C'è un momento in cui una tendenza smette di essere una previsione e diventa realtà. Per la cybersecurity, quel momento è adesso.
Per anni abbiamo sentito dire che il perimetro aziendale stava scomparendo. Che i firewall non bastavano più. Che il vero rischio veniva dall'interno, dalle credenziali rubate, dagli account dimenticati. Parole giuste, ma spesso rimaste nel limbo delle slide di conferenza. Nel 2026, però, quella realtà è arrivata nei tribunali, nei regolamenti europei e nei bilanci delle aziende colpite. E ha un nome preciso: Identity-First.
L'attacco non sfonda la porta. Entra con il badgeIl paradigma è cambiato in modo sottile ma radicale. Le violazioni non riguardano più il "bucare" i firewall: riguardano il fare accesso tramite credenziali legittime. L'attaccante non sfonda nulla. Si autentica. Usa un token valido, un account dimenticato, una chiave API mai revocata. Dal punto di vista del sistema, è tutto regolare.
Il 29 aprile scorso, nella Sala Caduti di Nassirya al Senato della Repubblica, la conferenza "Le sfide Cyber del 2026: il panorama delle minacce a partire dalla AI Supply Chain fino al modello Identity-First Intrusion" ha messo in fila un punto che le organizzazioni italiane devono trattare come tema di continuità operativa: l'attaccante cerca accessi validi, sfrutta la fiducia tra sistemi e colpisce la catena che porta software, modelli, dati e automazioni dentro i processi produttivi.
Portare questo dibattito in Parlamento non è un dettaglio simbolico. Significa riconoscere che un attacco informatico non è più una questione IT - è una questione di continuità dello Stato.
NIS2: finalmente concreta
Nel frattempo, la direttiva europea NIS2 ha smesso di essere un acronimo da convegno. 21 dei 27 stati membri dell'UE l'hanno recepita nel diritto nazionale entro marzo 2026. In Italia il percorso è in corso, ma le aziende che operano con partner europei - o che rientrano nei 18 settori critici coperti dalla direttiva - non hanno più il lusso di aspettare.
Le regole sono chiare. L'autenticazione a più fattori deve essere implementata su tutti gli accessi amministrativi e privilegiati. Le organizzazioni devono applicare politiche rigorose di gestione delle identità e degli accessi, con verifiche periodiche e il principio del minimo privilegio. E soprattutto: i vertici aziendali sono obbligati per legge a seguire formazione in cybersecurity e a offrire una formazione analoga ai dipendenti su base regolare. Non è una raccomandazione. È un obbligo normativo, con sanzioni fino a 10 milioni di euro e responsabilità personale per i dirigenti.
Il problema che nessuno vuole guardare
C'è un dato che fa riflettere, e che raramente entra nelle presentazioni aziendali. Le identità non umane - API key, token OAuth, service account, certificati - superano quelle umane in un rapporto di 82 a 1, crescono al 44% annuo, e il 97% ha privilegi eccessivi rispetto alle effettive esigenze operative.
Tradotto: ogni progetto avviato genera credenziali. Ogni integrazione, ogni prova, ogni automazione produce chiavi di accesso. Quasi nessuna viene rimossa quando il progetto finisce. Il risultato è un'infrastruttura piena di "fantasmi" - account attivi, privilegiati, non monitorati - che aspettano solo di essere sfruttati.
I sistemi IAM tradizionali sono stati costruiti per gestire l'accesso - chi può fare cosa. Non per rilevare quando un accesso legittimo viene usato in modo anomalo. Un token OAuth valido usato per scaricare l'intera knowledge base aziendale è formalmente autorizzato; operativamente è un furto di dati. La differenza tra le due cose, oggi, la fa solo il comportamento - e solo un sistema che monitora le identità nel tempo riesce a coglierla.
La parte scomoda: il problema sono le persone. E la soluzione anche.
L'awareness in cybersecurity nel 2026 non riguarda più il dire alle persone cosa non fare. Si tratta di progettare ambienti in cui i comportamenti rischiosi siano più difficili da compiere senza essere notati.
È una distinzione importante. Il vecchio modello puntava sulla paura e sulla responsabilizzazione individuale: "non cliccare link sospetti", "usa password sicure". Funzionava poco allora, funziona ancora meno oggi, quando gli attacchi sono costruiti per sembrare normali. La risposta non è formare le persone a riconoscere il pericolo - è costruire sistemi in cui il pericolo sia strutturalmente più difficile da concretizzare.
Detto questo, il fattore umano resta centrale. Non perché le persone siano l'anello debole, ma perché sono l'unico anello capace di ragionare in contesto. Le organizzazioni che mettono l'identità al centro non solo riducono il rischio: accelerano anche l'innovazione. L'approccio identity-first non è più una scelta tecnologica, ma un principio culturale e architetturale.
Sicurezza non come reparto. Non come software. Come modo di lavorare. È questo il salto che il 2026 sta chiedendo - e che molte organizzazioni italiane, tra NIS2 e nuovi modelli di attacco, non possono più rimandare.