Il 74% dei data breach aziendali nel 2025 ha coinvolto credenziali compromesse (Verizon DBIR). Tradotto: tre attacchi su quattro passano dalla porta principale perché qualcuno ha usato la password del collega, un account dimenticato o un accesso mai revocato. L'Identity Access Management (IAM) è il sistema che governa chi può accedere a cosa, quando e da dove. Non è un lusso da enterprise — è la base della sicurezza per qualsiasi azienda con più di 10 dipendenti. BullTech Informatica, dal 2009 a Vimercate, ha implementato sistemi IAM per oltre 200 aziende con un SLA del 99,2%. In questa guida ti spiego come funziona, cosa ti serve davvero e quanto costa.
Indice dei Contenuti
- 1. Cos'è l'IAM e Perché Serve
- 2. I Tre Pilastri: Authentication, Authorization, Administration
- 3. SSO vs MFA vs RBAC: Confronto Pratico
- 4. IAM nel Contesto Zero Trust
- 5. Active Directory + Entra ID come IAM Base
- 6. IAM Cloud: Okta vs Azure AD vs Google vs JumpCloud
- 7. IAM e NIS2: Obblighi Specifici
- 8. Come BullTech Implementa IAM per PMI
- 9. Domande Frequenti
Cos'è l'IAM e Perché Serve
IAM sta per Identity and Access Management, ovvero gestione delle identità e degli accessi. In parole semplici: è il sistema che decide chi entra, dove può andare e cosa può fare una volta dentro. Pensa al tuo ufficio: hai una reception che verifica i badge, un sistema di serrature sulle porte e un registro di chi è entrato e quando. L'IAM fa esattamente questo, ma nel mondo digitale.
Senza IAM, ogni applicazione gestisce utenti e password per conto suo. Il risultato? Mario della contabilità ha 14 password diverse (e le tiene su un post-it), Giulia delle vendite usa la stessa password ovunque dal 2019, e l'account di Marco che è andato via sei mesi fa è ancora attivo su tre sistemi. Non è un'esagerazione: è la fotografia del 70% delle PMI italiane che gestiamo.
Un sistema IAM risolve tutto questo centralizzando la gestione delle identità. Un unico punto dove creare, modificare e disabilitare gli account. Un unico posto dove definire chi accede a cosa. Un unico log dove vedere chi ha fatto cosa e quando. Sembra banale, ma è la differenza tra un'azienda che scopre un accesso non autorizzato dopo 6 mesi e una che lo blocca in 6 secondi.
I numeri che fanno riflettere
- 74% dei data breach coinvolge credenziali compromesse (Verizon DBIR 2025)
- 256 giorni tempo medio per identificare un accesso non autorizzato (IBM Security 2025)
- 43% delle PMI non disabilita gli account dei dipendenti che lasciano l'azienda entro 24 ore
- 120.000 € costo medio di un data breach per PMI italiane (Ponemon Institute)
I Tre Pilastri: Authentication, Authorization, Administration
Ogni sistema IAM si regge su tre gambe. Togli una delle tre e tutto crolla. Vediamole nel dettaglio.
Authentication
Chi sei? Verifica dell'identità tramite password, MFA, biometria, certificati. È il portone d'ingresso.
Authorization
Cosa puoi fare? Definizione dei permessi: RBAC, ABAC, policy granulari per risorsa e azione.
Administration
Gestione del ciclo di vita: onboarding, cambio ruolo, offboarding. Provisioning e deprovisioning automatici.
L'authentication è la parte più visibile: è il login. Ma una password da sola non basta più. Serve almeno l'autenticazione multi-fattore (MFA): qualcosa che sai (password) più qualcosa che hai (telefono) o qualcosa che sei (impronta). L'authorization definisce i confini: il commerciale vede i dati dei clienti ma non le buste paga, il contabile vede i numeri ma non i contratti legali. L'administration è la parte che le PMI trascurano di più: quando arriva un nuovo dipendente, in quanto tempo ha tutti gli accessi? E quando se ne va, in quanto tempo vengono revocati tutti? Se la risposta è “dipende da chi se ne ricorda”, hai un problema serio.
L'IAM moderno automatizza l'administration: colleghi il sistema HR con l'IAM, e quando le risorse umane inseriscono un nuovo assunto, l'IAM crea automaticamente tutti gli account necessari (email, VPN, applicazioni di reparto) con i permessi corretti per quel ruolo. Quando qualcuno lascia l'azienda, un click e tutto viene disabilitato. Zero account orfani, zero rischi.
SSO vs MFA vs RBAC: Confronto Pratico
Tre sigle che si sentono sempre insieme, ma che fanno cose molto diverse. Ecco cosa sono, a cosa servono e quando ti servono.
| Caratteristica | SSO (Single Sign-On) | MFA (Multi-Factor Auth) | RBAC (Role-Based Access) |
|---|---|---|---|
| Cosa fa | Un login per tutte le app | Doppia verifica identità | Permessi basati sul ruolo |
| Problema che risolve | Troppe password, password deboli | Password rubate/compromesse | Permessi eccessivi, accessi non necessari |
| Pilastro IAM | Authentication | Authentication | Authorization |
| Esempio pratico | Login con Entra ID apre anche Teams, SharePoint, CRM | Password + notifica push sul telefono | Ruolo “Commerciale” = CRM sì, contabilità no |
| Costo indicativo | Incluso in Entra ID / Okta | 2-5 €/utente/mese | Incluso in AD/Entra ID |
| Priorità per PMI | Alta (produttività + sicurezza) | Critica (primo step obbligatorio) | Alta (compliance NIS2/GDPR) |
Il punto fondamentale: non sono alternativi, sono complementari. L'SSO senza MFA è pericoloso (se rubano quella singola password, accedono a tutto). L'MFA senza RBAC è incompleto (sai chi è, ma gli dai accesso a troppo). Il RBAC senza SSO è ingestibile (100 app, 100 configurazioni di permessi diverse). La risposta corretta è: tutti e tre, in quest'ordine di implementazione — prima MFA, poi SSO, poi RBAC.
IAM nel Contesto Zero Trust
Se hai letto la nostra guida al Zero Trust, sai che il principio base è “non fidarti di nessuno, verifica sempre”. Ecco, l'IAM è il motore che rende possibile il Zero Trust. Senza IAM, Zero Trust resta uno slogan scritto su una slide.
Nel modello tradizionale, l'identità conta solo al momento del login. Una volta dentro la rete, sei “fidato” e puoi muoverti liberamente. Nel modello Zero Trust, l'identità viene verificata ad ogni accesso, ad ogni risorsa, in tempo reale. E non si verifica solo chi sei, ma anche: da dove ti colleghi (ufficio, casa, aeroporto), con che dispositivo (aziendale gestito o portatile personale), a che ora (le 10 del mattino o le 3 di notte), con quale livello di rischio (comportamento normale o anomalo).
Questo si chiama accesso condizionale, ed è il cuore dell'IAM moderno. Con Entra ID P2 di Microsoft, ad esempio, puoi creare policy come: “se il login arriva da un Paese dove non abbiamo uffici, blocca l'accesso anche con password e MFA corretti”. Oppure: “se il dispositivo non ha l'antivirus aggiornato, concedi accesso solo alla webmail, non a SharePoint con i dati sensibili”. Questa è la vera potenza dell'IAM in un'architettura Zero Trust.
IAM + Zero Trust: i 5 controlli chiave
- Verifica identità continua — MFA + accesso condizionale su ogni risorsa, non solo al login iniziale
- Least privilege dinamico — permessi minimi, elevabili solo quando serve e per il tempo necessario
- Device compliance — solo dispositivi gestiti e conformi possono accedere ai dati aziendali
- Session monitoring — monitoraggio in tempo reale delle sessioni attive, con revoca istantanea se necessario
- Audit trail completo — log di ogni accesso, ogni azione, ogni modifica. Fondamentale per NIS2
Active Directory + Entra ID come IAM Base
Se la tua azienda usa Windows e Microsoft 365 (e statisticamente è così per il 90% delle PMI italiane), hai già un sistema IAM senza saperlo. Active Directory (AD) è il cuore dell'identità on-premises dal 2000. Entra ID (ex Azure Active Directory) è il suo equivalente cloud. Insieme, formano un sistema IAM ibrido potentissimo.
Active Directory on-prem gestisce gli utenti, i gruppi, le Group Policy (GPO), l'autenticazione Kerberos per le risorse interne: file server, stampanti, applicazioni legacy, VPN. È solido, testato, ma limitato al perimetro aziendale.
Entra ID estende questa identità al cloud: SSO per Microsoft 365 e migliaia di applicazioni SaaS (Salesforce, SAP, Zoom, Slack), MFA integrato, accesso condizionale, protezione dell'identità basata su AI (rilevamento login sospetti, credenziali compromesse). Con Entra ID Connect, i due mondi si sincronizzano: un utente, una password, ovunque.
Il bello è che se hai già Microsoft 365 Business Premium, Entra ID P1 è già incluso nella licenza. Non devi comprare niente in più per avere SSO, MFA e accesso condizionale base. Per le funzioni avanzate (Identity Protection, access review, PIM per account privilegiati) serve Entra ID P2, a circa 7,50 €/utente/mese. Scopri di più nella nostra pagina dedicata ad Active Directory.
IAM Cloud: Okta vs Azure AD vs Google vs JumpCloud
Non tutte le aziende sono full Microsoft. Se hai un ambiente misto, o se cerchi un IAM cloud-native sganciato da un ecosistema specifico, ecco le opzioni principali a confronto.
| Caratteristica | Microsoft Entra ID | Okta | Google Workspace | JumpCloud |
|---|---|---|---|---|
| Ideale per | Aziende Microsoft-centric | Multi-cloud, ambienti eterogenei | Aziende Google-first | PMI senza AD, full cloud |
| SSO | 3.000+ app integrate | 7.000+ app integrate | SAML/OIDC base | 700+ app, LDAP, RADIUS |
| MFA | Authenticator, SMS, FIDO2 | Okta Verify, push, biometria | Google Authenticator, chiavi HW | TOTP, push, WebAuthn |
| Integrazione AD | Nativa (Entra ID Connect) | AD Agent dedicato | Limitata (GCDS) | Import AD, può sostituirlo |
| Device management | Intune integrato | Integra con MDM terzi | Chrome OS nativo, altri MDM | MDM integrato cross-platform |
| Prezzo base | Incluso in M365 (P1) / 7,50 € (P2) | Da 2 $/utente/mese (SSO) | Incluso in Workspace | Da 7 $/utente/mese |
| Punto di forza | Integrazione totale ecosistema MS | Catalogo app e personalizzazione | Semplicità, Chromebook | Sostituisce AD senza server |
Per il 90% delle PMI italiane che gestiamo, la risposta è Entra ID: costa poco o niente (se hai già M365), si integra nativamente con AD on-prem e copre tutti i casi d'uso. Okta ha senso quando l'ambiente è fortemente multi-cloud con tante applicazioni non-Microsoft. JumpCloud è interessante per startup o aziende full cloud che vogliono evitare Active Directory completamente. Google Workspace va bene solo se sei già nell'ecosistema Google.
IAM e NIS2: Obblighi Specifici
La direttiva NIS2 ha trasformato la gestione delle identità da “best practice” a “obbligo di legge”. L'articolo 21 è esplicito su diversi punti che richiedono un sistema IAM strutturato.
Art. 21, comma 2i: Controllo degli accessi
Obbligo di politiche e procedure di controllo degli accessi, gestione degli asset digitali. Servono RBAC, least privilege, review periodiche dei permessi.
Art. 21, comma 2j: Autenticazione multi-fattore
Richiesta esplicita di MFA o soluzioni di autenticazione continua. Password da sole non bastano più per la compliance.
Art. 21, comma 2a: Analisi dei rischi
L'analisi dei rischi deve includere la gestione delle identità e degli accessi. Chi accede a cosa, con quali permessi, da dove.
Responsabilità del management
Il CDA deve approvare e supervisionare le misure di cybersecurity. Senza un IAM documentato, come dimostri la governance degli accessi?
Obbligo di notifica
In caso di incidente, devi ricostruire chi ha fatto cosa. Senza audit trail IAM, non puoi rispondere alle domande dell'ACN.
Il messaggio è chiaro: se la tua azienda rientra nel perimetro NIS2 (e con i criteri allargati del 2026, probabilmente sì), un sistema IAM non è più opzionale. È un requisito di compliance con conseguenze legali e sanzioni che arrivano fino al 2% del fatturato globale. Leggi la nostra guida completa sulla compliance NIS2 per tutti i dettagli.
Come BullTech Implementa IAM per PMI
Facciamo questo lavoro dal 2009, da Vimercate (MB). Abbiamo implementato sistemi IAM per aziende da 15 dipendenti e per aziende da 500. Il percorso che seguiamo è sempre lo stesso, calibrato sulla dimensione e sulla complessità dell'infrastruttura.
Assessment IAM (1 settimana)
Mappiamo tutti gli utenti, gli account, le applicazioni, i flussi di accesso. Identifichiamo account orfani, permessi eccessivi, password condivise, gap di compliance. Consegniamo un report con lo stato attuale e le priorità di intervento.
Progettazione e MFA (settimana 2-3)
Progettiamo l'architettura IAM target: struttura AD/Entra ID, gruppi e ruoli RBAC, policy di accesso condizionale, flussi di provisioning. Attiviamo subito l'MFA su tutti gli accessi critici — il quick win più impattante.
Implementazione SSO e RBAC (settimana 4-6)
Configuriamo SSO per tutte le applicazioni aziendali, implementiamo RBAC con gruppi e policy granulari, attiviamo l'accesso condizionale (geolocalizzazione, device compliance, rischio utente). Formiamo i dipendenti sul nuovo sistema.
Gestione Continuativa (ongoing)
Come MSP, gestiamo il sistema IAM in modo continuativo: onboarding/offboarding dipendenti, review periodiche dei permessi, aggiornamento policy, monitoraggio accessi anomali, reportistica per il management e per la compliance NIS2/GDPR.
Vuoi sapere a che punto è il tuo IAM?
BullTech offre un assessment IAM gratuito: mappiamo i tuoi utenti, identifichiamo i gap e ti consegniamo un piano di implementazione con costi e tempi. Chiamaci al 039 6099 023 o scrivici.
Domande Frequenti
Quanto costa un sistema IAM per una PMI?
Per una PMI con 50-150 utenti, l'investimento iniziale si aggira tra 5.000 e 15.000 euro per l'assessment, la progettazione e la configurazione iniziale. A questo va aggiunto un costo ricorrente di 3-8 euro per utente al mese, che include licenze software (Entra ID P1/P2, Okta, JumpCloud), gestione delle policy, supporto e aggiornamenti. Il costo varia in base alla complessità dell'infrastruttura: un'azienda full cloud con solo Microsoft 365 paga meno di una con Active Directory on-prem più applicazioni legacy. Il punto chiave è il ROI: il costo medio di un data breach causato da credenziali compromesse per una PMI italiana è di circa 120.000 euro. Un sistema IAM ben implementato riduce questo rischio dell'80%.
Qual è la differenza tra IAM e PAM?
IAM (Identity Access Management) gestisce l'identità e gli accessi di tutti gli utenti aziendali: dipendenti, collaboratori, fornitori. Si occupa di autenticazione (chi sei), autorizzazione (cosa puoi fare) e amministrazione (gestione del ciclo di vita dell'identità). PAM (Privileged Access Management) è un sottoinsieme dell'IAM focalizzato esclusivamente sugli accessi privilegiati: account admin, root, service account, accessi ai database, console cloud. Se l'IAM è il sistema che gestisce le chiavi di tutte le porte dell'azienda, il PAM è la cassaforte dove custodisci le chiavi master. Entrambi servono, ma l'IAM è la base su cui costruire. Approfondisci nella nostra guida dedicata al PAM.
Posso implementare IAM con Active Directory on-premises?
Assolutamente sì. Active Directory è già un sistema IAM di base: gestisce identità, gruppi, policy di accesso (GPO) e autenticazione Kerberos. Il problema è che AD da solo non copre tutto: non ha SSO nativo per applicazioni cloud, non supporta MFA integrato, non gestisce il provisioning automatico verso SaaS. La soluzione è estenderlo con Entra ID Connect (ex Azure AD Connect), che sincronizza le identità on-prem con il cloud Microsoft. In questo modo ottieni SSO per Microsoft 365 e migliaia di applicazioni SaaS, MFA con Entra ID, accesso condizionale e un'interfaccia unica per gestire identità ibride. Non devi buttare via AD: lo potenzi.
La NIS2 richiede un sistema IAM?
La direttiva NIS2 non menziona esplicitamente “IAM”, ma i suoi requisiti lo rendono di fatto obbligatorio. L'articolo 21 della NIS2 richiede esplicitamente: politiche di controllo degli accessi e gestione degli asset (comma 2i), autenticazione multi-fattore o autenticazione continua (comma 2j), procedure per la gestione delle identità e degli accessi. Senza un sistema IAM strutturato, è praticamente impossibile dimostrare la compliance a questi requisiti durante un audit. Inoltre, la NIS2 prevede responsabilità personale per il management: il CDA deve approvare e supervisionare le misure di sicurezza, inclusa la gestione degli accessi. Un IAM ben implementato è la base documentale e operativa per la compliance NIS2.
BullTech implementa sistemi IAM per PMI?
Sì, è uno dei nostri servizi core. Come MSP specializzato in cybersecurity per PMI in Lombardia, gestiamo l'intero ciclo di vita IAM: dall'assessment iniziale (mapping utenti, applicazioni, flussi di accesso) alla progettazione dell'architettura (Active Directory, Entra ID, SSO, MFA), dall'implementazione alla gestione continuativa. Lavoriamo principalmente con lo stack Microsoft (Active Directory + Entra ID + Microsoft 365) ma integriamo anche soluzioni come Okta o JumpCloud quando l'infrastruttura lo richiede. Dal 2009, abbiamo implementato sistemi IAM per oltre 200 aziende, con un SLA del 99,2% sulla disponibilità dei servizi. Offriamo un assessment IAM gratuito per capire dove sei e cosa serve. Chiamaci al 039 6099 023.
L'IAM non è un progetto IT: è un progetto di sicurezza aziendale che tocca ogni dipendente, ogni applicazione, ogni dato. Implementarlo bene significa proteggere l'azienda, semplificare la vita ai dipendenti (meno password, accessi più rapidi) e dimostrare compliance a NIS2 e GDPR. Se non sai da dove partire, parti dall'assessment: è gratuito, dura una settimana e ti dà una fotografia chiara di dove sei e cosa devi fare. Leggi anche la nostra guida al PAM per la gestione degli accessi privilegiati, e la guida al Zero Trust per il quadro completo della sicurezza moderna.