Un dipendente lascia l'azienda il venerdì. Il lunedì, il suo account è ancora attivo: email, CRM, cartelle condivise, accesso VPN. Nessuno lo ha disabilitato. Succede più spesso di quanto pensi, e l'80% dei data breach coinvolge credenziali compromesse. Quando i tuoi dipendenti accedono a decine di applicazioni da qualsiasi luogo e dispositivo, sapere chi accede a cosa, quando e come è la sfida più importante della sicurezza IT. L'Identity and Access Management (IAM, cioè la gestione delle identità e degli accessi) è la risposta: questa guida ti spiega cos'è, come funziona e come attivarlo nella tua azienda.
Indice dei Contenuti
- 1. Cos'è l'Identity and Access Management
- 2. I 4 Componenti dell'IAM: SSO, MFA, PAM, Identity Governance
- 3. IAM con Microsoft Entra ID (ex Azure AD)
- 4. Zero Trust e Identità: Never Trust, Always Verify
- 5. IAM e Compliance: GDPR e NIS2
- 6. Implementare IAM Step by Step
- 7. IAM per Remote Work e Hybrid Work
- 8. Costi e Benefici per PMI
- 9. Domande Frequenti
Cos'è l'Identity and Access Management
L'Identity and Access Management (IAM) è l'insieme di regole, processi e strumenti che la tua azienda usa per gestire gli account dei dipendenti e controllare chi può accedere a cosa. In pratica, l'IAM risponde a tre domande:
Chi sei?
Autenticazione
Verifica che l'utente sia davvero chi dice di essere, attraverso credenziali (password), fattori aggiuntivi (MFA), biometria o certificati digitali.
A cosa puoi accedere?
Autorizzazione
Determina quali risorse, applicazioni e dati l'utente può utilizzare in base al suo ruolo, reparto, livello gerarchico e contesto di accesso.
Cosa hai fatto?
Audit & Tracciamento
Registra ogni accesso, modifica e attività per compliance, forensic analysis e detection di comportamenti anomali.
Perché oggi la sicurezza parte dall'identità
- 80% dei data breach coinvolge credenziali compromesse (Verizon DBIR 2025)
- Il dipendente medio gestisce 87 password diverse tra applicazioni aziendali e personali
- 30-50% delle chiamate help desk riguardano reset password e problemi di accesso
- €4,5 milioni costo medio di un breach causato da credenziali rubate
Una volta la sicurezza funzionava così: chi è dentro la rete aziendale è affidabile, chi è fuori no. Con il cloud, lo smart working e i telefoni aziendali, questo confine non esiste più. Oggi la sicurezza parte dall'identità: non importa dove si trova la persona o quale dispositivo usa, quello che conta è chi è, come si autentica e a cosa ha bisogno di accedere.
I 4 Componenti dell'IAM: SSO, MFA, PAM, Identity Governance
Un buon sistema IAM si basa su quattro pezzi che lavorano insieme. Vediamoli uno per uno:
SSO (Single Sign-On)
Il Single Sign-On permette agli utenti di autenticarsi una sola volta e accedere a tutte le applicazioni aziendali senza dover reinserire le credenziali. Vantaggi: riduce il numero di password da gestire (da 87 a 1), elimina il 30-50% delle chiamate help desk per password reset, migliora la produttività (niente più tempo perso per login multipli), aumenta la sicurezza (gli utenti non scrivono più le password su post-it). Con Microsoft Entra ID, il SSO è integrato per migliaia di applicazioni cloud: Microsoft 365, Salesforce, SAP, Zoom, Slack e molte altre.
MFA (Multi-Factor Authentication)
L'MFA aggiunge uno o più fattori di verifica oltre alla password: qualcosa che hai (smartphone con app Authenticator, token fisico), qualcosa che sei (impronta digitale, riconoscimento facciale), dove sei (geolocalizzazione, rete aziendale). Microsoft afferma che l'MFA previene il 99,9% degli attacchi di compromissione account. Con i metodi moderni (push notification, Windows Hello, passkey), l'esperienza utente è fluida e quasi trasparente. È la misura di sicurezza con il miglior rapporto costo/efficacia in assoluto.
PAM (Privileged Access Management)
Il PAM gestisce e protegge gli account con privilegi elevati (amministratori di sistema, DBA, admin di rete) che hanno accesso ai sistemi più critici. Include: password vault (le password admin sono generate automaticamente e non conosciute da nessuno), accesso just-in-time (i privilegi vengono attivati solo quando servono e scadono automaticamente), session recording (ogni sessione privilegiata viene registrata per audit), approval workflow (le richieste di accesso privilegiato richiedono approvazione). Gli account privilegiati compromessi causano i breach più gravi: il PAM li protegge.
Identity Governance & Administration (IGA)
L'IGA gestisce il ciclo di vita completo delle identità: onboarding automatizzato (quando un nuovo dipendente entra, riceve automaticamente accesso alle risorse in base al ruolo), cambio ruolo (quando cambia reparto, i permessi si aggiornano automaticamente), offboarding (quando un dipendente lascia, tutti gli accessi vengono revocati immediatamente), access review periodiche (verifica trimestrale che ogni utente abbia solo i permessi necessari), segregation of duties (impedisce combinazioni di ruoli pericolose). L'IGA è cruciale per la compliance: GDPR e NIS2 richiedono controllo sugli accessi ai dati.
IAM con Microsoft Entra ID (ex Azure AD)
Per le PMI italiane che utilizzano Microsoft 365 (e la maggior parte lo fa), Microsoft Entra ID (precedentemente Azure Active Directory) è la piattaforma IAM nativa che offre tutte le funzionalità necessarie. Entra ID è già incluso in ogni licenza Microsoft 365, con funzionalità avanzate nelle licenze Premium.
| Funzionalità | Free / M365 | Premium P1 | Premium P2 |
|---|---|---|---|
| SSO (app cloud) | Illimitato | Illimitato | Illimitato |
| MFA | Security Defaults | Conditional Access | Conditional Access |
| Self-service password reset | Cloud only | Cloud + on-prem | Cloud + on-prem |
| Conditional Access | — | Incluso | Incluso |
| Identity Protection | — | — | Risk-based |
| Privileged Identity Mgmt | — | — | Incluso |
| Access Reviews | — | — | Incluso |
| Entitlement Management | — | Base | Completo |
| Costo/utente/mese | Incluso in M365 | € 6 | € 9 |
Per la maggior parte delle PMI, la licenza Premium P1 (inclusa in Microsoft 365 Business Premium) offre il miglior rapporto funzionalità/costo: SSO, MFA con Conditional Access, self-service password reset e protezione base dell'identità. BullTech aiuta le PMI a configurare e ottimizzare Entra ID come parte del servizio di gestione cloud Microsoft 365.
Zero Trust e Identità: "Never Trust, Always Verify"
Il modello Zero Trust si riassume in una frase: non fidarti mai, verifica sempre. Nessun utente, dispositivo o applicazione viene considerato sicuro di default, nemmeno se si trova dentro la rete dell'ufficio. L'identità è il pilastro di questo approccio.
I principi Zero Trust applicati all'identità
Verifica esplicita: autentica e autorizza ogni accesso basandoti su tutti i segnali disponibili (identità, dispositivo, posizione, comportamento)
Minimo privilegio: ogni utente accede solo alle risorse necessarie per il proprio ruolo, niente di più. I privilegi vengono concessi just-in-time e scadono automaticamente
Assume breach: progetta la sicurezza assumendo che un attaccante sia già dentro la rete. Segmenta gli accessi per limitare il raggio d'azione di una compromissione
Conditional Access: l'accesso non è mai un semplice sì o no, ma dipende dal contesto: da quale dispositivo accedi? È conforme? Da dove accedi? A che ora? Qual è il livello di rischio dell'utente?
Sessioni limitate: le sessioni non durano per sempre. Richiedi ri-autenticazione periodica, soprattutto per risorse sensibili
Monitoraggio continuo: ogni accesso viene monitorato in tempo reale. Comportamenti anomali (login da paese estero, orario insolito) attivano verifiche aggiuntive o blocchi
Con Microsoft Entra ID Conditional Access, le PMI possono implementare molti di questi principi Zero Trust senza costi aggiuntivi (incluso in Premium P1): bloccare l'accesso da paesi non autorizzati, richiedere MFA da reti non aziendali, impedire l'accesso da dispositivi non conformi e molto altro.
Vuoi mettere ordine negli accessi aziendali?
Configuriamo Microsoft Entra ID, SSO, MFA e Conditional Access per PMI italiane. Proteggi gli account aziendali e mettiti in regola con GDPR e NIS2.
Parliamone — 039 5787 212IAM e Compliance: GDPR e NIS2
L'IAM non è solo una questione tecnica: è un obbligo di legge. Sia il GDPR che la NIS2 ti chiedono esplicitamente di controllare chi accede ai dati e ai sistemi.
GDPR e IAM
- Art. 5: principio di minimizzazione → solo chi ha bisogno accede ai dati personali (least privilege)
- Art. 25: privacy by design → il controllo degli accessi deve essere integrato nei sistemi fin dalla progettazione
- Art. 32: misure di sicurezza → autenticazione forte (MFA), gestione degli accessi, log degli accessi ai dati personali
- Art. 5(2): accountability → devi poter dimostrare chi ha accesso a quali dati e perché
NIS2 e IAM
- Art. 21(2)(i): "politiche di controllo dell'accesso" tra le 10 misure obbligatorie
- Art. 21(2)(j): autenticazione multi-fattore o continua come requisito esplicito
- Art. 21(2)(a): politiche di analisi dei rischi che includano la gestione delle identità
- Art. 23: capacità di tracciamento per la notifica degli incidenti (chi ha fatto cosa)
Per le aziende soggette alla NIS2, l'implementazione dell'IAM con MFA non è un'opzione ma un obbligo normativo esplicito. Per approfondire, consulta il nostro servizio di consulenza GDPR.
Implementare IAM Step by Step
Ecco un piano pratico in 6 step per attivare l'IAM nella tua azienda, sia che tu parta da zero sia che tu voglia mettere ordine in quello che hai:
Assessment delle identità attuali
SETTIMANA 1Censisci tutti gli account utente, i gruppi, i ruoli e i permessi attuali. Identifica account orfani (ex dipendenti mai disabilitati), account con troppi privilegi, account condivisi e password deboli. Usa Azure AD reports per una fotografia dello stato attuale.
Attiva MFA per tutti gli utenti
SETTIMANA 2Configura Microsoft Entra MFA con Conditional Access (o Security Defaults se non hai P1). Inizia dal management e dall'IT, poi estendi a tutti. Usa Microsoft Authenticator come metodo principale. Comunica chiaramente ai dipendenti il motivo e fornisci guide passo-passo.
Configura SSO per le applicazioni cloud
SETTIMANA 3-4Integra tutte le applicazioni SaaS aziendali con Entra ID SSO: Microsoft 365, CRM, ERP, strumenti di collaborazione. Per ogni app, configura il provisioning automatico degli utenti dove possibile. Obiettivo: una sola password per tutto (protetta da MFA).
Implementa Conditional Access
SETTIMANA 5-6Configura le policy di Conditional Access per adattare la sicurezza al contesto: richiedi MFA da reti non aziendali, blocca l'accesso da paesi non autorizzati, richiedi dispositivi conformi per app sensibili, blocca protocolli legacy (IMAP, POP3).
Automatizza onboarding/offboarding
SETTIMANA 7-8Crea template di ruoli standard (es. "Commerciale", "Amministrazione", "IT") con set di permessi e applicazioni predefiniti. Automatizza la creazione account e l'assegnazione permessi per i nuovi assunti. Configura una checklist di offboarding che revochi tutti gli accessi immediatamente.
Implementa monitoraggio e review
ONGOINGAttiva i log di sign-in e audit in Entra ID. Configura alert per eventi sospetti (login da IP sconosciuti, impossible travel, attacchi brute force). Programma access review trimestrali: ogni manager verifica che il suo team abbia solo i permessi necessari.
IAM per Remote Work e Hybrid Work
Con il lavoro ibrido, l'IAM diventa ancora più importante. Quando i tuoi dipendenti si collegano da casa, dal coworking, dal treno o dall'estero, controllare le identità è l'unico modo affidabile per sapere chi sta accedendo ai tuoi dati.
IAM essenziale per hybrid work
SSO con Entra ID per accesso unico a tutte le app da qualsiasi luogo e dispositivo
MFA obbligatorio per ogni accesso da reti non aziendali (Conditional Access)
Device compliance: l'accesso è permesso solo da dispositivi gestiti e conformi (crittografia attiva, EDR installato, OS aggiornato)
ZTNA (Zero Trust Network Access) come sostituto moderno della VPN tradizionale
Sessioni a tempo limitato per applicazioni sensibili (ri-autenticazione ogni X ore)
Impossible travel detection: blocco automatico se un utente si collega da Milano e 10 minuti dopo da Tokyo
App protection policy: i dati aziendali non possono essere copiati/incollati verso app personali su dispositivi BYOD
Con la giusta configurazione IAM, i dipendenti possono lavorare in modo sicuro da qualsiasi luogo senza compromettere la sicurezza aziendale. BullTech progetta soluzioni di smart working sicuro basate su Microsoft Entra ID con Conditional Access, garantendo protezione senza impattare la produttività.
Costi e Benefici dell'IAM per PMI
Attivare l'IAM nella tua PMI non è solo una spesa: è un investimento che ti torna indietro su più fronti.
| Beneficio | Risparmio stimato (50 utenti) |
|---|---|
| Riduzione chiamate help desk (password reset) | € 5.000-12.000/anno |
| Onboarding automatizzato (da 2 giorni a 2 ore) | € 3.000-8.000/anno |
| Offboarding immediato (riduce rischio insider) | Riduzione rischio incalcolabile |
| Prevenzione breach da credenziali (MFA 99,9%) | Risparmio atteso: € 50.000+/incidente |
| Compliance GDPR/NIS2 (evita sanzioni) | Sanzioni evitate: fino a € 250.000+ |
| Produttività utenti (SSO, meno friction) | € 2.000-5.000/anno |
Il costo per una PMI da 50 utenti è contenuto: le funzionalità base di Entra ID sono già incluse nelle licenze Microsoft 365, e il passaggio a Premium P1 (€6/utente/mese = €3.600/anno) sblocca Conditional Access, SSO avanzato e reset password self-service. Il solo risparmio sulle chiamate help desk per problemi di password può ripagare la licenza. Se aggiungi il valore degli attacchi prevenuti, il conto torna eccome.
Domande Frequenti
Cos'è l'Identity and Access Management (IAM)?
In parole semplici, l'IAM è il sistema che gestisce gli account dei tuoi dipendenti e controlla chi può accedere a cosa. Risponde a tre domande: chi sei (verifica dell'identità con password, MFA, biometria), a cosa puoi accedere (permessi basati sul ruolo), e cosa hai fatto (tracciamento delle attività per sicurezza e audit). Include strumenti come SSO (login unico), MFA (doppia verifica), PAM (protezione degli account admin) e directory come Active Directory o Microsoft Entra ID.
Perché l'IAM è importante per una PMI?
Per tre motivi concreti. Primo, sicurezza: l'80% dei data breach coinvolge credenziali rubate. Senza IAM, se a un dipendente rubano la password ha accesso a tutto. Con IAM (MFA + permessi minimi + SSO) il rischio cala drasticamente. Secondo, compliance: sia il GDPR che la NIS2 ti chiedono di controllare chi accede ai dati. L'IAM è la risposta tecnica a entrambe le normative. Terzo, efficienza: il SSO elimina il 30-50% delle chiamate all'help desk per password dimenticate, e l'onboarding automatizzato riduce i tempi da giorni a ore.
Cosa cambia da Active Directory a Microsoft Entra ID?
Active Directory (AD) è il servizio di directory on-premise che gestisce utenti e computer nella rete locale aziendale. Microsoft Entra ID (ex Azure AD) è la versione cloud-native dello stesso concetto, progettata per il mondo del cloud e dello smart working. Le differenze chiave: Entra ID gestisce l'accesso a migliaia di applicazioni SaaS (Microsoft 365, Salesforce, SAP), supporta nativamente SSO, MFA e Conditional Access, non richiede server on-premise, funziona da qualsiasi luogo e dispositivo. Per le PMI, il consiglio è adottare un modello ibrido (AD on-premise + Entra ID cloud sincronizzati) durante la transizione, per poi migrare completamente al cloud quando possibile.
L'MFA è davvero necessario per tutti gli utenti?
Sì, senza eccezioni. Secondo Microsoft, l'MFA (la doppia verifica quando fai login) previene il 99,9% degli attacchi agli account. Anche il CEO e chi dice "è troppo complicato" devono usarlo. La buona notizia? I metodi moderni sono semplicissimi: una notifica push sull'app Authenticator (tocchi "Approva" e basta), Windows Hello (riconoscimento facciale o impronta) oppure le passkey. Il costo? Zero: Microsoft Authenticator è gratuito e l'MFA è incluso in tutte le licenze Microsoft 365.
Cos'è il PAM e perché serve?
Il PAM (Privileged Access Management) protegge gli account amministratore, cioè quelli che hanno accesso totale a server, database e sistemi critici. Sono il bersaglio preferito degli attaccanti perché con un account admin possono fare qualsiasi cosa. Come funziona? Le password admin vengono generate automaticamente e nessuno le conosce (sono in una cassaforte digitale). I privilegi si attivano solo quando servono e scadono da soli. Ogni sessione dell'admin viene registrata. Le azioni critiche richiedono approvazione. Per le PMI, Microsoft Entra PIM è incluso nelle licenze premium.
Come si implementa l'IAM in una PMI con budget limitato?
Non serve un budget enorme. Puoi partire per gradi: Step 1 (gratis): attiva l'MFA su tutti gli account Microsoft 365, copri subito il rischio più grosso. Step 2 (€0-500/mese): configura il SSO con Entra ID per le app cloud aziendali, così riduci le password da gestire. Step 3 (€200-1.000/mese): attiva Conditional Access per controllare chi accede, da dove e quando (incluso in Premium P1). Step 4 (€500-2.000 una tantum): automatizza la creazione e la cancellazione degli account quando entrano o escono dipendenti. Noi di BullTech lo configuriamo come parte del servizio di gestione Microsoft 365.
L'Identity and Access Management è la base della sicurezza IT moderna. Con il cloud, lo smart working e minacce sempre più sofisticate, sapere chi accede a cosa è la priorità numero uno. Parliamone — chiamaci al 039 5787 212 e ti mostriamo come attivare l'IAM nella tua azienda con Microsoft Entra ID.