L'80% degli attacchi ransomware nel 2025 ha sfruttato un account con privilegi di amministratore (CrowdStrike Global Threat Report). Non un utente qualsiasi: un admin, un root, un service account con accesso a tutto. Il Privileged Access Management (PAM) è il sistema che protegge questi account “speciali” — quelli che, se compromessi, danno all'attaccante le chiavi dell'intero regno. BullTech Informatica, MSP a Vimercate dal 2009, gestisce accessi privilegiati per oltre 200 clienti con SLA 99,2%. Ecco tutto quello che devi sapere per proteggere i tuoi.
Indice dei Contenuti
- 1. Cos'è il PAM e Perché Serve
- 2. PAM vs IAM: Differenze Chiave
- 3. Password Vaulting e Rotation
- 4. Session Recording e Audit Trail
- 5. PAM Tools: CyberArk vs Delinea vs BeyondTrust vs Open Source
- 6. PAM e NIS2: Requisiti Accesso Privilegiato
- 7. Just-In-Time Access e Zero Standing Privileges
- 8. Come BullTech Gestisce gli Accessi Privilegiati
- 9. Domande Frequenti
Cos'è il PAM e Perché Serve
PAM sta per Privileged Access Management, ovvero gestione degli accessi privilegiati. Sono gli account con poteri speciali: l'admin di dominio che può resettare tutte le password, il root del server Linux che può cancellare qualsiasi file, il service account del backup che accede a tutti i dati, l'admin del firewall che può aprire qualsiasi porta. In una PMI tipica con 50 dipendenti, ci sono 5-15 account privilegiati. Sono il 3% degli utenti, ma hanno accesso al 100% dell'infrastruttura.
Il problema è come questi account vengono gestiti nella realtà. La password dell'admin di dominio è “Admin2024!” e la conoscono in tre. Il root del server è su un post-it nel cassetto del responsabile IT. Il service account del backup ha una password che non viene cambiata dal 2021 perché “se la cambio si rompe tutto”. E l'MSP che gestisce il firewall usa le stesse credenziali per tutti i clienti perché “è più pratico”. Non sto esagerando: è la situazione che troviamo nel 60% delle PMI che prendiamo in gestione.
Gli account privilegiati: numeri allarmanti
- 80% degli attacchi ransomware sfrutta account privilegiati compromessi (CrowdStrike 2025)
- 63% delle PMI non ha policy di rotazione password per account admin (Ponemon)
- 180.000 € costo medio di un incidente da account admin compromesso in PMI italiane
- 44% dei data breach interni coinvolge utenti con privilegi eccessivi (IBM Security 2025)
Il PAM risolve questo problema con un approccio strutturato: le password privilegiate vanno in un vault (cassaforte digitale), vengono ruotate automaticamente, gli accessi vengono registrati e i privilegi concessi solo quando servono, per il tempo strettamente necessario. Non è paranoia: è igiene informatica di base per qualsiasi azienda che abbia dati da proteggere.
PAM vs IAM: Differenze Chiave
PAM e IAM non sono la stessa cosa, anche se spesso vengono confusi. L'IAM gestisce l'identità e gli accessi di tutti gli utenti aziendali. Il PAM si concentra esclusivamente sugli accessi privilegiati — quelli che possono fare danni seri se compromessi.
| Caratteristica | IAM | PAM |
|---|---|---|
| Scope | Tutti gli utenti aziendali | Solo account privilegiati (admin, root, service) |
| Focus | Chi sei e cosa puoi fare | Protezione degli accessi più critici |
| Password | L'utente le gestisce (con SSO/MFA) | Il vault le genera e le ruota automaticamente |
| Session recording | No (solo log di accesso) | Sì (video + log comandi di ogni sessione admin) |
| Just-in-time access | Non previsto | Core feature: accesso solo quando serve, con scadenza |
| Numero utenti | Tutti (50-500+) | Pochi (5-30 account privilegiati) |
| Esempio | Mario del commerciale accede al CRM | Il sysadmin accede al domain controller |
| Relazione | Base su cui costruire | Strato aggiuntivo sopra l'IAM |
Pensa all'IAM come al sistema di badge dell'ufficio: tutti ne hanno uno, tutti passano i tornelli. Il PAM è la cassaforte nella stanza blindata: poche persone hanno la combinazione, ogni apertura viene registrata, e la combinazione cambia ogni giorno. Servono entrambi, ma il PAM protegge ciò che conta di più.
Password Vaulting e Rotation
Il cuore di ogni sistema PAM è il password vault: una cassaforte digitale crittografata dove vengono custodite tutte le credenziali privilegiate. Nessuno conosce le password admin “a memoria”. Nessuno le scrive su file Excel. Nessuno le condivide via email. Il vault le genera (lunghe, complesse, uniche), le conserva e le eroga on-demand a chi ne ha diritto, con MFA obbligatorio.
Ma il vault da solo non basta. Il vero valore del PAM è la password rotation automatica. Immagina: la password dell'admin di dominio viene cambiata automaticamente ogni 8 ore. Anche se un attaccante riesce a rubarla (phishing, keylogger, breach di un fornitore), quella password funziona per massimo 8 ore. Dopo, è inutile. Per i service account, la rotation avviene ogni 24-72 ore, coordinata con le applicazioni che li usano per evitare interruzioni.
Vault Crittografato
AES-256, accesso solo via MFA, audit log di ogni operazione. Zero password in chiaro, ovunque.
Rotation Automatica
Password cambiate ogni 4-72 ore. Anche se rubate, scadono prima che l'attaccante le usi.
Check-out/Check-in
L'admin “prende in prestito” la password, la usa, la “restituisce”. Il vault la cambia subito dopo.
Il processo funziona così: il tecnico accede al vault con le sue credenziali personali più MFA. Richiede l'accesso admin al server X per il motivo Y. Il sistema verifica che abbia i permessi, eroga la password (o apre direttamente la sessione senza mostrare la password), registra tutto. Quando il tecnico finisce, il vault cambia immediatamente la password del server. Nessuno la conosce più. Pulito, tracciato, sicuro.
Session Recording e Audit Trail
Sapere chi ha la password è solo metà della storia. L'altra metà è sapere cosa ha fatto con quella password. Il session recording registra ogni sessione privilegiata: una registrazione video dello schermo, più un log di tutti i comandi digitati, i file aperti, le modifiche effettuate.
Non è Grande Fratello: è protezione. Se un server viene compromesso alle 3 di notte, puoi rivedere esattamente cosa è successo durante l'ultima sessione admin. Se un fornitore esterno fa un errore di configurazione, hai la registrazione per capire cosa è andato storto. Se l'ACN ti chiede “chi ha avuto accesso al database con i dati personali negli ultimi 30 giorni?”, hai la risposta in 5 minuti.
Cosa registra il session recording PAM
- Video dello schermo — registrazione completa della sessione RDP, SSH, console web, ricercabile per contenuto
- Keystroke logging — ogni comando digitato in terminale, ogni query SQL, ogni modifica di configurazione
- Metadata sessione — chi, quando, da dove, per quanto tempo, quale account privilegiato usato
- Alert in tempo reale — notifica se vengono eseguiti comandi ad alto rischio (rm -rf, DROP TABLE, disattivazione antivirus)
- Audit trail immutabile — i log non possono essere modificati o cancellati, nemmeno dall'admin. Fondamentale per NIS2
Per la compliance NIS2, l'audit trail è fondamentale. L'articolo 23 richiede la capacità di ricostruire gli eventi in caso di incidente. Senza session recording sugli accessi privilegiati, questa ricostruzione è incompleta o impossibile. Con il PAM, è un click.
PAM Tools: CyberArk vs Delinea vs BeyondTrust vs Open Source
Il mercato PAM è dominato da pochi player enterprise e alcune alternative open source interessanti. Ecco un confronto onesto, con pro, contro e prezzi reali.
| Soluzione | CyberArk | Delinea (ex Thycotic) | BeyondTrust | Open Source |
|---|---|---|---|---|
| Target | Enterprise, grandi aziende | Mid-market, PMI grandi | Mid-market, MSP | Startup, PMI tech-savvy |
| Vault | Proprietario, FIPS 140-2 | Secret Server, cloud o on-prem | Password Safe, integrato | HashiCorp Vault (open source) |
| Session recording | PSM avanzato, ricerca OCR | Sì, base | Sì, avanzato | Teleport (session recording SSH/RDP) |
| JIT Access | Sì, completo | Sì, con workflow | Sì, con approvazione | Teleport (nativo), Vault (manuale) |
| Prezzo annuo (25 account) | 30.000-80.000 € | 8.000-20.000 € | 10.000-25.000 € | Gratis (+ costi gestione interna) |
| Complessità setup | Alta (mesi) | Media (settimane) | Media (settimane) | Alta (richiede competenze DevOps) |
| Ideale per PMI? | No (troppo costoso e complesso) | Sì (buon rapporto qualità/prezzo) | Sì (ottimo per MSP) | Solo con team IT interno esperto |
Per le PMI che gestiamo, la nostra raccomandazione è: Delinea Secret Serverper aziende da 50-200 dipendenti con budget e complessità media, BeyondTrustper chi è già gestito da un MSP (integrazione nativa), e Keeper Businesso 1Password Business come entry-level per PMI piccole che vogliono almeno un vault con audit trail senza la complessità di un PAM enterprise. CyberArk è il gold standard, ma il prezzo e la complessità lo rendono accessibile solo a grandi aziende.
PAM e NIS2: Requisiti Accesso Privilegiato
La NIS2 non scherza sugli accessi privilegiati. Se l'IAM è la base della compliance NIS2, il PAM è il livello che ti salva durante un audit serio. Ecco perché.
Tracciabilità completa degli accessi admin
La NIS2 richiede la capacità di ricostruire chi ha fatto cosa, quando e perché. Il session recording PAM fornisce questa tracciabilità in modo nativo e immutabile.
MFA obbligatorio sugli accessi privilegiati
Se la NIS2 richiede MFA per gli accessi normali (Art. 21, 2j), a maggior ragione serve per quelli privilegiati. Il PAM impone MFA su ogni accesso al vault e ad ogni sessione admin.
Principio del least privilege
Nessun account deve avere più privilegi di quelli strettamente necessari. Il PAM con JIT access elimina i "standing privileges": l'admin ha poteri elevati solo quando serve, per il tempo necessario.
Gestione dei fornitori esterni
La NIS2 estende la responsabilità alla supply chain. Se un fornitore accede alla tua infrastruttura con credenziali admin, devi tracciare e controllare quell'accesso. Il PAM lo fa nativamente.
Incident response e forensics
In caso di incidente, devi notificare l'ACN entro 24 ore con dettagli su cosa è successo. Con il PAM, hai la registrazione di tutte le sessioni admin per ricostruire l'incidente in tempo reale.
Il messaggio per il CDA: se la vostra azienda rientra nel perimetro NIS2 e non avete un sistema di gestione degli accessi privilegiati, state esponendo l'azienda a sanzioni fino al 2% del fatturato e a responsabilità personali del management. Il PAM è la misura tecnica più concreta e dimostrabile per la compliance degli accessi critici.
Just-In-Time Access e Zero Standing Privileges
Il concetto più potente del PAM moderno è il Just-In-Time (JIT) access: nessun account ha privilegi permanenti. I privilegi vengono concessi solo quando servono, per il tempo strettamente necessario, e poi revocati automaticamente. È l'evoluzione del “least privilege”: da “dai il minimo necessario” a “dai zero di default, eleva solo quando serve”.
Come funziona nella pratica? Il tecnico IT non è admin di dominio 24/7. Quando deve fare un'operazione che richiede privilegi elevati (aggiungere un utente, modificare una GPO, installare un aggiornamento critico), lo richiede attraverso il PAM. Il sistema verifica l'identità (MFA), controlla che la richiesta sia coerente con il ruolo, e concede i privilegi per un tempo definito (30 minuti, 2 ore, 8 ore). Scaduto il tempo, i privilegi vengono revocati automaticamente. La password viene cambiata. Fine.
Richiesta
Il tecnico richiede accesso admin al server X per “aggiornamento patch critica CVE-2026-XXXX”. MFA obbligatorio.
Approvazione (opzionale)
Per operazioni ad alto rischio, serve l'approvazione di un secondo admin o del responsabile IT. Notifica automatica via Teams/email.
Sessione privilegiata
Il PAM apre la sessione admin (senza rivelare la password), attiva il recording, imposta il timer. Il tecnico lavora normalmente.
Revoca automatica
Sessione chiusa (dal tecnico o dal timer). Password cambiata immediatamente. Recording salvato. Log immutabile generato. Zero standing privileges ripristinato.
Il risultato è devastante per gli attaccanti: anche se riescono a compromettere le credenziali di un tecnico, non trovano nessun accesso privilegiato attivo. Devono aspettare che qualcuno richieda un'elevazione, intercettarla in tempo reale e agire prima che scada. Praticamente impossibile. È il principio del Zero Standing Privilegesapplicato al mondo reale, e si integra perfettamente con un'architettura Zero Trust.
Come BullTech Gestisce gli Accessi Privilegiati
Come MSP, noi stessi siamo “utenti privilegiati” dell'infrastruttura dei nostri clienti. Gestiamo firewall, server, Active Directory, backup — tutti accessi admin. Ecco come lo facciamo in modo sicuro, dal 2009.
Il nostro approccio PAM-first
- Vault centralizzato — tutte le credenziali dei clienti in un vault crittografato con MFA obbligatorio. Nessun tecnico conosce password “a memoria”
- Rotation automatica — le password admin dei clienti vengono ruotate ogni 24 ore. Anche se un nostro tecnico lasciasse l'azienda, le credenziali che conosceva non esistono più
- Session recording — ogni sessione dei nostri tecnici sui sistemi dei clienti viene registrata. I log sono disponibili al cliente su richiesta
- Accesso nominale — niente account “admin-bulltech” condiviso tra 10 tecnici. Ogni tecnico ha il suo account, ogni azione è attribuibile
- Report mensili — il cliente riceve un report con tutti gli accessi privilegiati del mese: chi, quando, per quanto tempo, cosa è stato fatto
Per i clienti che vogliono implementare PAM internamente, il nostro percorso è strutturato in 4 fasi: (1) assessment degli account privilegiati — mapping di tutti gli admin, root, service account, credenziali condivise; (2) scelta della soluzione in base a budget e complessità; (3) implementazione del vault, onboarding degli account, configurazione delle policy di rotation e session recording; (4) gestione continuativa con review periodiche e reportistica per il management.
Vuoi proteggere i tuoi accessi privilegiati?
BullTech offre un assessment PAM gratuito: identifichiamo tutti i tuoi account privilegiati, le password condivise, i service account dimenticati e ti consegniamo un piano di protezione. Chiamaci al 039 6099 023 o scrivici.
Domande Frequenti
Quanto costa un sistema PAM per una PMI?
Per una PMI con 10-50 account privilegiati (admin, service account, accessi infrastruttura), l'investimento iniziale varia tra 8.000 e 25.000 euro per assessment, progettazione, configurazione del vault e onboarding degli account privilegiati. Il costo ricorrente si aggira tra 5 e 15 euro per account privilegiato al mese, a seconda della soluzione scelta. Le soluzioni enterprise come CyberArk partono da 20.000-50.000 euro/anno (fuori budget per la maggior parte delle PMI). Alternative più accessibili come Delinea Secret Server o BeyondTrust partono da 5.000-10.000 euro/anno per 25 account. Per le PMI più piccole, soluzioni open source come HashiCorp Vault o Teleport sono gratuite (ma richiedono competenze interne per la gestione). Il ROI è chiaro: il costo medio di un incidente causato da un account admin compromesso per una PMI è di 180.000 euro.
Il PAM serve anche a PMI piccole con pochi admin?
Sì, e proprio perché hai pochi admin il rischio è concentrato. In una PMI con 30 dipendenti, tipicamente ci sono 3-5 account con accesso admin: il responsabile IT, il consulente esterno, l'MSP, l'account di servizio del backup, l'admin del firewall. Se uno di questi account viene compromesso, l'attaccante ha le chiavi del regno. Nelle grandi aziende, un account admin compromesso impatta una parte dell'infrastruttura. In una PMI, impatta tutto. Il PAM per PMI piccole non deve essere per forza un sistema enterprise: può essere semplice come un password vault condiviso (Keeper, 1Password Business) con audit trail e MFA obbligatorio per gli accessi admin. L'importante è che nessun account privilegiato abbia password conosciute “a memoria” o scritte su file Excel.
Qual è la differenza tra PAM e un password manager?
Un password manager (1Password, LastPass, Bitwarden) gestisce le password di tutti gli utenti: email, siti web, applicazioni. È uno strumento di produttività e igiene delle password. Il PAM è un sistema di sicurezza focalizzato sugli accessi privilegiati con funzionalità che un password manager non ha: (1) password rotation automatica — la password dell'admin viene cambiata automaticamente ogni 4-24 ore, senza intervento umano; (2) session recording — ogni sessione admin viene registrata (video + log dei comandi) per audit e forensics; (3) just-in-time access — l'accesso admin viene concesso solo quando serve, con approvazione e scadenza automatica; (4) break-glass procedure — accesso di emergenza con workflow di approvazione e notifiche. In sintesi: il password manager è per tutti, il PAM è per gli accessi che possono distruggere l'azienda.
Il PAM è richiesto dalla NIS2?
La NIS2 non usa il termine “PAM” esplicitamente, ma l'articolo 21 comma 2i richiede “politiche di controllo degli accessi e gestione degli asset” e il comma 2j richiede “autenticazione multi-fattore o continua”. Per gli accessi privilegiati, queste disposizioni si traducono nella necessità di: tracciare chi usa account admin e quando, implementare MFA su tutti gli accessi privilegiati, avere audit trail completi delle sessioni privilegiate, dimostrare policy di least privilege per gli account admin. Senza un sistema PAM (o almeno un vault con audit trail), è molto difficile dimostrare la compliance a questi requisiti durante un audit NIS2. Le sanzioni arrivano fino al 2% del fatturato globale o 10 milioni di euro. Il PAM non è formalmente obbligatorio, ma è la misura tecnica più efficace per la compliance degli accessi privilegiati.
BullTech gestisce gli accessi privilegiati dei clienti?
Sì, come MSP gestiamo gli accessi privilegiati dell'infrastruttura dei nostri clienti con un approccio PAM-first. Ogni accesso dei nostri tecnici ai sistemi del cliente viene fatto attraverso un vault centralizzato con MFA obbligatorio, session recording attivo e log completi. Non conosciamo le password admin dei clienti “a memoria”: il vault le genera, le ruota e le eroga on-demand. Ogni sessione viene registrata e i log sono disponibili al cliente per audit e compliance. Per i clienti che vogliono implementare PAM nella propria organizzazione, offriamo il servizio completo: assessment degli account privilegiati, scelta della soluzione, implementazione, formazione e gestione continuativa. Dal 2009, gestiamo accessi privilegiati per oltre 200 aziende con SLA 99,2%. Chiamaci al 039 6099 023.
Il PAM non è un lusso da enterprise: è la protezione degli account che, se compromessi, possono distruggere la tua azienda in poche ore. Che tu scelga una soluzione enterprise, una open source o anche solo un vault con audit trail, l'importante è iniziare. Nessun account privilegiato dovrebbe avere una password conosciuta a memoria o scritta da qualche parte. Leggi anche la nostra guida all'IAM per il quadro completo della gestione delle identità, e la guida ad Active Directory per la gestione delle identità on-premises.