicurezza delle identità nella tua organizzazione. Ecco da dove iniziare:
- Attiva la MFA su tutti gli account— privilegia metodi phishing-resistant come FIDO2 e passkey. La MFA tradizionale via SMS è meglio di niente, ma non protegge dagli attacchi più sofisticati.
- Rivedi le policy di accesso condizionale— verifica che le policy Conditional Access siano configurate per bloccare accessi da posizioni e dispositivi non autorizzati.
- Elimina gli account orfani— account di ex dipendenti o collaboratori ancora attivi sono un vettore di attacco sottovalutato. Implementa processi di deprovisioning automatico.
- Valuta la tua postura con un assessment — il nostro assessment NIST CSF 2.0 gratuito include domande specifiche sulla gestione delle identità e degli accessi.
AtWorkStudio opera da Piacenza dal 2000. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, con qualificazione ACN per i servizi cloud. Siamo membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT. Il nostro servizio di gestione delle identità digitali è progettato per le PMI che vogliono proteggere i propri accessi senza complessità inutili. Contattaci per una consulenza personalizzata.
Domande frequenti
Cos'è l'Identity Management Day?
L'Identity Management Day è una giornata internazionale di sensibilizzazione, promossa dalla Identity Defined Security Alliance (IDSA) e dalla National Cybersecurity Alliance (NCA), che si celebra ogni secondo martedì di aprile. L'edizione 2026 cade il 14 aprile. L'obiettivo è richiamare l'attenzione sull'importanza della gestione sicura delle identità digitali come primo livello di difesa contro gli attacchi informatici.
Perché l'identità digitale è considerata il nuovo perimetro aziendale?
Con il lavoro ibrido, il cloud e i dispositivi personali, il perimetro di rete tradizionale non esiste più. Ogni accesso avviene tramite un’identità digitale — utente, dispositivo, applicazione. Microsoft blocca oltre 7.000 attacchi password al secondo, rendendo la gestione delle identità il punto critico della sicurezza aziendale.
Cos'è l'IAM (Identity and Access Management)?
L'IAM (Identity and Access Management) è l'insieme di policy, processi e tecnologie che gestiscono le identità digitali e il loro accesso alle risorse aziendali. Include autenticazione (verificare chi sei), autorizzazione (definire cosa puoi fare), provisioning e deprovisioning degli account, e governance degli accessi. Microsoft Entra ID è la piattaforma IAM cloud di Microsoft.
Come funziona la MFA e perché riduce il rischio del 99,9%?
La MFA (Multi-Factor Authentication) richiede almeno due fattori di verifica: qualcosa che sai (password), qualcosa che hai (smartphone, token) e qualcosa che sei (biometria). Secondo Microsoft, la MFA blocca il 99,9% degli attacchi basati su credenziali rubate perché anche se la password viene compromessa, l'attaccante non dispone del secondo fattore. È la misura singola più efficace per proteggere le identità aziendali. È fondamentale scegliere metodi phishing-resistant (FIDO2, passkey) anziché SMS o OTP tradizionali, vulnerabili ad attacchi adversary-in-the-middle.
La NIS2 richiede la gestione delle identità digitali?
Sì. La Direttiva NIS2 include esplicitamente la gestione degli accessi e delle identità tra le misure di sicurezza obbligatorie (Articolo 21). Le organizzazioni soggette devono implementare policy di controllo degli accessi, autenticazione forte (MFA) e gestione privilegiata degli account. Un sistema IAM strutturato con Conditional Access e Zero Trust è il modo più efficace per soddisfare questi requisiti.
Fonti
- Microsoft Digital Defense Report 2025
- NIST Cybersecurity Framework 2.0
- Identity Defined Security Alliance — Identity Management Day 2026