Proliferazione delle credenziali

Come l'IA aumenta i rischi

Indice dei contenuti

Cosa causa la proliferazione di credenziali e segreti?

Come l'IA sta peggiorando la proliferazione delle credenziali

I costi della proliferazione delle credenziali

Soluzioni per la proliferazione delle credenziali

Conclusione

Scarica il PDF

Nell’antica Roma, l’esercito aveva una "parola d’ordine" quotidiana che i soldati usavano per entrare nell’accampamento.¹ Un ufficiale iscriveva la parola d'ordine su tavolette di argilla, che venivano distribuite nelle varie unità militari; se una tavoletta non veniva restituita, la rintracciavano rapidamente e punivano il soldato che non l'aveva restituita.

Una cosa è certa, fin dai tempi dell'antica Roma fino ad oggi: se si vuole stare al sicuro, bisogna sapere dove sono le proprie password.

Purtroppo, tenere traccia delle credenziali è più difficile per un'organizzazione moderna. Le aziende di oggi devono gestire un numero sempre crescente di credenziali che vanno ben oltre le password tradizionali, come i segreti degli sviluppatori, le passkey, gli accessi condivisi, le chiavi API, le chiavi SSH, gli account di servizio e i token di accesso SSO.

Queste credenziali non risiedono in un unico luogo. Vivono in browser, script, ambienti per sviluppatori, messaggi Slack, strumenti di IA, file di configurazione e talvolta fogli di calcolo in semplice testo.

La proliferazione di credenziali al di fuori della visibilità e del controllo centralizzati è nota come "proliferazione delle credenziali" e gli aggressori sono desiderosi di sfruttarla.² Questo problema è particolarmente urgente a causa dell'ascesa di strumenti e agenti basati su IA, che non solo hanno aumentato la portata delle credenziali non gestite, ma presentano anche sfide di accesso e gestione dell'identità che strumenti come SSO e PAM non sono in grado di gestire.

What causes credential and secrets sprawl?

I rischi legati alle credenziali non sono certo un problema nuovo. Tuttavia, negli ultimi anni, gestire dove e come vengono utilizzate si è evoluto da un compito erculeo a uno sisifeo. In altre parole: non è mai stato facile, ma a un certo punto è diventato quasi impossibile. Per capire perché, iniziamo con una panoramica di alcuni dei fattori essenziali che contribuiscono alla diffusione delle credenziali.

Proliferazione di password

I pericoli delle password non gestite e delle cattive pratiche relative alle password sono ben noti da anni, eppure le password rimangono uno dei vettori più comuni di violazioni dei dati e attacchi.³

Il rapporto annuale 2025 di 1Password: il divario tra accesso e fiducia, ha rilevato che due terzi dei dipendenti ammettono di praticare cattive pratiche sulle password, tra cui:⁴

Usare le stesse password su più account di lavoro
Non modificare mai le password predefinite del reparto IT
Usare la stessa password per gli account di lavoro e personali
Invio di messaggi di testo, email o altri messaggi contenenti password a se stessi o a un collega

Queste cattive abitudini possono avere conseguenze devastanti, come accaduto quando alcuni malintenzionati hanno utilizzato credenziali sottratte in precedenti violazioni per accedere ai repository degli sviluppatori su GitHub, Bitbucket e GitLab. Come riportato dal giornalista e analista Robert Lemos: "L'attacco evidenzia i pericoli di una gestione errata delle password... Nessuno dei servizi che ospitavano i repository degli sviluppatori colpiti ha riscontrato segni di intrusione. Al contrario, gli aggressori hanno effettuato l'accesso da indirizzi internet non riconosciuti utilizzando credenziali valide, per poi procedere alla cancellazione del codice delle vittime".⁵

SaaS e AI non gestiti

Come ha affermato l'analista di sicurezza Francis Odum,⁶ "Con la crescente diffusione delle applicazioni SaaS nelle organizzazioni, la necessità di una gestione delle password di livello aziendale è diventata sempre più evidente. I dipendenti si affidavano spesso a credenziali personali per gli account di lavoro, aumentando il rischio di riutilizzo e di incidenti di sicurezza. Sebbene il Single Sign-On (SSO) e l'autenticazione a più fattori (MFA) siano diventati controlli standard, spesso non sono riusciti a coprire l'intera gamma di applicazioni aziendali, lasciando delle lacune nella visibilità..."

La proliferazione dei SaaS è un problema noto da anni nel settore della cybersecurity.⁷ In media, un'azienda gestisce oltre cento applicazioni solo all'interno della propria piattaforma di single-sign-on (SSO), ma molti software restano al di fuori del raggio d'azione di tali sistemi.⁸

1Password ha rilevato che un'azienda media ha un terzo delle sue app al di fuori della protezione SSO. Si crea quindi un enorme punto cieco per i team IT, soprattutto durante l'offboarding.⁹

Oltre un terzo (38%) dei dipendenti ha effettuato l'accesso ad account, dati o app di un precedente datore di lavoro dopo le dimissioni.
1Password Annual Report 2025: The Access Trust Gap

Oggi, l'intelligenza artificiale sta contribuendo a far crescere il numero di applicazioni SaaS ben oltre i limiti per cui era stato concepito il SSO. Un dipendente su quattro ha utilizzato applicazioni di intelligenza artificiale non approvate dalla propria azienda, e oltre un terzo dei dipendenti ammette di aver consapevolmente ignorato le politiche aziendali in materia di intelligenza artificiale. ¹⁰

I dipendenti stanno sperimentando strumenti di codifica con IA, estensioni per browser, assistenti di scrittura, strumenti di analisi dati e piattaforme per agenti, spesso prima che l'IT li abbia valutati o approvati. Molti di questi strumenti non si integrano perfettamente con il sistema SSO aziendale e, anche quando lo fanno, l'adozione spesso inizia al di fuori dei processi ufficiali di onboarding. Lo shadow AI rappresenta un rischio serio poiché anche app innocue possono contenere gravi falle di sicurezza che potrebbero esporre dati e credenziali aziendali.¹¹

Anche gli agenti AI accedono alle credenziali in modo diverso. Non richiedono solo l'accesso degli utenti; spesso richiedono chiavi API, token OAuth, account di servizio e altre credenziali macchina per funzionare. Queste credenziali possono essere archiviate localmente, incorporate negli script, salvate nei browser o condivise in modo informale tra i membri del team, ben oltre la visibilità dei tradizionali sistemi di identità.

Ogni app non gestita e ogni strumento di IA comporta almeno una credenziale non gestita che un'organizzazione non è in grado di proteggere. Il risultato è uno strato sempre più ampio di applicazioni e credenziali che esistono al di fuori della governance centralizzata.

Per un'analisi più approfondita dei limiti dell'SSO, leggi il nostro ebook, Perché l'SSO non è sufficiente per la sicurezza dell'identità.

Chiavi private degli sviluppatori

Le chiavi private (secret) degli sviluppatori, come le chiavi SSH, le chiavi API, le credenziali degli account di servizio, le variabili d'ambiente e i token dei server, sono la chiave d'accesso ai sistemi più critici di un'organizzazione. A differenza delle password degli utenti, queste credenziali operano spesso in modo silenzioso, in background, alimentando applicazioni, infrastrutture, automazione e, oggi, anche gli agenti di intelligenza artificiale.

Tuttavia, queste chiavi private raramente risiedono nei sistemi di identità tradizionali. Vengono invece archiviate in repository di codice, file di ambiente locali, pipeline CI/CD, console cloud, script e strumenti di collaborazione. In assenza di una governance coerente e di strumenti appositamente progettati, queste chiavi private si moltiplicano rapidamente e spesso restano inosservate.

Il report 2025 di GitGuardian, intitolato "The State of Secrets Sprawl", mostra con quanta rapidità questo problema stia accelerando.

Nel 2024, abbiamo trovato 23.770.171 nuovi segreti codificati aggiunti ai repository pubblici di GitHub.
GitGuardian Report

Questa cifra rappresenta un aumento del 25% nel numero totale di chiavi private rispetto all'anno precedente. Come dicono gli stessi autori, "il proliferare delle chiavi private è in costante aumento col passare del tempo".¹²

La diffusione delle chiavi private può avvenire in vari modi, ad esempio quando gli sviluppatori le rendono accidentalmente visibili nel codice accessibile al pubblico. Tuttavia, il rapporto di GitGuardian mette in luce una preoccupazione ancora più fondamentale: "[sebbene] gli strumenti di gestione del codice sorgente siano stati al centro dell'attenzione per quanto riguarda il rilevamento delle chiavi private… queste ultime compaiono ovunque i team collaborino, spesso in strumenti di collaborazione e gestione dei progetti come Slack, Jira o Confluence".¹³

L'invio di segreti in chiaro attraverso app come Slack rappresenta un approccio pericolosamente lassista all'igiene dei segreti. Purtroppo, i cybercriminali sono consapevoli di questa tendenza. Dark Reading riporta che "sia i cybercriminali sia gli attori statali seguono un copione consolidato, sfruttando la scarsa igiene dei segreti per portare avanti le proprie campagne".¹⁴

L'intelligenza artificiale sta ora accelerando questa tendenza. Man mano che gli sviluppatori utilizzano i copiloti basati sull'intelligenza artificiale per generare codice, configurare infrastrutture o automatizzare i flussi di lavoro, le credenziali dei sistemi vengono create e riutilizzate a un ritmo sempre più sostenuto. Senza una supervisione centralizzata, le chiavi private si moltiplicano tra repository, prompt, pipeline e agenti. Tutto questo sta ampliando la superficie dell'identità ben oltre ciò che i tradizionali sistemi di gestione dell'identità e degli accessi (IAM) e di gestione degli accessi privilegiati (PAM) sono stati progettati per governare.

How AI is worsening credential sprawl

L'avvento dell'IA e dell'IA agentica ha aumentato notevolmente la produttività dell'ambiente di lavoro moderno. Tuttavia, ha anche accelerato in modo altrettanto drastico la proliferazione delle credenziali e i rischi che ne derivano meritano un'analisi più approfondita.

Accesso degli agenti IA non gestito

Gli agenti IA rappresentano una classe completamente nuova di identità; richiedono diversi livelli di accesso, ma operano in modi spesso invisibili agli strumenti di sicurezza.

Come ha scritto The Hacker News, "gli agenti IA non operano in modo isolato. Per funzionare, hanno bisogno di accedere a dati, sistemi e risorse. Questo accesso altamente privilegiato, spesso sottovalutato, avviene tramite identità non umane: chiavi API, account di servizio, token OAuth e altre credenziali di sistema".¹⁵

Tutte le NHI comportano un rischio per le credenziali e la modalità d'impiego da parte degli agenti IA ne ha incrementato drasticamente la proliferazione. Le cifre variano, ma nel 2025 si contavano tra le 82 identità non umane (NHI)¹⁶, con picchi potenziali fino a 144¹⁷, per ogni singola identità umana in un ambiente aziendale medio. Ad ogni modo, questo numero sta crescendo rapidamente.

Ancora più preoccupante è il fatto che molte di queste identità hanno livelli di accesso altamente privilegiati, spesso senza il livello di controllo che normalmente si applicherebbe agli utenti altamente privilegiati. In effetti, uno studio recente ha rilevato che 1 NHI su 20 ha i privilegi di amministratore completo anche se solo il 38% del totale degli NHI era attivo negli ultimi 9 mesi.¹⁸

In altre parole, gli agenti IA dispongono di livelli di accesso sempre più ampi, che spesso non vengono gestiti dai team di sicurezza, e conservano privilegi elevati ben oltre il periodo di effettivo utilizzo.

Le applicazioni e le funzionalità di Agentic si stanno evolvendo a una velocità senza precedenti, e spesso vengono adottati nuovi strumenti prima che ne vengano compresi i rischi. Jason Meller, vicepresidente e Security Strategist di 1Password, ha scritto due post sul blog su quanto possano essere potenti – e spaventosi – questi strumenti.¹⁹^,²⁰

Jason Meller, Vice President e Security Strategist di 1Password, spiega il rischio in questi termini: "In breve: i gateway degli agenti che operano come OpenClaw sono potenti perché hanno un accesso reale ai file, agli strumenti, al browser, ai terminali e, spesso, a un file di 'memoria' a lungo termine che registra il modo in cui pensi e ciò che stai realizzando".

Questa combinazione è esattamente ciò che i moderni infostealer sfruttano.
Jason Meller
Vice President and Security Strategist, 1Password

Sebbene OpenClaw abbia certamente attirato una certa attenzione, i suoi problemi non si limitano a un solo strumento. Nell’"AI Agent Index" del MIT, i ricercatori hanno scoperto che la maggior parte degli sviluppatori di agenti condivide poche informazioni sulla sicurezza del proprio strumento. "25 agenti su 30 non divulgano i risultati interni sulla sicurezza e 23 agenti su 30 non dispongono di informazioni sui test di terze parti."²¹ Piuttosto, OpenClaw è un indicatore di quanto possano essere gravi i rischi di sicurezza quando agli agenti di IA vengono dati livelli di accesso non gestiti; la loro popolarità e i rischi di sicurezza hanno rapidamente costretto i team di sicurezza a fare i conti con il fatto che il perimetro standard dell'azienda non è attrezzato per gestire le problematiche dell'IA.

In Inside 1Password’s Enterprise Identity Transformation, Francis Odum osserva che "la proliferazione dell'IA agentica crea una dispersione delle identità e un divario critico a livello di accessi". Poiché le credenziali tradizionali non sono strutturate per l'intelligenza artificiale, è emerso un pericoloso espediente.²²

Gli sviluppatori ricorrono spesso all'hardcoding. Ciò causa agenti sovra-privilegiati, scarsa verificabilità e un alto rischio di perdita di dati.
Francis Odum

L'IA peggiora le pratiche di sicurezza delle credenziali

Gli strumenti basati sull'intelligenza artificiale stanno anche aggravando la proliferazione delle credenziali replicando pratiche di sicurezza inadeguate.

Il vibe coding (usare l'IA generativa per scrivere codice) tende a riprodurre cattive abitudini di sicurezza. Ad esempio, su una piattaforma basata in gran parte sui "vibe", Moltbook, è stato rapidamente individuato un database configurato in modo errato che esponeva oltre un milione di token di autenticazione API, oltre a indirizzi email e messaggi privati. ²³

Anche in questo caso, non si tratta di una caratteristica esclusiva di una singola piattaforma. GitGuardian ha analizzato l'uso di Copilot – l'assistente AI di Microsoft (usato per il vibe coding, tra le altre cose) – e ha scoperto che i repository con Copilot attivo hanno il 40% di probabilità in più di contenere almeno un segreto trapelato. ²⁴

In generale, il vibe coding può anche permettere ai dipendenti con meno esperienza in programmazione, e quindi meno formazione sulla sicurezza del codice, di portare avanti codice che non ha ricevuto alcuni dei controlli e delle verifiche standard che dovrebbero essere applicate alla sicurezza di qualsiasi codice.

La sicurezza tradizionale delle identità sta perdendo terreno

Monitorare come i dipendenti utilizzano e conservano le credenziali è sempre stato una sfida. Ma l'IA cambia radicalmente il modello di sicurezza dell'identità.

Gli strumenti e gli agenti di IA non autenticano, memorizzano o usano le credenziali come fanno gli esseri umani. Si basano su token incorporati, chiavi API, account di servizio e schemi di accesso programmatici. Funzionano ininterrottamente, si replicano facilmente e spesso persistono a lungo anche dopo che il loro scopo originario è terminato.

Gli strumenti tradizionali di sicurezza dell'identità sono stati progettati per il comportamento umano, con login interattivi, autenticazione basata su sessioni e livelli di privilegio chiaramente definiti. Non sono stati progettati per governare identità software autonome che scalano e si autenticano programmaticamente senza supervisione.

In un certo senso, questo è quasi intenzionale. Come ha scritto Saumitra Das in un articolo per Corporate Compliance Insights, "Per natura, gli agenti autonomi sono addestrati a trovare il modo più semplice ed efficiente per completare il lavoro assegnato". Questo significa che spesso sono in grado di individuare modi per aggirare i guardrail…²⁵

I metodi tradizionali di controllo degli accessi si stanno dimostrando rapidamente inadeguati, poiché l'IA e l'automazione basata sugli eventi generano NHI su una scala mai vista prima. Come riportato da TechTarget: "La maggior parte degli strumenti legacy di IAM e di gestione degli accessi privilegiati (PAM) non è stata progettata per gestire volumi e avvicendamenti così elevati."²⁶

L'articolo prosegue evidenziando alcune delle problematiche relative a come le NHI utilizzano le credenziali, tra cui:

Le NHI utilizzano un'ampia gamma di metodi di autenticazione, come token JSON, ruoli IAM del cloud, segreti OAuth2 e chiavi API. Ciascuno di questi ha esigenze di sicurezza specifiche.
Alle NHI vengono spesso concessi accessi estesi e credenziali di lunga durata, in modo che i team possano assicurarsi che lo strumento abbia l'accesso necessario per automatizzare i vari processi aziendali.
I sistemi di rilevamento delle anomalie non sempre riescono a individuare eventuali problemi in un agente di intelligenza artificiale, poiché questi non presentano schemi comportamentali "normali" da cui discostarsi.

Ognuno di questi fattori può compromettere seriamente l'efficacia dello stack di sicurezza di un'azienda.

The costs of credential sprawl

Cosa succede quando la proliferazione incontrollata delle credenziali dilaga in azienda? I costi si manifestano in vari modi: dall'aumento del raggio d'azione dell'attacco in caso di violazione, fino a processi manuali onerosi per gestire la postura di sicurezza, la conformità e la risposta agli incidenti.

Errori di conformità

I team IT e di sicurezza si trovano costantemente di fronte al difficile compito di raggiungere e dimostrare la conformità agli standard normativi come SOC 2, PCI DSS, ISO 27001:2022 e HIPAA.

Ognuno di questi standard prevede requisiti relativi all'uso sicuro e all'archiviazione delle credenziali. Ad esempio, PCI DSS richiede che: «I log di audit catturano tutte le modifiche alle credenziali di identificazione e autenticazione…»27

Analogamente, SOC 2 prevede vari requisiti relativi al modo in cui le aziende concedono l’accesso alle credenziali, inclusi requisiti che stabiliscono che "L’organizzazione dovrebbe implementare processi per revocare l’accesso alle credenziali quando una persona non ne ha più bisogno".²⁸ Vale la pena notare che SOC 2 estende questi requisiti non solo all’accesso alle credenziali utente, ma anche al modo in cui "infrastruttura e software interni ed esterni" accedono alle credenziali.

In linea generale, le autorità di regolamentazione esigono che le aziende dimostrino di aver adottato tutte le misure necessarie per proteggere le informazioni sensibili. Nel contesto della gestione delle credenziali, questo principio di "due diligence" si traduce nell'implementazione di strumenti essenziali che garantiscano agli amministratori il pieno controllo su dove e come tali credenziali vengano utilizzate. La loro proliferazione incontrollata, tuttavia, compromette alla base la capacità di un'azienda di soddisfare questi requisiti.

Inoltre, mentre gli strumenti di sicurezza potrebbero essere in ritardo rispetto al boom dell'IA, gli enti normativi non hanno intenzione di dare tregua alle aziende. Anzi, stanno intensificando i controlli. Come ha sottolineato Itamar Apelblat in un articolo per BleepingComputer, "In ciascuno di questi framework, l'organizzazione è responsabile di ciò che accade ai dati regolamentati e ai flussi di lavoro regolamentati. Quando gli agenti IA sono quelli che agiscono all'interno di quei sistemi, la responsabilità non scompare".²⁹

Esposizione al rischio

Non è difficile capire perché gli standard di conformità pongano così tanta enfasi sulla gestione delle credenziali e degli accessi. In poche parole: la dispersione delle credenziali aumenta notevolmente il rischio di attacchi informatici per un'organizzazione.

Le credenziali compromesse sono il punto di ingresso più comune per gli attaccanti³⁰, e lo sono da tempo; il 50% dei CISO che ha subito una violazione materiale negli ultimi tre anni ha identificato le credenziali compromesse come causa principale.³¹

La diffusione delle credenziali aumenta in modo significativo la superficie di attacco di un'azienda. Ogni credenziale memorizzata senza sicurezza e supervisione IT rappresenta un'opportunità per i malintenzionati di violare i sistemi. Inoltre, con la diffusione così rapida delle credenziali, le aziende stanno affrontando più rischi che mai.

Nel 2025, IBM ha riportato che lo shadow AI è stato responsabile del 20% delle violazioni e che il 97% degli attacchi legati all'intelligenza artificiale ha coinvolto sistemi privi di adeguati controlli di accesso. IBM evidenzia inoltre come "i dati siano spesso frammentati in ambienti diversi, sottolineando che la presenza di un solo sistema IA non monitorato può causare un'esposizione di dati su vasta scala".³²

Risposta agli incidenti

Il ripristino post-violazione e la gestione degli incidenti sono già di per sé processi onerosi e complessi, ma la proliferazione delle credenziali non fa che aggravare il quadro. Lo shadow AI, ad esempio, rende la risposta alle minacce ancora più articolata e dispendiosa; una violazione che coinvolge sistemi IA non autorizzati può costare fino a 670.000 USD in più rispetto a un incidente analogo in cui non siano implicati.³³

Secondo GitGuardian, il 70% dei segreti trapelati nel 2022 erano ancora validi nel 2025.³⁴ Questo è un dato molto preoccupante, che indica che le credenziali compromesse non vengono risolte da nessun processo aziendale standard; non scadono automaticamente né vengono ruotate dai team. E poiché questi problemi esistenti non vengono risolti, ad ogni nuova violazione, i team IT e di sicurezza sono sommersi da una serie di rischi che continuano a crescere in portata e complessità.

Come riportato da TechTarget, le NHI e l'IA agentica complicano ulteriormente la questione: "Poiché molte organizzazioni utilizzano le NHI per collegare gli ambienti cloud... i segreti vengono spesso duplicati o riutilizzati su più sistemi, rendendo difficili il ripristino e la rotazione in caso di compromissione di una singola identità".³⁵

Solutions for credential sprawl

Le strategie IAM tradizionali non sono sempre sufficienti per gestire i problemi legati alla proliferazione delle credenziali. Piuttosto, i team avranno bisogno di uno sforzo su più fronti che miri ad affrontare il problema da diverse angolazioni.

Gestione delle credenziali

Il problema della dispersione delle credenziali inizia con la gestione delle password. Purtroppo, anche se le password hanno afflitto i team di sicurezza per anni, molte aziende non le hanno ancora ben controllate – e oggi i team utilizzano più strumenti con più login che mai.

In assenza di una strategia chiara, la proliferazione delle credenziali avviene in modo incontrollato. Come abbiamo esplorato più in dettaglio nel nostro recente blog,³⁶ la gestione delle credenziali richiede una strategia che sia costruita per affrontare il modo in cui vengono utilizzate. I team hanno bisogno di sistemi per:

Copertura, cioè quali credenziali proteggere: password, chiavi di accesso, token API, chiavi SSH, NHI e segreti degli agenti AI.
Controllo, ovvero come vengono gestite le credenziali: dove possono essere memorizzate, come vengono condivise, quali regole si applicano e come vengono applicate.
Ciclo di vita, cioè come cambiano le credenziali: creazione, proprietà, rotazione, revoca e prova, specialmente quando i ruoli e i privilegi cambiano per le identità umane e delle macchine.

Il primo passo per soddisfare tutti questi requisiti è un gestore di password aziendali (EPM). L'EPM non si limita alla sola gestione delle password, ma rappresenta un elemento cruciale per ognuno dei pilastri su cui poggia una solida strategia di controllo delle credenziali. Come ha riportato l'analista e ricercatore Francis Odum, "L'ancora architettonica di 1Password è il suo nucleo di Enterprise Password Management (EPM). Questo vault zero-knowledge funge da unico "sistema di riferimento per tutte le credenziali aziendali", coprendo sia le utenze umane sia le identità non umane (NHI)..."³⁷

Nonostante ciò, 1Password ha rilevato che solo circa il 38% dei dipendenti utilizza un gestore di password fornito dall'azienda.³⁸

Un EPM come quello di 1Password è uno strumento indispensabile per le aziende che vogliono arginare la proliferazione delle credenziali e gestire l'utilizzo dell'IA agentica.³⁹ Centralizzando la visibilità sull'impiego delle credenziali, consente agli amministratori di applicare il principio del minimo privilegio tramite l'accesso ai vault basato sui ruoli. Grazie a workflow strutturati di onboarding e offboarding, il personale riceve esclusivamente l'accesso alle credenziali, alle passkey e ai segreti necessari per svolgere le proprie mansioni. Inoltre, l'EPM estende la protezione ai flussi di lavoro degli sviluppatori e all'automazione basata sull'intelligenza artificiale senza introdurre attriti.

Grazie alla crittografia delle credenziali, i team hanno la certezza di poterle proteggere da infostealer e altri attacchi mirati. Inoltre, il monitoraggio delle violazioni di 1Password informa tempestivamente utenti e amministratori nel caso in cui una credenziale gestita risulti compromessa.⁴⁰

In breve: le credenziali di ogni app aziendale rimangono protette e centralizzate, dove l'IT può facilmente supervisionare l'accesso dei dipendenti, gestire l'onboarding e il offboarding e misurare la forza e la sicurezza del proprio ecosistema di password.

Vale la pena notare un elemento essenziale dell'efficacia di EPM: la governance delle credenziali deve essere implementata in modo integrale. Le aziende devono imporre la gestione delle credenziali per ogni persona, agente, segreto e flusso di lavoro. Inoltre, non possono garantire la propria sicurezza proteggendo solo una parte della superficie di identità.

Gestione unificata degli accessi per agenti IA e umani

La proliferazione delle credenziali IA riflette un cambiamento fondamentale nel modo in cui l’autorità viene delegata in azienda. I sistemi IA non sono più strumenti che assistono gli esseri umani; gli agenti agiscono sempre più spesso con accesso autonomo ad applicazioni, dati e flussi di lavoro. Eppure la maggior parte dei controlli degli accessi presuppone ancora una persona alla tastiera.

I dipendenti, e gli sviluppatori in particolare, sono caldamente invitati ad adottare l'IA per aumentare la produttività. Tuttavia, in assenza di strumenti specifici per delegare in sicurezza gli accessi alle identità agentiche e delle macchine, il personale finisce per ricorrere a espedienti rischiosi che sfuggono al raggio d'azione dei sistemi di sicurezza tradizionali. Per contrastare la proliferazione delle credenziali legate all'IA, servono dunque strumenti capaci di governare gli accessi non umani senza rallentare i flussi di lavoro.

1Password® Unified Access aiuta i team a:

Conoscere il rischio: identifica strumenti e agenti di IA non gestiti in esecuzione sui dispositivi di sviluppatori e utenti finali e rileva credenziali e segreti archiviati in file locali e ambienti di sviluppo.
Protezione delle credenziali: archivia le credenziali esposte e rimuovi l'accesso agli strumenti e agli agenti di IA a rischio. Fornisci le credenziali agli agenti, all'automazione e al CI/CD in fase di esecuzione per ridurre i segreti a lunga durata e fare in modo che vengano utilizzate solo quando necessario.
Azioni degli agenti di audit: ottieni un'attribuzione chiara per ogni azione, mostrando quando e come vengono utilizzate le credenziali e chi le utilizza tra umani, agenti e macchine.

Gestione SaaS

La proliferazione delle credenziali e quella del SaaS sono fenomeni ormai indissolubilmente legati. Affinché i team IT e di sicurezza possano stabilire con precisione dove e come vengano archiviate le credenziali, devono innanzitutto avere piena visibilità sulle applicazioni utilizzate dal personale.

La sfortunata natura della proliferazione di SaaS, tuttavia, è che è pressoché impossibile per i team trovare il tempo o le risorse umane per gestirla manualmente.

1Password SaaS Manager risolve questo problema puntando sull'automazione.⁴¹ Grazie a oltre 40.000 integrazioni, consente ai team di creare e aggiornare un inventario completo delle applicazioni utilizzate in azienda, incluse quelle che non possono essere protette tramite SSO. Il sistema offre inoltre funzionalità di rilevamento continuo per fare luce sull'uso di shadow IT e shadow AI nell'intera organizzazione.

Grazie a workflow automatizzati di onboarding e offboarding, i team possono inoltre garantire che l'accesso alle applicazioni venga fornito solo quando necessario, eliminando il rischio di accessi non autorizzati da parte di personale non correttamente rimosso dai sistemi.

L'identificazione delle applicazioni in uso, siano esse approvate o meno dall'azienda, è un passo fondamentale per assicurarsi che ogni credenziale venga utilizzata e conservata in modo sicuro. Un team non può raggiungere una sicurezza completa delle credenziali se anche una sola parte della sua interfaccia applicativa non viene gestita.

AI is here: do you know where your credentials are?

La proliferazione delle credenziali è un problema tutt'altro che recente. Eppure, anziché migliorare, la situazione sembra destinata a peggiorare; diversi studi evidenziano come le pratiche di gestione siano in costante declino, mentre i team si ritrovano a gestire un numero sempre crescente di credenziali su una moltitudine di endpoint e applicazioni. Le chiavi di accesso si nascondono nei codebase, nei messaggi Slack, nei chatbot IA, nei fogli di calcolo e, probabilmente, trovano ancora rifugio su qualche post-it.

La gestione delle credenziali non è mai stata così cruciale. In parole povere: ogni credenziale non gestita mette a rischio il tuo ecosistema. Se le credenziali non vengono protette da parete a parete, la tua azienda può avere un numero incalcolabile di punti di accesso non protetti.

La gestione delle password aziendali non è mai stata una soluzione facoltativa per le aziende che danno priorità alla sicurezza a ogni livello, ma l'impulso a implementare controlli fondamentali delle credenziali è diventato ancora più pressante con la rapida ascesa dell'IA. 1Password è la soluzione critica per le aziende per controllare e gestire l'utilizzo delle credenziali nei loro ecosistemi. Basandoci sulla solida sicurezza del nostro gestore di password, stiamo costruendo sistemi che consentiranno ai team di gestire le credenziali ovunque si trovino, dal foglio di calcolo all'agente IA.

Additional sources:

^{3, 30}Data Breach Investigations Report, Verizon, 2025 (PDF)

⁸Businesses at Work, Okta, 2025

^{12, 13, 24} The State of Secrets Sprawl, GitGuardian, 2025 (PDF)

^{17, 18, 34} The NHI & Secrets Risk Report, HubSpot, 2025 (PDF)

²⁷ PCI DSS: v4.0.1, PCI Security Standards Council, 2024

^{32, 33} Cost of a Data Breach Report, IBM, 2025

Non c'è mai stato un momento migliore per iniziare a gestire la dispersione delle credenziali

Richiedi una dimostrazione