Uno studio dimostra che le aziende stanno concedendo agli agenti di IA l'accesso a sistemi critici prima ancora di aver messo in atto le misure di sicurezza necessarie. In assenza di un sistema di sicurezza completo per la gestione delle identità, gli hacker possono accelerare la compromissione di Active Directory, EntraID o Okta.
HOBOKEN, N.J. – 13 maggio 2026—Semperis, l’azienda specializzata in resilienza informatica e risposta alle crisi basata sull’identità, ha pubblicato oggi i risultati di uno studio globale multisettoriale condotto su 1.100 organizzazioni con l’obiettivo di comprendere l’effetto dell’IA sulla superficie di attacco dei sistemi di identità quali Active Directory, Entra ID e Okta. Lo studio dimostra che l'IA sta silenziosamente ridefinendo i confini delle superfici di attacco globali relative alle identità e che le organizzazioni stanno affidando agli agenti di IA le chiavi di accesso ai sistemi critici più rapidamente di quanto non stiano mettendo in atto misure di protezione per quelle nuove identità.
Lo studio "TheState of Identity Security in the AI Era" ha rilevato che il 74% delle organizzazioni negli Stati Uniti, nel Regno Unito, in Francia, Germania, Spagna, Italia, Singapore e Australia ritiene che l'intelligenza artificiale aumenterà gli attacchi alle infrastrutture di gestione delle identità. Inoltre, il 93% utilizza già o prevede di utilizzare agenti basati sull'intelligenza artificiale per attività di sicurezza sensibili, quali il ripristino delle password e l'accesso VPN. Il 92% afferma che l'IA è installata almeno su alcune macchine locali con accesso a SSH e chiavi di crittografia, ma a livello globale solo il 32% è molto fiducioso di poter riprendere il controllo se l'IA dovesse esporre le credenziali di amministratore. Negli Stati Uniti, il 53% delle aziende si è detto fiducioso di poter riprendere il controllo, mentre in Francia la percentuale è crollata al 12%.
«L'uso sempre più diffuso dell'intelligenza artificiale sta introducendo una moltitudine di nuovi agenti — ciascuno con una propria identità non umana (NHI) — all'interno delle imprese globali, e molte aziende sono semplicemente troppo ottimiste riguardo alla loro capacità di ripristinare l'infrastruttura delle identità a seguito di una violazione, proprio mentre ampliano questo panorama di NHI», ha affermato Alex Weinert, Chief Product Officer di Semperis.
A livello globale, solo il 65% delle organizzazioni dichiara che le identità dell'IA siano completamente registrate, autenticate e autorizzate in un sistema formale, mentre il 6% ammette di non tenerne affatto traccia. Tra le organizzazioni che tengono traccia delle identità dell'IA, il 57% utilizza lo stesso sistema impiegato per le identità umane, mentre il 43% le autentica e le autorizza tramite un sistema separato.
«Ciò che colpisce dello studio di Semperis sull’IA non è solo la rapidità con cui l’intelligenza artificiale viene integrata nei sistemi di gestione delle identità, ma anche quanto molte organizzazioni siano impreparate a reagire quando le cose vanno male. L’introduzione dell’IA a livello di identità offre vantaggi operativi, ma deve essere accompagnata da misure di protezione, osservabilità e prontezza di ripristino. In realtà, si tratta di una nuova dimensione di una vecchia domanda: siete abbastanza resilienti da reagire in caso di interruzioni critiche?”, ha affermato Grace Cassy, Partner di Ten Eleven Ventures.
Sono le organizzazioni pronte per l'IAcausate violazione dell'identità??
Un dato preoccupante emerso dallo studio è che l’IA viene collocata in prossimità di infrastrutture sensibili relative all’identità, e troppo poche organizzazioni sono preparate alle potenziali conseguenze. Più di un quarto delle organizzazioni intervistate (29%) utilizza già agenti di IA per gestire i ticket dell’help desk relativi alla sicurezza, tra cui il ripristino delle password e l’accesso alla VPN. Un altro 65% intende farlo entro il prossimo anno. Parallelamente, il 92% degli intervistati afferma che una parte del proprio personale ha l'IA installata su macchine locali da cui può accedere a SSH e alle chiavi di crittografia.
«È un dato di fatto che le organizzazioni globali tendano a sopravvalutare la rapidità con cui possono riprendersi da un attacco informatico, soprattutto quando la sicurezza delle identità è coinvolta. Sulla carta, le organizzazioni dispongono di piani e sistemi di backup; nella pratica, però, le falle nella sicurezza delle identità trasformano gli incidenti tecnici in crisi aziendali prolungate, mettendo in luce un pericoloso divario tra la resilienza percepita e la realtà», ha affermato Chris Inglis, primo Direttore Nazionale per la Sicurezza Informatica degli Stati Uniti e consulente strategico di Semperis.
Tra gli aspetti positivi, l'83% degli intervistati ha indicato che la governance dell'identità basata sull'intelligenza artificiale rappresenta per loro una priorità nei prossimi mesi.
CCome possono le organizzazioni gestire queste identità difficili da controllare?
Per il momento, le migliori pratiche comprendono:
– Trattare gli agenti esplicitamente come NHI nel tessuto identitario.
– Applicare i principi di accesso con privilegi minimi, accesso limitato al necessario e accesso puntuale per gli agenti con lo stesso rigore con cui vengono applicati per gli esseri umani.
– Distinguere, ove opportuno, i confini di fiducia tra agenti e persone.
– Utilizzare analisi di tipo UEBA per individuare comportamenti anomali o "zombie" degli agenti.
– Assicurati che la tua organizzazione sia in grado di ripristinare rapidamente i sistemi di gestione delle identità a uno stato affidabile in caso di violazione.
Accedi allo studio completo sull'intelligenza artificiale qui:https://www.semperis.com/the-state-of-identity-security-in-the-AI-era/
Metodologia
Per condurre questo studio, abbiamo collaborato con gli esperti di Censuswide, una società internazionale di ricerche di mercato. All'inizio del 2026, Censuswide ha intervistato 1.100 organizzazioni negli Stati Uniti, nel Regno Unito, in Francia, Germania, Italia, Spagna, Australia e Singapore.
Informazioni su Semperis
Semperis è un'azienda specializzata nella resilienza informatica e nella gestione delle crisi incentrata sull'identità, scelta dalle più grandi imprese e agenzie governative del mondo per proteggere i sistemi di identità critici. Progettata appositamente per ambienti di identità multi-cloud e ibridi — tra cui Active Directory, Entra ID, Okta e Ping Identity — Semperis aiuta le organizzazioni a prevenire, individuare, rispondere e riprendersi dagli attacchi informatici basati sull'identità.
Il successo o il fallimento degli attacchi informatici moderni si gioca a livello di identità, dove le vulnerabilità possono ormai degenerare in vere e proprie crisi aziendali. La piattaforma basata sull'intelligenza artificiale di Semperis integra la protezione del ciclo di vita delle identità e la gestione delle crisi: rafforza l'infrastruttura delle identità, rileva e contiene le minacce attive, consente un ripristino rapido e affidabile e supporta un coordinamento sicuro e fuori banda in caso di interruzione dei sistemi principali, il tutto con il supporto di un team di eccellenza nel campo dell'analisi forense delle identità e della risposta agli incidenti.
Nell'ambito della sua missione volta ad aiutare le organizzazioni a raggiungere una vera resilienza informatica, Semperis sostiene la più ampia comunità informatica attraverso la pluripremiata conferenza e il podcastHybrid Identity Protection (HIP), nonché strumenti gratuiti per la sicurezza delle identità, tra cui Purple Knight e Forest Druid. Più di 1.200 organizzazioni, tra cui oltre il 25% delle 100 maggiori aziende statunitensi, si affidano a Semperis. L'azienda è privata, ha sede a Hoboken, nel New Jersey, e serve clienti in più di 40 paesi.
Per saperne di più: semperis.com
Seguiteci: Blog / LinkedIn / X / Facebook / YouTube
Contatti per i media:
Bill Keeler
Semperis
Direttore senior, PR e Comunicazione
billk@semperis.com
