Skip to main content
search

Quando si parla di cybersecurity, l’immagine mentale predefinita è quasi sempre un attaccante esterno. Ma secondo il Data Breach Investigations Report 2025 di Verizon, in area EMEA — dove si trova l’Italia — quasi un terzo delle violazioni, il 29%, ha avuto origine dall’interno dell’organizzazione, contro appena il 5% del Nord America e l’1% dell’area Asia-Pacifico. In Italia, secondo il Cost of a Data Breach Report 2025 di IBM, l’insider threat è causa del 13% delle violazioni, con un costo medio di 4,24 milioni di euro per incidente. È un rischio strutturalmente più rilevante per le aziende europee di quanto la narrazione dominante — concentrata sull’attaccante esterno — suggerisca.

Non è (quasi mai) il dipendente infedele

L’immaginario dell’insider malevolo che ruba dati per venderli alla concorrenza esiste, ma è la minoranza dei casi. Secondo l’analisi Ponemon più recente, il 55% degli incidenti insider nasce da dipendenti negligenti, non da intenzioni dolose: un allegato inviato al destinatario sbagliato, un accesso non revocato dopo un cambio di ruolo, credenziali salvate in modo insicuro. La quota restante comprende anche il furto di credenziali (20%) — categoria che include sia dipendenti sia, spesso, attori esterni che si sono procurati credenziali legittime per muoversi come se fossero interni. Sommando le due componenti, il 75% degli incidenti insider è non doloso da parte del dipendente stesso — un dato che sposta l’attenzione da “chi punire” a “quali processi correggere”.

Il costo cresce più velocemente di quasi ogni altra voce di rischio

Secondo l’analisi Ponemon/DTEX più recente, ripresa da StationX, il costo medio annuo che un’organizzazione sostiene complessivamente per incidenti legati a insider ha raggiunto i 19,5 milioni di dollari — un aumento del 123% rispetto agli 8,76 milioni del 2018. È una metrica diversa (e non direttamente comparabile) dal costo per singolo incidente di 4,24 milioni di euro rilevato da IBM in Italia: la prima somma tutti gli eventi insider di un anno, la seconda misura il costo medio di ogni singola violazione.

Perché è più difficile da rilevare di un attacco esterno

Un insider, per definizione, ha già accesso legittimo ai sistemi. Non deve superare un firewall né sfruttare una vulnerabilità: usa credenziali valide per compiere azioni che, isolate, sembrano parte del normale lavoro quotidiano. È il motivo per cui la maggior parte dei responsabili sicurezza considera le minacce interne più difficili da individuare rispetto agli attacchi esterni — servono strumenti di analisi comportamentale in grado di riconoscere anomalie rispetto a un pattern d’uso consolidato, non semplici allarmi su accessi non autorizzati.

Cosa riduce concretamente l’esposizione

  • Gestione rigorosa del ciclo di vita degli accessi: revoca immediata dei permessi quando un ruolo cambia o un rapporto di lavoro termina, non a distanza di settimane.
  • Principio del privilegio minimo: ogni persona ha accesso solo a ciò che le serve per il proprio ruolo, non all’intero perimetro aziendale.
  • Monitoraggio comportamentale degli accessi ai dati critici, capace di segnalare pattern anomali (download massivi, accessi fuori orario, tentativi ripetuti su risorse non pertinenti al ruolo).
  • Formazione mirata su gestione delle credenziali e riconoscimento di richieste sospette anche quando arrivano da colleghi o canali interni apparentemente legittimi.
FAQ

Le risposte che cerchi: FAQ sull’Insider Threat

Cos'è un insider threat?

È un rischio per la sicurezza informatica che ha origine all’interno dell’organizzazione — da un dipendente, un collaboratore o un fornitore con accesso legittimo ai sistemi — anziché da un attaccante esterno. In area EMEA riguarda il 29% delle violazioni secondo Verizon.

Gli insider threat sono sempre intenzionali?

No. Circa il 75% degli incidenti insider nasce da negligenza o furto di credenziali, non da intenzioni malevole: errori come invii sbagliati, accessi non revocati o credenziali gestite male sono la causa più comune.

Quanto costa un insider threat alle aziende?

Sono due metriche distinte: a livello globale, il costo medio annuo complessivo per organizzazione ha raggiunto 19,5 milioni di dollari (Ponemon/DTEX). In Italia, il costo medio per singolo incidente causato da insider è di 4,24 milioni di euro (IBM), su un 13% delle violazioni totali.

Perché è più difficile individuare un insider threat rispetto a un attacco esterno?

Perché chi agisce ha già accesso legittimo ai sistemi: non deve aggirare difese perimetrali, ma usa credenziali valide in modi che, singolarmente, possono sembrare normale attività lavorativa.

Close Menu