Semperis, nuovo allarme per la sicurezza delle identità digitali

Semperis lancia l’allarme sull’impatto dell’intelligenza artificiale sulla sicurezza delle identità digitali. Secondo il nuovo report globale “The State of Identity Security in the AI Era”, realizzato su un campione di 1.100 organizzazioni in diversi Paesi, l’adozione accelerata di strumenti e agenti AI sta ampliando la superficie di attacco dei sistemi di identity management come Active Directory, EntraID e Okta, mentre molte aziende non dispongono ancora di adeguate capacità di controllo e recupero in caso di violazione. Lo studio coinvolge imprese di Stati Uniti, Regno Unito, Francia, Germania, Spagna, Italia, Singapore e Australia e mostra come l’AI stia diventando parte integrante dei processi aziendali più sensibili. Il 93% delle organizzazioni utilizza già o prevede di utilizzare agenti AI per attività legate alla sicurezza, come reset password, gestione degli accessi VPN e supporto help desk. Parallelamente, il 92% degli intervistati conferma che strumenti AI sono installati almeno su alcune macchine locali che possono accedere a chiavi SSH o sistemi di crittografia.

La crescente presenza di identità non umane (NHI), cioè agenti software autonomi dotati di privilegi e credenziali, sta però aprendo nuovi scenari di rischio. Il 74% delle aziende a livello globale ritiene infatti che l’intelligenza artificiale aumenterà gli attacchi contro le infrastrutture di identità. In Italia la percentuale si attesta al 62%, ma il dato più significativo riguarda la percezione delle minacce: il 74% delle organizzazioni italiane considera proprio l’identità digitale il principale bersaglio degli attacchi AI-driven, più delle reti o dei data center. Nonostante questa consapevolezza, il livello di fiducia nella capacità di recupero resta basso. Solo il 32% delle aziende a livello globale si dichiara molto sicuro di poter riprendere il controllo nel caso in cui un sistema AI esponga credenziali amministrative a un attaccante. In Italia la percentuale scende al 20%, evidenziando un forte gap tra adozione tecnologica e resilienza operativa.

“L’adozione accelerata dell’AI sta introducendo una moltitudine di nuovi agenti, ciascuno con una propria identità non umana all’interno delle imprese globali -, ha dichiarato Alex Weinert, Chief Product Officer di Semperis –. Molte aziende sono troppo ottimiste riguardo alla propria capacità di ripristinare l’infrastruttura di identità dopo una violazione.”

Il report evidenzia inoltre criticità nei sistemi di governance delle identità AI. Solo il 65% delle organizzazioni afferma che queste identità sono completamente registrate, autenticate e autorizzate all’interno di un sistema formale, mentre il 6% ammette di non monitorarle affatto. In Italia emerge un approccio differente rispetto agli altri Paesi coinvolti: il 55% delle aziende utilizza sistemi separati per gestire le identità AI rispetto a quelle umane, la percentuale più alta dell’intero studio.

Sul fronte positivo, la governance delle identità AI è ormai considerata una priorità strategica dall’83% delle organizzazioni intervistate e dall’80% di quelle italiane. Tra le best practice suggerite da Semperis figurano l’applicazione del principio del minimo privilegio agli agenti AI, la separazione dei confini di fiducia tra utenti umani e AI, il monitoraggio comportamentale tramite analisi UEBA e la capacità di ripristinare rapidamente i sistemi di identità compromessi.

“L’adozione dell’intelligenza artificiale sta superando la preparazione in materia di sicurezza all’interno della maggior parte delle organizzazioni -, ha concluso Antonio Feninno, AVP di Semperis per il Sud Europa –. In Italia stiamo osservando una crescente consapevolezza del fatto che l’AI amplifica sia le opportunità sia le minacce. La priorità deve essere proteggere le identità digitali con resilienza, trasparenza e un approccio proattivo.”