C’è un tipo di minaccia che non manda avvisi, non blocca sistemi, non genera errori, non fa scattare alert. Semplicemente qualcuno entra nella tua rete usando le tue credenziali, ottenute altrove, già pronte all’uso.
Questa minaccia è legata al tema delle credenziali esposte, che oggi è uno dei rischi più diffusi ma sottovalutati dell’intero panorama della cybersecurity.
Cosa significa, in pratica, avere credenziali esposte
Le credenziali esposte sono username, password e altri dati di accesso che circolano online senza che il legittimo proprietario ne sappia nulla. Non succede perché qualcuno ha violato direttamente i sistemi aziendali, ma spesso avviene in contesti apparentemente lontani.
Il phishing è uno dei canali più efficaci: e-mail costruite per sembrare comunicazioni ufficiali che convincono l’utente a inserire le proprie credenziali su pagine false. Oppure i malware, che operano in modo ancora più silenzioso: una volta installati sul dispositivo della vittima, raccolgono password salvate nel browser, cookie di sessione, token di autenticazione, dati di compilazione automatica. Tutto in automatico, senza che nessuno se ne accorga. Poi ci sono le violazioni di database: quando un servizio online viene attaccato, le credenziali degli utenti registrati vengono esfiltrate e spesso rese disponibili su forum del dark web o vendute a broker specializzati.
Ciò che accomuna tutti questi metodi è che, una volta fuori, quelle credenziali non scompaiono. Restano disponibili per mesi o, a volte, per anni.
I numeri: un problema strutturale, non episodico
Il tema viene spesso percepito come qualcosa che riguarda grandi multinazionali o la pubblica amministrazione o, ancora, i governi. Perché mai qualcuno dovrebbe essere interessato ai miei dati, o a quelli della mia piccola impresa? I dati dicono il contrario, e il pericolo delle credenziali esposte accomuna tutti indistintamente.
Il Report 2025 del CERT-AGID documenta 3.620 campagne malevole che hanno interessato il territorio italiano nel corso dell’anno, con oltre 51.500 indicatori di compromissione. Il 60% dei malware analizzati rientra nella categoria degli infostealer, progettati appunto per raccogliere dati di accesso. L’abuso della PEC come vettore di attacco è cresciuto dell’80%: le caselle di posta certificata compromesse vengono usate per distribuire malware o lanciare campagne di phishing, sfruttando la fiducia che gli utenti ripongono in quel canale.
L’ACN, l’Agenzia per la Cybersicurezza Nazionale, ha pubblicato a febbraio 2026 il primo report istituzionale italiano dedicato esclusivamente agli infostealer. I dati che riguardano il nostro Paese sono precisi: nel solo 2025, il malware LummaC2 ha sottratto oltre 940.000 credenziali riconducibili a soggetti italiani, RedLine Stealer ne ha sottratte 634.000, DcRat circa 470.000. Nei report mensili dell’ACN di gennaio e febbraio 2026, il vettore di compromissione più ricorrente è stato lo stesso in entrambi i mesi: l’utilizzo di credenziali valide precedentemente sottratte.
Non è un trend in calo. Il Rapporto Clusit 2026, presentato a marzo, registra 507 incidenti informatici gravi in Italia nel 2025, il 42% in più rispetto all’anno precedente. Phishing e social engineering sono cresciuti del 75%.
Perché una sola password compromessa può fare molto più danno del previsto
L’errore più comune è pensare al problema in modo isolato, del tipo “mi hanno rubato la password, la cambio e il problema è risolto”. Il meccanismo reale è diverso.
La maggior parte delle volte non viene sottratta solo la password, ma anche cookie di sessione ancora attivi, token di autenticazione, file locali, dati salvati nel browser. Questo consente agli attaccanti di presentarsi come utenti legittimi, bypassando i controlli tradizionali. In altre parole, non forzano nessuna porta, la aprono con la chiave giusta.
Il Verizon Data Breach Investigations Report 2025, che analizza oltre 22.000 incidenti reali, documenta che le credenziali compromesse sono il principale vettore di accesso iniziale nei data breach, presenti nel 22% dei casi. L’88% degli attacchi contro applicazioni web ha coinvolto credenziali rubate.
C’è, poi, un ulteriore dato che aggrava la situazione ed è relativo sulle abitudini degli utenti: in media, solo il 49% delle password di una persona risulta distinto tra servizi diversi. La metà delle password viene riusata. Questo trasforma una singola esposizione in un rischio che si propaga su account aziendali, VPN, CRM, e-mail di lavoro.
Le conseguenze operative possono essere pesanti. Con un accesso legittimo, l’attaccante può muoversi all’interno della rete, leggere la posta, accedere a documenti riservati, pianificare un attacco ransomware o compromettere la catena di fornitura. Secondo IBM, la durata media tra compromissione e contenimento di una breach supera i 240 giorni. Quando l’accesso avviene con identità valide, i sistemi non generano alert automatici e si arriva a 246 giorni. Quasi un anno di finestra aperta, spesso senza saperlo.
ENISA, l’Agenzia europea per la cybersicurezza, stima che gli infostealer siano la causa di oltre il 50% degli attacchi ransomware.
Il rischio invisibile: quando i sistemi non vedono nulla di anomalo
La caratteristica più insidiosa di questo tipo di minaccia è che non produce segnali evidenti. Le credenziali vengono sottratte in silenzio, spesso in contesti esterni all’azienda quali un servizio usato da un dipendente fuori dall’ufficio, una vecchia registrazione, un dispositivo personale. Come detto, l’accesso avviene con identità corrette, quindi i sistemi non rilevano anomalie e tutto sembra “normale”.
Un’analisi su oltre 140.000 utenze aziendali monitorate ha rilevato che il 6% degli account usava una password già presente nei database di credenziali esposte del dark web, e il 25% aveva la password impostata senza scadenza. In entrambi i casi, nessun alert o segnalazione di violazione.
Alla luce di tutto ciò, dunque, la domanda che ogni azienda dovrebbe porsi non è tanto “abbiamo password sicure?“, quanto, piuttosto, “le nostre credenziali stanno già circolando da qualche parte?” Senza strumenti di monitoraggio esterno e il supporto di professionisti del settore, la risposta è quasi impossibile da ottenere in autonomia, soprattutto per piccole e medie realtà.
Come Orazero monitora le credenziali esposte per le aziende
Orazero, la nostra divisione cybersecurity, ha sviluppato un servizio dedicato al monitoraggio delle credenziali esposte al fine di rispondere a quella domanda in modo continuo e operativo.
Il monitoraggio copre il web pubblico, i database di dati compromessi e i circuiti del dark web, con l’obiettivo di individuare credenziali associate al dominio aziendale del cliente. Non è un’analisi una tantum, ma un’attività continuativa in grado di far fronte a un problema che non è statico.
Il servizio prevede tre fasi:
- un’analisi preliminare che fotografa l’esposizione attuale
- un report dettagliato con le credenziali eventualmente compromesse e il contesto in cui circolano
- un insieme di indicazioni operative per agire concretamente.
L’obiettivo è trasformare un rischio invisibile in un dato misurabile, prima che qualcuno lo sfrutti.
Scopri se le tue credenziali sono già esposte
Planetel non è soltanto un fornitore di servizi, ma un vero e proprio partner in grado di guidarti nel complesso panorama della trasformazione digitale. Non vogliamo farti acquistare una soluzione a scatola chiusa, ma il primo passo è capire se il problema esiste già.
Ecco perché, con Orazero, offriamo la possibilità di richiedere un’analisi preventiva delle credenziali associate al tuo dominio aziendale. Solo in un’eventuale seconda fase andremo a strutturare una strategia su misura.
Scrivici a [email protected] o chiamaci allo 035 204461. Ti aiutiamo a vedere quello che normalmente non si vede.
Fonti:
CERT-AGID Report 2025 (febbraio 2026)
ACN Report Infostealer (febbraio 2026)
ACN Operational Summary gennaio-febbraio 2026
Rapporto Clusit 2026 (marzo 2026)
Verizon Data Breach Investigations Report 2025
ENISA Threat Landscape 2025
IBM Cost of a Data Breach 2025