Le identità macchina ransomware rappresentano oggi il punto cieco più pericoloso nei protocolli di difesa aziendale. Secondo il rapporto 2026 State of Cybersecurity di Ivanti, il divario tra percezione della minaccia e preparazione effettiva si è allargato di 10 punti percentuali in media anno su anno. Inoltre, il ransomware registra lo scarto più ampio: il 63% dei professionisti della sicurezza lo considera una minaccia critica, ma appena il 30% dichiara di essere “molto preparato” a contrastarlo.
Grazie per avere letto questo articolo, non dimenticare di iscriverti al nostro feed!
Il problema delle identità macchina ransomware nei numeri
Di conseguenza, le organizzazioni si trovano ad affrontare una realtà allarmante. Il rapporto 2025 Identity Security Landscape di CyberArk quantifica il fenomeno: esistono 82 identità macchina per ogni identità umana nelle organizzazioni globali. Peraltro, il 42% di queste identità macchina dispone di accessi privilegiati o sensibili, creando superfici di attacco enormi e spesso invisibili.
Tuttavia, i playbook di risposta agli incidenti più autorevoli ignorano sistematicamente questo vettore di attacco. La nota di ricerca Gartner dell’aprile 2024 “How to Prepare for Ransomware Attacks”, riferimento principale per i team di sicurezza enterprise, raccomanda esplicitamente il reset delle “credenziali utente/host compromesse” durante la fase di contenimento. Eppure, gli account di servizio, le chiavi API, i token e i certificati sono completamente assenti dalle procedure.
Perché i playbook tradizionali falliscono contro le identità macchina ransomware
In primo luogo, il toolkit Ransomware Playbook di Gartner articola quattro fasi: contenimento, analisi, rimedio e recupero. Nello specifico, la fase di contenimento prevede tre passaggi per il reset delle credenziali, tutti focalizzati su Active Directory: logout forzato degli account utente, cambio password forzato e reset degli account dispositivo. Nessuna menzione di credenziali non umane.
Analogamente, la stessa ricerca Gartner identifica il problema senza collegarlo alla soluzione. L’analisi avverte che “pratiche scadenti di identity and access management (IAM)” rimangono il punto di partenza primario per gli attacchi ransomware. Inoltre, credenziali precedentemente compromesse vengono utilizzate per ottenere accesso tramite initial access broker e dump di dati dal dark web.
Il deficit di preparazione si allarga ogni anno
Come risultato, il rapporto Ivanti traccia il gap di preparazione in ogni categoria di minaccia: ransomware, phishing, vulnerabilità software, vulnerabilità API, attacchi supply chain e crittografia inadeguata. Tutte le categorie mostrano un peggioramento anno su anno. Daniel Spicer, Chief Security Officer di Ivanti, definisce questo fenomeno “Cybersecurity Readiness Deficit”: uno squilibrio persistente nella capacità organizzativa di difendere dati, persone e reti.
Pertanto, il sondaggio 2025 State of Ransomware di CrowdStrike scompone questo deficit per settore. Tra i produttori che si valutano “molto ben preparati”, solo il 12% recupera entro 24 ore, mentre il 40% subisce interruzioni operative significative. Nel settore pubblico la situazione peggiora: 12% di recupero nonostante il 60% di fiducia dichiarata.
Cinque lacune critiche nei protocolli di contenimento
In particolare, i protocolli di risposta al ransomware presentano cinque carenze strutturali quando si tratta di identità macchina:
- Reset credenziali inadeguato: Cambiare le password degli utenti non blocca il movimento laterale attraverso account di servizio compromessi
- Mancanza di inventario: Il 51% delle organizzazioni non dispone nemmeno di un punteggio di esposizione alla cybersecurity, rendendo impossibile mappare le identità macchina prima di un incidente
- Isolamento di rete insufficiente: Rimuovere una macchina dalla rete non revoca le chiavi API emesse ai sistemi downstream
- Logiche di detection obsolete: L’85% dei team riconosce che i metodi tradizionali non tengono il passo, ma solo il 53% ha implementato detection basata su AI
- Account di servizio obsoleti: Account non ruotati da anni, creati da dipendenti ormai partiti, rappresentano la superficie più debole
L’urgenza economica dell’azione immediata
Ciononostante, il 54% delle organizzazioni dichiara che pagherebbe o probabilmente pagherebbe se colpita da ransomware oggi, nonostante le raccomandazioni FBI contrarie. Questa disponibilità riflette una mancanza fondamentale di alternative di contenimento, esattamente quelle che procedure dedicate alle identità macchina fornirebbero.
Ad esempio, Gartner stima i costi totali di recupero a 10 volte l’importo del riscatto. CrowdStrike quantifica il costo medio del downtime da ransomware in 1,7 milioni di dollari per incidente, con le organizzazioni del settore pubblico che raggiungono una media di 2,5 milioni. Pagare non aiuta: il 93% delle organizzazioni che hanno pagato ha comunque subito il furto di dati, e l’83% è stato attaccato nuovamente.
L’AI agentiva moltiplicherà il problema delle identità macchina ransomware
Successivamente, l’adozione di AI agentiva aggraverà esponenzialmente la situazione. L’87% dei professionisti della sicurezza considera prioritaria l’integrazione di AI agentiva, e il 77% si dichiara a proprio agio nel permettere ad AI autonome di agire senza supervisione umana. Tuttavia, solo il 55% utilizza guardrail formali.
Per questo motivo, ogni agente autonomo crea nuove identità macchina che autenticano, prendono decisioni e agiscono indipendentemente. Se le organizzazioni non riescono a governare le identità macchina esistenti oggi, stanno per aggiungerne un ordine di grandezza in più. Gli attacchi ransomware si sono professionalizzati al punto che i gruppi avversari ora crittografano file da remoto tramite condivisioni di rete SMB da sistemi non gestiti, senza mai trasferire il binario ransomware su endpoint gestiti.
In conclusione, i leader della sicurezza che integrano ora inventario delle identità macchina, regole di detection e procedure di contenimento nei loro playbook non solo chiuderanno il gap che gli attaccanti stanno sfruttando oggi, ma si posizioneranno per governare le identità autonome in arrivo. Per approfondire strategie di difesa avanzate, visita il blog Digital Seeds. Il test definitivo è se queste aggiunte sopravvivono al prossimo esercizio tabletop: se non reggono lì, non reggeranno in un incidente reale.
