La trasformazione digitale ha dissolto i perimetri tradizionali della sicurezza. Con infrastrutture ibride, servizi cloud e lavoro da remoto, il rischio non è più un evento ma una condizione costante.
Il nuovo Trust Report di DXC Technology e Microsoft, basato su interviste a 105 esperti di cybersecurity in quattro continenti, mostra come l’adozione del modello Zero Trust sia diventata una risposta strutturale all’aumento degli attacchi e alla crescente complessità delle reti globali.
La relazione evidenzia un quadro allarmante: nel solo 2024 gli attacchi ransomware nel manifatturiero sono cresciuti dell’87%, quelli contro le tecnologie operative del 60%, e il 21% degli attacchi globali ha colpito sanità e pubblica amministrazione. Questi settori, spesso basati su sistemi legacy, faticano ad applicare segmentazioni efficaci e verifiche continue, principi fondanti dello Zero Trust.
In questo contesto, la sicurezza diventa un fattore competitivo: un incidente grave può compromettere intere filiere o portare un’azienda all’insolvenza. “Zero Trust deve diventare lo standard”, osserva uno dei ricercatori intervistati.
Indice degli argomenti:
Le ragioni dell’adozione: dal cloud alla governance
Il modello Zero Trust nasce da un cambio di prospettiva: non esiste un confine sicuro, ogni utente e ogni dispositivo devono essere continuamente verificati. Secondo Michael Baker, Global CISO di DXC, “Zero Trust è una strategia olistica che consente di valutare l’intero programma di sicurezza e di stabilire priorità di intervento su identità, dispositivi, rete, applicazioni e dati”.
Tra i principali driver individuati dallo studio emergono:
- Migrazione al cloud, che amplia la superficie d’attacco e impone controlli distribuiti;
- Lavoro ibrido, che ha spinto il 65% delle organizzazioni ad accelerare o avviare la propria strategia Zero Trust;
- Pressioni normative e di compliance, sempre più stringenti nei settori regolamentati;
- Riorganizzazioni aziendali e fusioni, che impongono l’integrazione di policy eterogenee;
- Leadership sensibile alla sicurezza, capace di promuovere il modello fino ai vertici decisionali.
Nei settori non regolamentati, circa il 60% delle aziende ha modernizzato la rete prima dell’adozione Zero Trust, mentre i comparti finanziari e pubblici tendono a integrarlo all’interno di infrastrutture già esistenti.
Identità come nuovo perimetro
Con l’espansione del cloud e la scomparsa dei confini fisici, l’identità è diventata il nuovo perimetro di difesa. L’85% delle violazioni avviene infatti nello spazio di autenticazione e verifica.
Il 72% delle aziende che utilizza una piattaforma centralizzata di gestione delle identità (CIM) mantiene una strategia Zero Trust continua, contro il 50% delle aziende che ne sono prive. Nei settori sanitari la penetrazione è la più alta (81%), trainata dalla necessità di gestire dati sensibili e requisiti di conformità rigorosi.
Secondo Drew Morefield, vicepresidente e responsabile globale della sicurezza in DXC, “l’identità è la leva critica, la vera base architettonica del percorso Zero Trust”.
Ma la sua gestione non è semplice: la mancanza di ruoli standardizzati e la moltiplicazione delle eccezioni rendono complessa l’autorizzazione basata su ruoli. 
La carenza di competenze e la complessità dei partner
Il Trust Report individua nel divario di competenze la principale barriera all’adozione del modello. Il 47% delle organizzazioni dichiara di non conoscere a fondo le best practice Zero Trust, il 46% fatica a costruire un business case per nuovi investimenti e solo il 30% è consapevole delle tecnologie disponibili.
Secondo Vaughan, “anche i SOC interni raramente dispongono di risorse per la ricerca e sviluppo: molti team si limitano a gestire strumenti, senza valutarne davvero efficacia e integrazione”.
La conseguenza è un ecosistema di soluzioni frammentate: oltre la metà delle aziende ammette di aver aumentato il numero di fornitori di sicurezza dopo l’introduzione dello Zero Trust, rendendo la governance più complessa e costosa.
L’ostacolo dei sistemi legacy
Il principale freno tecnico è rappresentato dai sistemi legacy. Il 70% dei responsabili britannici intervistati li cita come problema primario, mentre in Australia prevale la difficoltà di gestione delle policy.
Queste infrastrutture non sempre supportano protocolli moderni e spesso subiscono rallentamenti: un quarto delle aziende afferma che l’aggiunta di nuovi livelli di sicurezza ha ridotto le prestazioni operative.
Morefield paragona la micro-segmentazione a un sottomarino diviso in compartimenti stagni: “se una sezione si allaga, il resto rimane intatto”. È l’approccio progressivo che consente di isolare i rischi senza dover sostituire tutto.
Le tecniche di verifica e il ruolo dell’AI
La Multi-Factor Authentication (MFA) rimane la misura più adottata per integrare i sistemi legacy, seguita dalla governance delle identità (61%) e dal controllo degli accessi basato sui ruoli (60%).
Soluzioni più avanzate – come la verifica comportamentale basata su AI – sono ancora poco diffuse. Le ragioni: complessità tecnica, timori sulla privacy e mancanza di competenze.
Tuttavia, la direzione è tracciata. “Nel 2025 e oltre dovremo intrecciare l’AI in ognuno dei cinque pilastri Zero Trust – identità, dispositivi, rete, applicazioni e dati”, afferma Baker.
Gli attacchi supportati da AI, come i malware polimorfici capaci di modificarsi in base alle vulnerabilità rilevate, spingono le imprese a sviluppare strategie di sicurezza predittiva.
L’AI può potenziare l’analisi comportamentale, migliorare il rilevamento delle anomalie e automatizzare la risposta agli incidenti. Ma la maturità resta bassa: solo il 30% delle aziende la utilizza attivamente.
Sicurezza e user experience: equilibrio possibile
Il modello Zero Trust è spesso percepito come rigido e intrusivo. Il 69% dei responsabili considera la verifica continua una fonte di frustrazione per utenti e amministratori, mentre il 57% teme un impatto negativo sulla produttività.
Le aziende più avanzate stanno introducendo verifiche trasparenti e basate sul contesto, che si attivano solo in presenza di rischi anomali o modifiche di privilegi.
Come spiega Baker, “abbiamo reso invisibile la sicurezza, permettendo alle persone di lavorare senza interruzioni”.
Un approccio condiviso anche da Miles Davis, senior manager di DXC: “sicurezza e produttività non sono opposti. Se applicata bene, la sicurezza abilita, non ostacola”.
I risultati: meno incidenti, più fiducia
I numeri parlano chiaro: 83% delle aziende che hanno adottato Zero Trust ha ridotto il numero di incidenti e di conseguenza i costi di supporto e mitigazione.
Il 19% dei rispondenti ha segnalato un miglioramento inatteso della user experience e una semplificazione delle procedure di compliance e audit.
L’aumento delle minacce e la dimostrazione del ROI sono oggi le due leve principali per ottenere nuovi investimenti: il 19% delle aziende ha ricevuto budget aggiuntivo dopo un grande incidente, mentre il 17% lo ha ottenuto grazie a metriche chiare di efficacia.
Un percorso senza fine
Zero Trust non è un progetto a termine ma un processo evolutivo. Le minacce cambiano, le tecnologie si aggiornano e le culture aziendali maturano lentamente.
Vaughan lo sintetizza così: “non puntate al 100%, vi blocchereste. L’obiettivo è coprire l’80% delle sfide e restare agili, perché qualcosa di nuovo – forse proveniente dall’AI – cambierà di nuovo lo scenario”.
Il messaggio finale del report è chiaro: la sicurezza non è più un muro, ma una pratica viva. Serve una governance continua, una collaborazione tra IT, management e partner e un investimento culturale che renda la fiducia un valore da costruire, non da presumere.
