In questi giorni si è tornati a parlare con il caso della Galleria degli Uffizi di cyberattacchi con il tono che si riserva agli incidenti visibili, quelli che fanno rumore e finiscono subito nei titoli. Ma dentro molte aziende il punto in cui la sicurezza si incrina è spesso molto meno clamoroso, e molto più ordinario. Accade quando una regola pensata per tutti diventa negoziabile per qualcuno che conta.
Chi segue davvero questi temi conosce bene la scena. C’è sempre un profilo apicale che non vuole l’autenticazione a più fattori perché sul telefono gli fa perdere tempo, o che sposta i file su un cloud personale perché gli risulta più comodo, o che pretende la macchina sbloccata per installare quello che gli serve. Presi uno per uno sembrano compromessi accettabili ma in realtà sono proprio quelli che fanno saltare il banco.
Del resto il ragionamento è semplice perché più sali in organigramma, più crescono accessi, dati, relazioni, potere di firma e possibilità di fare danni anche senza volerlo. Per questo l’eccezione concessa ,come peraltro succede allo scrivente, a un profilo apicale non equivale a quella concessa a un utente qualsiasi — pesa incomparabilmente di più. Oggi gli attaccanti ragionano esattamente così e non guardano soltanto alla persona da colpire, ma a ciò che quell’identità può aprire una volta compromessa.
I numeri, questa volta, sono piuttosto nitidi, a gennaio CyberArk ha rilevato che solo l’1 per cento delle organizzazioni ha adottato davvero un modello di accessi privilegiati just in time, mentre nel 91 per cento dei casi almeno metà degli accessi privilegiati resta sempre attiva — disponibile, permanente, spesso più ampia del necessario. Nella stessa ricerca il 63 per cento ammette che i dipendenti aggirano i controlli per andare più veloci. È difficile trovare una fotografia più chiara del problema che ho scattato usando chat gpt e Claude.
A febbraio Darktrace ha aggiunto un dato che merita attenzione rilevando che nel 2025 più di 8,2 milioni di email di phishing sono state rivolte a utenti VIP, oltre un quarto di tutta l’attività di phishing osservata. Negli Stati Uniti e nelle Americhe, quasi il 70 per cento degli incidenti analizzati è partito da account rubati o usati impropriamente — non da una falla spettacolare, ma da un accesso legittimo finito nelle mani sbagliate.
Pochi giorni fa Microsoft ha descritto una campagna di phishing su larga scala costruita proprio per compromettere account aziendali e ottenere token di accesso validi senza rubare la password nel modo tradizionale. È un passaggio importante, perché conferma che la battaglia vera si sta spostando sull’identità e sui privilegi che quell’identità porta con sé.
Eppure in troppe aziende si blinda la base e si tratta il vertice come una deroga permanente. Poi ci si stupisce se il rischio entra dalla porta principale, senza forzare nulla, con il badge giusto. Il vero problema, insomma, non sono i profili apicali in sé ma le eccezioni che li circondano.
.
