Scopri come eliminare il divario di visibilità delle identità non umane e degli agenti di IA per proteggere la tua infrastruttura di accesso senza compromettere l’innovazione.
Un dipendente con accesso amministrativo permanente e non supervisionato a sistemi critici, senza registri di audit, senza un responsabile chiaramente identificato e senza revisioni periodiche degli accessi susciterebbe un’immediata preoccupazione nella maggior parte delle organizzazioni.
Tuttavia, le identità non umane (NHI) e gli agenti di IA ricevono spesso lo stesso tipo di accesso persistente e altamente privilegiato. Con la crescente adozione dell’IA, questo divario sta diventando sempre più difficile da ignorare.
Oggi le NHI comprendono molto più dei tradizionali account di servizio e delle chiavi API. Includono anche agenti di IA che prendono decisioni autonome, workflow automatizzati con accesso a più sistemi e strumenti di IA paralleli (“shadow AI”) implementati dagli utenti aziendali.
I team di sicurezza ritengono di essere pronti per l’adozione dell’IA su larga scala. Un recente studio di Delinea rivela che l’87% delle organizzazioni considera adeguata la propria strategia di sicurezza delle identità. Tuttavia, le NHI operano con velocità e modelli comportamentali per i quali i controlli tradizionali non sono stati progettati. I team IT riconoscono questa realtà: il 46% degli intervistati ammette che la governance delle identità IA presenta delle lacune.
Questa discrepanza rappresenta un pericoloso doppio standard nella sicurezza aziendale.
Perché esiste questo doppio standard per le NHI?
Tre fattori fondamentali alimentano questa situazione, rafforzandosi reciprocamente e creando un ciclo di governance delle identità compromesso.
Priorità alla velocità rispetto alla governance
La pressione aziendale per implementare rapidamente iniziative di IA porta spesso ad allentare o bypassare i controlli sulle identità. Lo studio ha rilevato che il 90% delle organizzazioni esercita pressioni sui team di sicurezza affinché rendano più flessibili i controlli di accesso per supportare l’automazione basata sull’IA.
Quando sorgono conflitti tra i requisiti di sicurezza e la necessità di rapidità del business, meno di un’organizzazione su tre applica i requisiti di sicurezza in modo coerente.
Monitoraggio insufficiente della Shadow AI
Gli agenti non autorizzati operano completamente al di fuori di qualsiasi struttura di governance. Una percentuale significativa di organizzazioni (53%) afferma di individuare regolarmente strumenti e agenti di IA non autorizzati che accedono ai sistemi aziendali.
Queste implementazioni aggirano i processi tradizionali di provisioning, creando punti di accesso non monitorati che i team di sicurezza faticano a identificare.
Attività delle NHI senza controllo
I sistemi tradizionali di gestione delle identità si basano su workflow prevedibili e centrati sugli utenti umani. Le soluzioni IAM legacy non dispongono della velocità e delle capacità dinamiche necessarie per governare agenti autonomi che prendono decisioni indipendenti e richiedono privilegi elevati senza preavviso.
La realtà operativa rende questa sfida ancora più complessa. Secondo i dati dello studio, il 74% delle organizzazioni afferma che l’accesso permanente per NHI e agenti di IA è necessario per garantire la disponibilità dei servizi. Allo stesso tempo, il 59% dichiara di non disporre di alternative praticabili all’accesso persistente per questi account. Di conseguenza, i team di sicurezza finiscono per accettare consapevolmente livelli di rischio più elevati a causa delle pressioni operative.
Cosa serve per ridurre il divario di rischio associato alle identità IA?
Le organizzazioni devono affrontare il paradosso della fiducia nella sicurezza dell’IA. Dimostrare un elevato livello di fiducia nella preparazione all’IA pur riconoscendo lacune fondamentali nella governance delle identità legate a questa tecnologia è il risultato di informazioni incomplete. I team di sicurezza non possono proteggere ciò che non riescono a vedere.
Consideriamo questo dato: l’82% delle organizzazioni dichiara di avere fiducia nella propria capacità di identificare le NHI con accesso ai sistemi di produzione, ma meno di una su tre verifica effettivamente in tempo reale l’attività delle NHI e degli agenti di IA. La maggior parte dei responsabili IT intervistati ammette di avere qualche forma di lacuna nella visibilità delle identità, con le NHI che rappresentano il principale punto cieco.
Passo 1: Visibilità
Prima di implementare nuovi controlli o politiche di accesso, le organizzazioni devono creare un inventario chiaro delle NHI esistenti — compresi i casi di Shadow AI —, comprendere a quali sistemi abbiano accesso e identificare se tale accesso sia permanente o persistente.
Senza questa visibilità di base, qualsiasi iniziativa di governance si trasforma in una semplice ipotesi anziché in un processo decisionale basato sul rischio.
Passo 2: Eliminare i privilegi permanenti
L’accesso just-in-time e i privilegi temporanei rappresentano l’obiettivo ideale, anche se non sono ancora immediatamente realizzabili per la maggior parte delle organizzazioni.
Lo studio mostra che le organizzazioni utilizzano oltre il doppio delle credenziali a lunga durata (34%) rispetto ai moderni meccanismi di autorizzazione just-in-time (16%).
Come afferma Gerry Auger, fondatore di SimplyCyber:
“Considererò una vittoria se riusciremo semplicemente ad avere un inventario di tutte le identità che dispongono di accesso permanente.”
Ulteriori raccomandazioni pratiche di governance
- Monitorare le NHI che richiedono privilegi elevati in modo inatteso, poiché ciò potrebbe indicare account compromessi o automazioni configurate in modo errato.
- Identificare e riesaminare immediatamente gli account senza un proprietario definito o senza una chiara giustificazione aziendale.
- Gestire le revisioni degli accessi delle NHI con lo stesso rigore applicato agli utenti umani, comprese certificazioni periodiche e disattivazione degli account inutilizzati.
Sviluppare un’IA sicura senza compromettere l’innovazione
Non è possibile fermare l’adozione dell’IA. L’obiettivo realistico è eliminare il divario di visibilità che consente ai modelli di accesso rischiosi di rimanere nascosti.
Le organizzazioni necessitano di strumenti automatizzati di discovery in grado di mappare in tempo reale le identità macchina negli ambienti cloud e ibridi. I modelli di governance devono operare alla velocità richiesta dal business senza creare attriti che spingano i team ad aggirare i meccanismi di controllo.
Ciò richiede la modernizzazione dell’infrastruttura delle identità per gestire la velocità e l’imprevedibilità dell’IA agentica. In questo modo, i team di sicurezza possono soddisfare le esigenze di rapidità del business senza rinunciare alla governance delle identità.
Per approfondire dati, raccomandazioni e roadmap strategica alla base di queste conclusioni, inclusi i risultati completi dello studio e le opinioni di esperti di riferimento nel settore della sicurezza, scarica il report Delinea 2026 Identity Security Report: Uncovering the Hidden Risks of the AI Race.
