Il settore della sicurezza informatica oggigiorno si ritrova in una situazione quasi paradossale: nonostante non si avessero mai avuto a disposizione così tanti dati e conoscenze sui comportamenti degli hacker, la frequenza e l’impatto degli attacchi continuano a crescere.
Il motivo di questa anomalia risiede in un drastico cambio di tattica. Come evidenziato dalle ultime analisi globali sulle minacce, gli hacker hanno smesso di cercare falle nei complessi perimetri di rete. Oggi preferiscono una strada molto più semplice: rubano le chiavi ed entrano dalla porta principale.
Questo fenomeno prende il nome di “Paradosso dell’Identità” (Identity Paradox) ed è il primo macro-trend che ogni IT Manager deve affrontare per blindare la propria azienda nel 2026.
Cos’è il Paradosso dell’Identità (Identity Paradox)?
Il paradosso sta in un fatto molto semplice: un avversario che utilizza credenziali valide non sembra un intruso, ma appare ai sistemi come un regolare dipendente.
L’identità digitale (gli account dei tuoi dipendenti) è diventata il vettore primario per le intrusioni ad alto impatto. I numeri confermano questa tendenza in modo schiacciante:
- L’88% delle violazioni alle applicazioni web coinvolge oggi credenziali rubate
- Il 97% degli attacchi mirati all’identità si basa sulla tecnica del password spray (tentare poche password comuni su un vastissimo numero di account per non far scattare i blocchi)
Non basta più l’MFA: come rubano le identità?
Molte aziende credono di essere al sicuro avendo attivato l’Autenticazione a Due Fattori (MFA). Purtroppo, le meccaniche del furto di identità si sono evolute proprio per aggirare i meccanismi nati per verificare l’intento dell’utente.
Ecco come operano oggi i criminali informatici:
1. Il furto dei Cookie di Sessione (Infostealer)
Strumenti sofisticati (come Katz Stealer o PXA Stealer) non si limitano più a rubare le password. Prelevano direttamente i cookie di sessione del browser e i token di autenticazione. In questo modo, l’hacker eredita lo status di “dispositivo fidato” della vittima, bypassando del tutto la richiesta del codice MFA.
2. Attacchi “Adversary-in-the-Middle” (AitM)
Gli hacker creano finti siti di login tramite reverse proxy. Questi siti fanno da tramite in tempo reale tra la vittima e il servizio legittimo (es. Microsoft 365). L’utente inserisce password e codice MFA reale, entra nel sistema, ma nel frattempo il sito finto ha intercettato e copiato il token di sessione generato.
3. Il caso estremo: farsi assumere dall’azienda
Il paradosso dell’identità raggiunge il suo apice con l’infiltrazione umana. Nel 2025, sono state tracciate oltre 1.000 candidature lavorative e circa 360 false identità collegate a operatori IT nordcoreani (DPRK). Questi soggetti, sponsorizzati dallo stato, superano i controlli HR e vengono regolarmente assunti per lavori da remoto. In questo caso, il log-in dalla VPN aziendale non farà mai scattare allarmi tecnici, perché l’identità è stata autorizzata formalmente dalle Risorse Umane.
Come difendere l’azienda? Da dove iniziare
Sconfiggere il paradosso dell’identità richiede un cambio di mentalità profondo per i dipartimenti IT. Non è più sufficiente proteggere il momento del “log-in”.
Ecco alcune raccomandazioni operative per mitigare questo rischio:
- Sposta il focus sul comportamento post-autenticazione: poiché le credenziali possono essere valide, i sistemi di sicurezza devono monitorare cosa fa l’utente dopo essersi loggato. Scarica quantità anomale di dati? Cambia permessi a cui normalmente non accede?
- Rendi più sicure le sessioni, non solo le password: evita sessioni cloud troppo lunghe o senza scadenza. Monitora le sessioni per rilevare anomalie, come l’uso dello stesso token di autenticazione da due luoghi geograficamente distanti.
- Blocca le registrazioni di nuovi dispositivi MFA: l’aggiunta di un nuovo dispositivo MFA (es. un nuovo smartphone con app Authenticator) a un account esistente deve essere trattato come un evento ad altissimo rischio, che richiede l’approvazione di un amministratore IT.
- Integra i flussi HR e Sicurezza IT: incrocia i dati tecnici (da dove si connette la VPN) con i dati delle Risorse Umane (residenza dichiarata in fase di assunzione) per scovare le false identità.
La tua identità aziendale è davvero al sicuro?
Le vecchie difese perimetrali non bastano più quando l’hacker possiede le tue stesse chiavi di casa. Vuoi capire quanto la tua azienda è realmente esposta a queste nuove minacce basate sull’identità?
Parla con un esperto Nubee per un check-up della tua sicurezza IT e scopri come blindare i tuoi sistemi implementando logiche Zero Trust e monitoraggio avanzato.