Cosa imparerai in questo articolo
- L'appropriazione indebita degli account rappresenta ormai un rischio ricorrente per le aziende, non più un evento isolato.
- Il furto di credenziali rimane uno dei principali fattori alla base della compromissione degli account.
- Una piccola percentuale di utenti genera spesso un livello di rischio sproporzionato.
- L'impatto finanziario derivante dall'appropriazione indebita di un account può rapidamente sfociare in frodi e disservizi.
- Le difese più efficaci combinano la sicurezza della posta elettronica, l’autenticazione a più fattori (MFA), il monitoraggio comportamentale e interventi correttivi più rapidi.
L’appropriazione indebita degli account è diventata una minaccia aziendale ricorrente, legata al furto di credenziali, alle e-mail diphishing e all’uso improprio di strumenti aziendali affidabili. Le statistiche più significative relative al furto di account nel 2026 indicano tutte, , la stessa conclusione: spesso gli hacker non hanno più bisogno di violare i sistemi. Effettuano l’accesso, si mimetizzano e utilizzano un account compromesso per raggiungere un numero maggiore di persone, dati e sistemi.
L'appropriazione indebita degli account è ormai una minaccia abituale per le aziende
L'appropriazione indebita di account non è più un fenomeno così raro da poter essere considerato un caso particolare. Ormai fa parte del panorama delle minacce quotidiane, in particolare nelle organizzazioni che operano nel settore “ ”, in cui i dipendenti si occupano di approvazioni, pagamenti, comunicazioni con i clienti e informazioni sensibili.
Da recenti risultati emerge che 71% delle organizzazioni subiscono ogni mese da uno a dieci episodi di divulgazione di dati causati da soggetti interni. Anche quando non si tratta in ogni caso di un classico attacco di tipo “ ” (appropriazione dell’account), spesso si riscontrano gli stessi schemi di rischio legati al fattore umano. Ciò rende l’appropriazione indebita degli account un rischio concreto per l’ e aziendale, non solo una questione di sicurezza in senso stretto.
Le credenziali compromesse sono alla base delle moderne operazioni di acquisizione
Gli autori degli attacchi ricorrono sempre più spesso a credenziali rubate, e-mail di phishing e utenti manipolati, piuttosto che limitarsi all’uso di malware di tipo “” o allo sfruttamento diretto dei sistemi. Ecco perché la formulazione “gli hacker accedono” è importante. Ciò riflette il modo in cui funzionano effettivamente molti attacchi moderni di tipo “ ”.
Il “ ” ( raccolta di credenziali) rappresenta inoltre il sottotipo di phishing più rilevato in tutti i settori. Questo è un chiaro segnale che gli autori degli attacchi stanno cercando attivamente di sottrarre le credenziali di accesso, poiché l’accesso a un account affidabile offre l’opportunità di commettere frodi, usurpazioni di identità, e movimenti laterali.
La minaccia è evidente anche in tutte le regioni
Il fenomeno dell’appropriazione degli account sta inoltre emergendo in modo tangibile in diversi mercati. In Sudafrica, 39% di organizzazioni hanno segnalato un aumento dei casi di appropriazione indebita di account. Ciò andrebbe considerato come un esempio a livello regionale piuttosto che come un punto di riferimento universale , ma rafforza comunque l’osservazione più generale: si tratta di una minaccia concreta e in crescita.
Le statistiche relative alle identità e alle credenziali che i team di sicurezza non possono ignorare
L’aspetto relativo all’identità nel contesto del furto di account è importante perché gli autori degli attacchi dispongono ora di un maggior numero di credenziali, di strumenti di automazione più avanzati, di un sistema di " " e di ulteriori modalità per indurre gli utenti a cedere i propri diritti di accesso. Ciò rende l’uso improprio di identità e credenziali uno degli indicatori più evidenti dei settori in cui il rischio di appropriazione indebita degli account sta aumentando all’interno dell’azienda.
La divulgazione delle password continua ad alimentare il rischio di appropriazione indebita
La violazione dei dati""RockYou2024 ha comportato la divulgazione di quasi 10 miliardi di password uniche in chiaro. Ciò fornisce agli autori degli attacchi un'enorme opportunità per ricorrere all' -stuffing delle credenziali, a ripetuti tentativi di accesso e alla compromissione di più account. Per i responsabili della sicurezza, ciò costituisce un monito sul fatto che credenziali di accesso deboli continuano a favorire il furto di account su larga scala.
Il comportamento umano rimane fondamentale
Quasi 60% delle violazioni comportano un fattore umano. Questo è uno dei motivi per cui la compromissione degli account non dovrebbe essere considerata solo come un problema di autenticazione. Le e-mail di phishing, le decisioni affrettate e i comportamenti rischiosi degli utenti contribuiscono tutti a consentire agli autori degli attacchi di trasformare il furto delle credenziali in una compromissione dell' e dell'account.
Il rischio è concentrato in un gruppo ristretto di utenti
Dati recenti indicano che 8% dei dipendenti sono responsabili dell’80% di tutti gli incidenti di sicurezza. L'esposizione non è distribuita in modo uniforme all'interno dell'organizzazione. Un gruppo più ristretto di utenti ad alto rischio spesso rappresenta una quota molto più consistente del problema.
Ciò modifica il modo in cui dovrebbe funzionare la prevenzione. Una sensibilizzazione su larga scala rimane importante, ma non sostituisce un intervento mirato rivolto alle persone che presentano il rischio maggiore di subire un’appropriazione indebita dell’account.
Alcuni ruoli comportano un’esposizione maggiore rispetto ad altri
Gli utenti più a rischio non sono sempre gli stessi che hanno maggiore probabilità di cliccare. Ecco perché l’esposizione basata sui ruoli merita un’attenzione a sé stante.
- I dirigenti sono oggetto di attacchi 2,5 volte più spesso rispetto ai singoli collaboratori
- I dirigenti, i team di vendita e i membri del consiglio di amministrazione devono far fronte a un aumento del volume di attacchi di phishing
- I nuovi assunti e alcuni dipendenti del laboratorio sembrano più inclini a cliccare
Tali modelli dimostrano perché il rischio di appropriazione indebita dell’account debba essere valutato sia in base al comportamento dell’utente sia in base all’esposizione legata al ruolo. , gli utenti sottoposti a maggiore pressione, con maggiori privilegi di accesso o maggiore visibilità possono comportare tipi di rischio molto diversi per l’organizzazione.
I costi aziendali legati al furto di account continuano ad aumentare
L'appropriazione di un account comporta costi elevati non solo a causa della violazione iniziale, ma anche per le conseguenze che ne derivano. Una singola violazione di un account può comportare frodi, costi legati alla risposta agli , tempi di inattività e danni alla reputazione.
Un singolo incidente può rivelarsi estremamente costoso
Un single episodio di esposizione, furto, fuga o perdita di dati causato da personale interno costa in media 13,1 milioni di dollari, secondo l’. Tale dato amplia la prospettiva con cui le organizzazioni dovrebbero considerare le frodi relative alle acquisizioni. Il problema non riguarda solo gli accessi non autorizzati. È proprio la catena di perdite più ampia che l’accesso può innescare.
Gli incidenti ricorrenti comportano un’esposizione annuale significativa
Il quadro annuale è ancora più preoccupante. Sulla base di una media di sei incidenti causati da soggetti interni al mese, le organizzazioni si trovano ad affrontare un rischio finanziario annuo stimato pari a 943,2 milioni di dollari. A quel punto, la compromissione degli account diventa una questione di rischio aziendale a livello d’impresa.
Le violazioni della sicurezza sono spesso seguite da frodi e interruzioni del servizio
Una volta che gli hacker hanno preso il controllo di un account attendibile, possono fare ben più che limitarsi a leggere i messaggi. In molti casi, il primo segno visibile di una frode legata all’appropriazione indebita di un account non è la violazione in sé, bensì l’uso improprio a fini commerciali che ne consegue. Tra gli esiti più comuni dell' e a valle figurano:
- Frode relativa alle fatture
- Frode salariale
- Modifiche alle coordinate bancarie
- Transazioni non autorizzate
- Interruzione operativa
- Danni alla reputazione
Il caso Change Healthcare mette in luce la posta in gioco
La violazione subita da Change Healthcare rappresenta uno degli esempi più evidenti di come la compromissione di una singola credenziale possa sfociare in una grave crisi di . In quel caso, una single credenziale compromessa su un sistema privo di autenticazione a più fattori (MFA) ha comportato un costo di risposta stimato all’indirizzo tra i 2,3 e i 2,45 miliardi di dollari. Ciò ci ricorda che la mancanza di un solo meccanismo di controllo può trasformare un account compromesso in un danno operativo e finanziario di vaste proporzioni .
Possibile illustrazione: un grafico sui costi e sull’impatto intitolato “Quanto può costare un solo account compromesso”, che mostri il costo per singolo incidente, l’esposizione annu , le frodi a valle e l’esempio di Change Healthcare.
Cosa fanno gli hacker una volta entrati in un account affidabile
Un account affidabile offre agli hacker ben più di un semplice accesso. Ciò fornisce loro un contesto, una legittimità e un’identità credibile all’interno dell’azienda.
Vanno oltre la posta elettronica
Gli autori degli attacchi spesso passano dall’e-mail a Microsoft Teams, Slack e Zoom per diffondere link dannosi o proseguire le conversazioni in contesti di cui i dipendenti tendono a fidarsi maggiormente. Questo è importante perché molte organizzazioni continuano a monitorare la posta elettronica con maggiore attenzione rispetto alle piattaforme di collaborazione.
Per prima cosa raccolgono informazioni
Una volta ottenuta l’accesso, gli autori degli attacchi spesso analizzano il funzionamento dell’azienda prima di agire. Quando decidono di agire, potrebbero aver già acquisito una conoscenza sufficientemente approfondita dei flussi di lavoro interni e delle relazioni di fiducia da far apparire la richiesta del tutto legittima.
Tra questi possono figurare:
- Esame delle comunicazioni relative alla finanza o alla contabilità fornitori
- Identificazione delle catene di approvazione
- Lettura delle comunicazioni con i clienti
- Individuazione di piani strategici, codice sorgente o dati sensibili
- Osservare il modo in cui i dipendenti discutono di fornitori, buste paga o modifiche ai conti bancari
Si avvalgono della fiducia altrui per commettere frodi
Una volta raccolte informazioni sufficienti sul contesto, l’autore dell’attacco può agire in modi che sembrano del tutto normali. Tra le modalità di abuso più comuni figurano le frodi relative alle fatture , le frodi relative alle buste paga, le modifiche ai conti bancari, l’usurpazione d’identità e l’accesso ai conti dei clienti o alle informazioni personali che favoriscono il furto d’identità.
L'intelligenza artificiale rende gli attacchi successivi più credibili
Gli autori delle minacce stanno inoltre ricorrendo sempre più spesso alla creazione di catene di e-mail complete tra fornitori e dirigenti. Ciò significa che un account compromesso tramite " " non si limita a fornire l'accesso. Ciò costituisce una base per forme più convincenti di ingegneria sociale e per frodi su larga scala basate sull’ .
Cosa rivelano i dati sulle priorità in materia di prevenzione
I dati più significativi in materia di prevenzione confermano tutti la stessa idea: i controlli generici, di per sé, non sono sufficienti. Le organizzazioni necessitano di sistemi di difesa a più livelli che tengano conto sia della tecnologia che del comportamento degli utenti.
Una strategia di prevenzione più efficace inizia concentrando gli sforzi dove è più importante.
- Concentratevi sugli utenti ad alto rischio. Se 8% dei dipendenti è responsabile di 80% degli incidenti , allora un intervento mirato dovrebbe far parte di qualsiasi strategia seria di prevenzione delle violazioni degli account.
- Rafforzare le decisioni in tempo reale. La formazione sulla sensibilizzazione alla sicurezza può ridurre i tassi di clic sui link di phishing del 25% , mentre i promemoria in tempo reale hanno ridotto le attività rischiose di condivisione dei dati del 36% in quattro mesi.
- Collegare strumenti e segnali. Le organizzazioni che integrano i propri strumenti di sicurezza ottengono una Threat Remediation più rapida del 40% , il che può ridurre il tempo a disposizione degli autori degli attacchi per agire dopo aver compromesso il sistema.
La lezione è chiara: la prevenzione migliora quando le organizzazioni vanno oltre una semplice campagna di sensibilizzazione standardizzata e iniziano a mettere in atto un approccio di “ ”, che combina la comprensione degli utenti, il supporto comportamentale e operazioni di sicurezza interconnesse.
Quali misure di sicurezza meritano maggiore attenzione nel 2026?
In pratica, la difesa più efficace non consiste in un unico controllo, bensì in una serie di controlli interconnessi che riducono il rischio di appropriazione indebita dell' e dell'account in più punti. Ogni livello contribuisce a colmare una lacuna diversa, dal blocco delle e-mail di phishing alla limitazione delle azioni che gli aggressori possono compiere dopo aver compromesso un account.
La protezione della posta elettronica rimane fondamentale soprattutto nella fase iniziale
La raccolta di credenziali rimane il sottotipo di phishing più rilevato e circa 12% di tutte le e-mail , comprese quelle di phishing, presentano segni di generazione tramite intelligenza artificiale. Ciò rende ancora più importante individuare i tentativi di furto di credenziali più sofisticati e convincenti prima che vadano a buon fine.
Il diploma di laurea magistrale dovrebbe essere considerato obbligatorio
L'autenticazione a più fattori rimane uno dei principali ostacoli tra il furto delle credenziali e il successo di un'operazione di appropriazione dell'account su . L’esempio di Change Healthcare relativo all’, lo rende dolorosamente evidente. L’assenza dell’autenticazione a più fattori (MFA) su un sistema esposto ha contribuito a trasformare una singola credenziale compromessa in una crisi da miliardi di dollari per l’ .
Il monitoraggio basato sul comportamento è ormai indispensabile
Poiché gli autori degli attacchi accedono sempre più spesso utilizzando credenziali valide, le organizzazioni devono poter monitorare ciò che accade dopo che è stato ottenuto l'accesso all . Ciò significa prestare attenzione ad attività sospette, comportamenti anomali degli utenti, condivisioni rischiose e attività insolite di “ ” (interazione tra utenti) all’interno degli strumenti di collaborazione, non solo agli errori di autenticazione o a un single tentativo di accesso.
La struttura di controllo più efficace è articolata su più livelli
In pratica, la difesa più efficace non consiste in un unico controllo, bensì in una serie di controlli interconnessi che riducono il rischio di appropriazione indebita dell' e dell'account in più punti. Ogni livello contribuisce a colmare una lacuna diversa, dal blocco delle e-mail di phishing alla limitazione delle azioni che gli aggressori possono compiere dopo aver compromesso un account. L'obiettivo è quello di contrastare l'attacco in diverse fasi, anziché affidarsi a un'unica misura di sicurezza che si occupi di tutto il lavoro .
Per la maggior parte delle organizzazioni, i controlli che meritano maggiore attenzione nel 2026 includono:
- Sicurezza avanzata della posta elettronica
- Autenticazione a più fattori
- Monitoraggio basato sul comportamento
- Visibilità degli strumenti di collaborazione
- Interventi correttivi più rapidi tra gli strumenti di sicurezza interconnessi
Perché queste statistiche relative alla compromissione degli account sono importanti nel 2026
Queste statistiche sono significative perché dimostrano che il furto di account è un fenomeno diffuso, sempre più opera di persone, comporta costi elevati dopo la compromissione dell’account ed è difficile da contrastare senza un approccio preventivo a più livelli. I dati più significativi non si limitano a descrivere una minaccia crescente . Essi descrivono un rischio aziendale ricorrente legato all’uso improprio delle credenziali, al phishing, alla compromissione di account affidabili, all’ e e alle frodi a valle.
Per i team addetti alla sicurezza, il messaggio da trarne è di natura pratica. Una protezione più efficace nel 2026 comporta una prevenzione più tempestiva del furto delle credenziali, una maggiore attenzione agli utenti ad alto rischio, un inasprimento delle procedure di autenticazione e una maggiore visibilità su ciò che accade dopo l’accesso. Mimecast risponde a tale esigenza aiutando le organizzazioni a potenziare la capacità di rilevamento, a ridurre il rischio di compromissione e a migliorare, grazie a , la protezione contro gli targeted attack.