Dal Cyber Risk Index 2025 di Trend Micro emerge che un miliardo di imprese ed organizzazioni nel mondo non usa l’autenticazione a due fattori (2FA) o a più fattori (MFA).
“La cifra è ancora più sorprendente se si pensa che, oggi, vita privata e professionale si sovrappongono quasi del tutto”, rendendo le nostre credenziali un “punto d’accesso per i criminali informatici”, commenta Pierguido Iezzi, Ceo e Founder di Twin4Cyber.
“Nel 2025 questa cifra enorme è semplicemente inaccettabile”, conferma Sandro Sana, Cyber security division manager: “Non serve l’AI per capire che senza le basi, il rischio è una certezza”.
Indice degli argomenti
Autenticazione a due fattori: un miliardo di imprese non l’ha implementata
L’indagine ha rilevato che oltre un miliardo di organizzazioni aveva disabilitato l’autenticazione a più fattori sugli account Entra ID.
Una pratica roadmap per rendere perfetta la Compliance aziendale: scarica ora la guida
Nella classifica dei rischi, infatti, il primo è l’accesso ad applicazioni cloud a rischio, seguito a ruota da “Account ID Microsoft Entra non aggiornato”.
“Si usano spesso gli stessi dispositivi, in ambito privato e professionale, reti e persino abitudini digitali sia al lavoro sia nel tempo libero”, avverte Iezzi: “Per questa ragione, ogni combinazione di username e password può trasformarsi in un punto di accesso per i criminali informatici, che sfruttano qualsiasi vulnerabilità per entrare nei sistemi aziendali o rubare informazioni personali“.
“Nel frattempo, i malware infostealer — creati appositamente per rubare username e password — trovano terreno fertile in un ambiente così poco protetto”, mette in guardia Iezzi.
Ma la soluzione per proteggersi esiste. “La MFA è disponibile su quasi tutte le piattaforme che utilizziamo quotidianamente: dai social network ai negozi online, fino ai servizi di trasporto e a quelli sanitari. Non attivarla, di fatto, equivale a lasciare aperte le porte a minacce che potrebbero essere evitate con pochi clic”, sottolinea Pierguido Iezzi.
Il Cyber Risk Index (CRI)
Il report ha rivelato anche un declino, a livello globale, del punteggio relativo al Cyber Risk Index (CRI) di Trend Micro, un indicatore in grado di calcolare il divario tra le cyber difese dell’impresa ovvero fra la postura di security e il rischio di subire danni a risorse più o meno critiche. Il Cri permette di prevedere il rischio di attacco. E l’ultimo valore si attesta a 38,4, sotto di 6,2 punti rispetto al precedente. “Il Cyber Risk Index in calo è un segnale incoraggiante, ma non basta”, avverte Sana.
Questo valore è il risultato (compreso tra zero e 100, dove la fascia 0-30 indica rischio basso, 31-69 rischio medio e 70-100 alto).
Istruzione, agricoltura ed edilizia sono i settori con il CRI più elevato nel 2024 e sono dunque più esposti. Invece sanità e telco sono i più lenti a risolvere una vulnerabilità. “Continuano a muoversi troppo lentamente. E intanto i criminali non aspettano”, secondo Sana.
Europa (23,5 giorni) e Giappone (27,5 giorni) hanno messo a segno il tempo medio per applicare le patch più velocemente di altre aree, mentre il settore no-profit (19 giorni) e il settore tech (22 giorni) sono stati i mercati verticali più reattivi.
Bisogna migliorare “la resilienza, contenere le minacce rapidamente ed aumentare l’efficienza in termini di tempo e risorsei”, spiega Salvatore Marcis, Head of Channel and Territory Sales di Trend Micro Italia.
“L’Europa dà segnali positivi, forse perché regolamenti come NIS 2 iniziano a farsi sentire. Ma la vera svolta sarà culturale: finché la cyber security resterà confinata all’IT, saremo sempre un passo indietro”, avverte Sana.
Come mitigare il rischio
Occorre ottimizzare le configurazioni di sicurezza, per ricevere avvisi su impostazioni errate, falle ed altri rischi (legati all’AI, phishing basate su deepfake e AI, truffe su rapimenti virtuali e riconoscimenti automatizzati). Sensori nativi o fonti di terze parti permettono di ottenere una visione completa della superficie di attacco.
Inoltre, è necessario contattare il proprietario del dispositivo e/o dell’account quando si rileva un evento rischioso.
“Dietro ogni account non protetto, ogni patch saltata, ogni vulnerabilità ignorata, c’è una porta aperta verso un danno reale. Non solo tecnologico, ma umano. È tempo di chiuderle, una volta per tutte”, conclude Sandro Sana: “Non possiamo più permetterci di rincorrere gli attacchi. È ora di prevenirli. Con lucidità. Con visione. Con coraggio”.
Bisogna eliminare gli account inattivi e non usati, disabilitando quelli rischiosi, reimpostando le password con credenziali complesse e abilitando l‘autenticazione a più fattori (MFA). Infine è necessario applicare con regolarità le patch più recenti, mantenendo aggiornate le versioni dell’app o del sistema operativo.
“La sicurezza digitale, quindi, non riguarda più solo le aziende: sta diventando una responsabilità condivisa, in cui ognuno di noi è chiamato a fare la propria parte”, conclude Iezzi: “Quando si parla di proteggere i dati personali — e quelli dell’organizzazione in cui si lavora — nessuno può più permettersi di trascurare misure elementari come la MFA”.
