Il Verizon Data Breach Investigations Report 2025 fornisce un dato scomodo: nella regione EMEA, il 29% di tutte le violazioni di dati confermate è riconducibile ad attori interni. A livello globale, le persone rappresentano il fattore decisivo nel 60% di tutte le violazioni – per errori, manipolazione o abuso deliberato. La minaccia più grande non si nasconde nel dark web. Si trova nell’ufficio accanto, in smart working, o ha dato le dimissioni la settimana scorsa.
Tre tipi di minacce interne
Non tutte le minacce interne sono uguali. Nella pratica distinguiamo tre categorie che richiedono strategie di difesa differenti:
Insider malintenzionati agiscono con intento doloso. Un dipendente scontento copia i dati dei clienti prima di licenziarsi. Un tecnico vende le credenziali di accesso a terzi. In Tesla, due ex dipendenti hanno sottratto oltre 100 GB di dati interni nel 2023 – tra cui numeri di previdenza sociale, indirizzi e dati bancari di oltre 75.000 persone. I dati sono finiti nelle mani di un quotidiano tedesco. Tesla ha ottenuto ingiunzioni giudiziarie, ma il danno era già fatto.
Dipendenti negligenti causano il 55% di tutti gli incidenti interni secondo il Ponemon Institute. Non si tratta di attori malintenzionati, ma di persone che cliccano su link di phishing, perdono chiavette USB, configurano erroneamente lo storage cloud o riutilizzano le password. I costi si accumulano comunque: in media 8,8 milioni di dollari all’anno per organizzazione.
Account compromessi si verificano quando aggressori esterni ottengono credenziali valide dei dipendenti – tramite phishing, credential stuffing o malware infostealer. Per i sistemi di sicurezza, l’attività appare inizialmente legittima. Questa categoria è la più costosa: in media 779.707 dollari per singolo incidente secondo il Ponemon Report 2025.
I costi sono reali
Il Ponemon Report 2025 quantifica i costi medi annuali degli incidenti interni tra 17,4 e 19,5 milioni di dollari per organizzazione – a seconda della metodologia e del campione. Il contenimento di un incidente richiede in media 81 giorni. Se un incidente viene risolto solo dopo più di 91 giorni, i costi salgono in media a 18,7 milioni di dollari. Cash App (Block Inc.) ha dovuto pagare un risarcimento di 15 milioni di dollari in seguito a una violazione interna nel 2021 – un ex dipendente ha scaricato i report finanziari di 8,2 milioni di clienti dopo le sue dimissioni. L’accesso semplicemente non era stato revocato in tempo.
Riconoscere i segnali d’allarme
Le minacce interne spesso si preannunciano. I team di sicurezza dovrebbero conoscere i seguenti indicatori:
- Schemi di accesso insoliti: Login al di fuori dell’orario di lavoro, download massivi di dati, accesso da dispositivi o posizioni sconosciute
- Accesso a sistemi non pertinenti: Un dipendente della contabilità che improvvisamente consulta repository tecnici o database clienti
- Combinazione di insoddisfazione e attività elevata: Conflitti con i superiori, richiami formali o promozioni mancate accompagnati da un aumento dell’accesso ai dati
- Dimissioni e trasferimento di dati: Download massivi, email verso indirizzi personali o utilizzo di USB nelle settimane precedenti l’ultimo giorno di lavoro
- Elusione dei controlli di sicurezza: Disattivazione della protezione endpoint, utilizzo di strumenti non autorizzati, aggiramento della VPN
Sei misure che funzionano davvero
1. Applicare rigorosamente il principio del privilegio minimo. Ogni utente riceve solo i diritti di accesso necessari per la sua funzione attuale. Il controllo degli accessi basato sui ruoli (RBAC) è la base – ma è efficace solo se le autorizzazioni vengono verificate regolarmente e adattate immediatamente in caso di cambio di ruolo. Le revisioni trimestrali degli accessi sono il minimo indispensabile.
2. User and Entity Behavior Analytics (UEBA). Le soluzioni UEBA creano profili comportamentali per ogni utente e rilevano le deviazioni: orari di login insoliti, movimenti di dati atipici, escalation improvvise dei privilegi. Questo fornisce segnali di allarme precoce prima che si verifichino danni.
3. Data Loss Prevention (DLP). I sistemi DLP monitorano e controllano i flussi di dati – che avvengano tramite email, upload cloud, USB o stampa. I dati sensibili (dati personali, segreti aziendali, dati finanziari) vengono classificati e il loro trasferimento non controllato viene bloccato.
4. Revoca immediata degli accessi durante l’offboarding. Il caso Cash App lo dimostra in modo eclatante: un ex dipendente ha mantenuto l’accesso e ha causato una violazione che ha coinvolto 8,2 milioni di persone. I processi di offboarding devono disattivare tutti gli account, i token, gli accessi VPN, i servizi cloud e i mezzi di accesso fisico entro ore – non giorni.
5. Cultura della sicurezza anziché semplici corsi di compliance. Le formazioni obbligatorie annuali non cambiano il comportamento. Ciò che funziona: misure di sensibilizzazione regolari e brevi, simulazioni di phishing realistiche, canali di segnalazione chiari senza attribuzione di colpe e un impegno visibile da parte della direzione. Il Carnegie Mellon CERT sottolinea che una cultura aperta della segnalazione rileva gli incidenti interni in modo dimostrabilmente più precoce.
6. Separazione dei compiti. Le operazioni critiche – approvazioni di pagamenti, modifiche ai sistemi, gestione degli utenti – richiedono l’approvazione di almeno due persone. Questo riduce significativamente il rischio derivante sia da singoli attori malintenzionati sia da singoli account compromessi.
Come Zerberos protegge la Sua azienda
Le minacce interne richiedono un approccio diverso rispetto alla tradizionale sicurezza perimetrale. Supportiamo le aziende in modo mirato:
- Test di social engineering: Campagne di phishing realistiche e test fisici di social engineering rivelano dove la Sua organizzazione è vulnerabile
- Risk assessment: Analisi sistematica dei Suoi controlli di accesso, processi di offboarding e classificazione dei dati
- Security awareness: Programmi di formazione personalizzati, adattati alla Sua azienda e al Suo settore
- Progettazione di programmi contro le minacce interne: Sviluppo di processi, policy e controlli tecnici contro le minacce interne
Ci contatti per una consulenza iniziale senza impegno.
Fonti
- Verizon, 2025 Data Breach Investigations Report, verizon.com/business/resources/reports/dbir/
- Ponemon Institute / DTEX Systems, 2025 Cost of Insider Risks Global Report, ponemon.dtexsystems.com
- CISA, Insider Threat Mitigation Guide, cisa.gov/insider-threat-mitigation
- Carnegie Mellon University, CERT Insider Threat Center, sei.cmu.edu/about/divisions/cert
- TechCrunch, Tesla says data breach impacting 75,000 employees was an insider job, August 2023
- TechCrunch, Block confirms Cash App breach after former employee accessed US customer data, April 2022