CyberArk sottolinea il divario tra la fiducia delle aziende nei loro programmi di accessi privilegiati e la realtà quotidiana, dove l’AI estende velocemente la superficie di attacco focalizzata sulle identità. A sostenerlo la ricerca condotta da Censuswide, su un campione di 500 professionisti negli Stati Uniti, attivi nella gestione accessi privilegiati (PAM), identità e infrastrutture. I dati sono stati raccolti tra l’11 e il 21 novembre 2025. Nonostante il 76% delle aziende dichiari che le proprie strategie PAM siano pronte per ambienti AI, cloud e ibridi, in molte continuano a fare affidamento su presupposti di accesso sempre attivo. Presupposti inizialmente concepiti per ambienti operativi molto meno dinamici di quelli attuali.
Le aziende sovrastimano la loro preparazione per AI e cloud
Lo studio mette in luce come, sebbene gli sforzi di modernizzazione siano indubbiamente in corso, pochissime aziende abbiano ancora adottato modelli di accesso adattivi e a tempo limitato, allineati ai principi Zero Trust.
Solo l’1% ha implementato completamente un moderno modello di accesso privilegiato Just-in-Time (JIT).
Nel 91% dei casi, almeno la metà degli accessi privilegiati è always-on, con accesso illimitato e persistente a sistemi sensibili.
Il 45% applica agli agenti AI gli stessi controlli di accesso privilegiato utilizzati per le identità umane.
Il 33% dichiara di non disporre di chiare policy di accesso per l’AI.
Accessi privilegiati: ecco i difetti che accelerano i rischi
La ricerca solleva il problema diffuso e crescente dei ‘privilegi ombra’. Ovvero quegli account e secret privilegiati non gestiti, sconosciuti o non necessari che si accumulano silenziosamente nel tempo.
Il 54% delle aziende scopre ogni settimana account e secret privilegiati non gestiti.
L’88% gestisce due o più strumenti di sicurezza delle identità, creando una frammentazione che introduce punti ciechi.
Il 66% afferma che le tradizionali revisioni degli accessi privilegiati ritardano i progetti.
Il 63% ammette che i dipendenti aggirano i controlli per procedere più rapidamente.
Puntare sul modello Just-in-Time
Matt Cohen, CEO di CyberArk Ambienti dinamici e in continua evoluzione comportano un cambiamento radicale della natura degli accessi privilegiati e delle modalità con cui questi possono essere protetti. Con solo l’1% delle aziende che ha implementato in modo completo un modello di accesso Just-in-Time, è evidente che una modernizzazione del settore sia ormai indispensabile. Se agenti AI e identità non umane assumono compiti sempre più sensibili, applicare i giusti controlli dei privilegi per ogni identità — e governare ogni azione privilegiata — è ora essenziale.
Meno rischi e più innovazione su larga scala gestire gli accessi privilegiati
Le aziende dovrebbero concentrarsi sull’evoluzione delle modalità di applicazione degli accessi privilegiati, senza però abbandonare i controlli fondamentali:
ridurre al minimo i privilegi permanenti, implementando accessi dinamici e basati sul rischio.
Adottare accesso Just-in-Time automatizzato e orchestrato per azioni sensibili o ad alto rischio.
Applicare controlli dei privilegi appropriati a tutte le identità umane, macchina e AI, sulla base di contesto e rischio.
Semplificare e consolidare le piattaforme di identità per migliorare visibilità e governance.
