In sintesi
Nel 2026, la quasi totalità degli attacchi informatici non sfrutta vulnerabilità software. Sfrutta credenziali legittime. Scopri perché proteggere l’identità è diventato il problema numero uno della cybersecurity aziendale.
%
degli incidenti vede l'identità come vettore principale - Unit 42 / Palo Alto Networks, 2026
credenziali compromesse analizzate nell'ultimo anno - Specops Breached Password Report, 2026
%
dei breach cloud parte da un'identità compromessa - Google Cloud Threat Horizons H1, 2026
è il tempo mediano dal primo accesso al movimento laterale - Google M-Trends, marzo 2026
Il perimetro non esiste più. L’identità sì.
Per anni la sicurezza informatica aziendale è stata pensata come un castello: firewall solidi, reti segmentate, accessi controllati agli ingressi. Ma il castello ha perso senso nel momento in cui i dipendenti lavorano da casa, i dati stanno su SaaS e cloud, e le credenziali girano tra dispositivi personali, app di terze parti e servizi integrati.
Oggi il confine da difendere non è più la rete. È l’identità. E i criminali lo sanno benissimo.
“Non stanno forzando le porte. Stanno accedendo con credenziali valide, muovendosi come utenti legittimi, rendendo il rilevamento quasi impossibile per i sistemi tradizionali.”
— Sam Rubin, SVP Threat Intelligence, Unit 42 / Palo Alto Networks
Cosa dicono i dati del 2026
Non stiamo parlando di previsioni o scenari futuri. I report pubblicati nelle ultime settimane da alcuni dei più autorevoli centri di threat intelligence mondiali raccontano una realtà già in atto:
- Unit 42 (Palo Alto Networks), febbraio 2026: su oltre 750 incident response analizzati, l’identità è stata fattore determinante nel 90% dei casi. L’accesso iniziale nel 65% degli incidenti è partito da tecniche basate sull’identità: phishing, credenziali rubate, brute force.
- Google Cloud Threat Horizons H1 2026: l’83% dei breach cloud parte da un’identità compromessa. Il 99% degli account cloud analizzati aveva permessi eccessivi, spesso con accessi inutilizzati da 60 giorni o più.
- Darktrace Annual Threat Report 2026: nelle Americhe, il 70% degli incidenti è partito da account rubati o usati in modo improprio. In Europa, il 58% degli attacchi è entrato attraverso account cloud o email compromessi, superando i breach di rete tradizionali.
- Google M-Trends, marzo 2026: il tempo mediano tra il primo accesso e il movimento laterale è crollato a soli 22 secondi. Le finestre di intervento si sono azzerate.
- Cloudflare Threat Report 2026: il 63% di tutti i login analizzati utilizza credenziali già compromesse altrove. Il 94% dei tentativi di accesso proviene da bot automatizzati.
⚠ Il dato che più dovrebbe preoccuparti
Il Specops Breached Password Report 2026 ha analizzato oltre 6 miliardi di credenziali rubate.
Il risultato: oltre 4,4 miliardi di password compromesse rientravano nel range 8-12 caratteri — esattamente quello imposto dalla maggior parte delle policy aziendali.
Le password “conformi alla policy” non sono sinonimo di password sicure.
Il problema non è la password debole. È la password sola.
C’è un equivoco diffuso nelle aziende: pensare che una buona password policy risolva il problema. Non è così. Le credenziali non vengono rubate perché sono troppo corte o semplici. Vengono rubate attraverso infostealer malware che operano silenziosamente sui dispositivi degli utenti, attraverso campagne di phishing sempre più sofisticate, o semplicemente acquistate nei mercati underground dove i pacchetti di credenziali vengono rivenduti più volte nel tempo.
Il report SpyCloud 2026 ha identificato oltre 642 milioni di credenziali esposte da 13,2 milioni di infezioni malware solo nel 2025. Una credenziale rubata oggi può essere usata mesi dopo, se non viene rilevata e bloccata.
Inoltre, la nuova frontiera degli attacchi non è più solo sulle credenziali umane: API key, session token e machine identity sono diventati obiettivi primari, permettendo agli attaccanti di aggirare completamente l’autenticazione tradizionale e persistere negli ambienti compromessi.
Come funziona un attacco moderno basato sull’identità
Lo schema è diventato industrializzato. Non richiede competenze tecniche elevate — solo l’accesso a credenziali valide:
- Fase 1 — Acquisizione: Le credenziali vengono sottratte tramite malware (LummaC2, RedLine), phishing mirato, voice phishing verso helpdesk IT, o semplicemente acquistate in pacchetti ULP (Username-Login-Password) nel dark web.
- Fase 2 — Accesso: Con credenziali valide, l’attaccante accede all’ambiente come un utente normale. Nessun exploit, nessuna anomalia tecnica evidente. I sistemi di sicurezza tradizionali non vedono nulla di sospetto.
- Fase 3 — Escalation: Sfruttando permessi eccessivi (molto comuni, come dimostrato da Google), l’attaccante si muove lateralmente. In 22 secondi. Poi avvia esfiltrazione dati, deploy ransomware o installa backdoor persistenti.
- Fase 4 — Persistenza: Rubare session token o OAuth token permette di mantenere l’accesso anche dopo un cambio password, bypassando completamente la MFA tradizionale.
Perché la MFA tradizionale non è più sufficiente — e come Cisco DUO risolve il problema
Se stai già usando una qualche forma di autenticazione multifattore, stai facendo meglio della media. Ma il panorama 2026 ha alzato l’asticella: le tecniche di MFA fatigue (bombardamento di notifiche push) e soprattutto di Adversary-in-the-Middle (AitM) permettono di rubare session token in tempo reale, bypassando la MFA convenzionale basata su SMS o notifiche push.
Europol stessa, il 4 marzo 2026, ha annunciato il sequestro di Tycoon 2FA, una delle più grandi infrastrutture Phishing-as-a-Service specializzata nel bypass MFA tramite tecniche AitM. Il fatto che esista un’intera industria criminale dedicata a bucare la MFA tradizionale dovrebbe far riflettere.
DCLabs risponde a questo scenario con il servizio di Zero Trust Access Management basato su Cisco DUO, che opera su livelli di protezione che le soluzioni convenzionali non coprono: