C’\u00e8 un tipo di minaccia che non manda avvisi, non blocca sistemi, non genera errori, non fa scattare alert. Semplicemente qualcuno entra nella tua rete usando le tue credenziali, ottenute altrove, gi\u00e0 pronte all’uso.<\/p>\n\n\n\n
Questa minaccia \u00e8 legata al tema delle credenziali esposte<\/strong>, che oggi \u00e8 uno dei rischi pi\u00f9 diffusi ma sottovalutati dell\u2019intero panorama della cybersecurity<\/a>.<\/p>\n\n\n\n Le credenziali esposte sono username, password e altri dati di accesso che circolano online<\/strong> senza che il legittimo proprietario ne sappia nulla<\/strong>. Non succede perch\u00e9 qualcuno ha violato direttamente i sistemi aziendali, ma spesso avviene in contesti apparentemente lontani.<\/p>\n\n\n\n Il phishing<\/a> \u00e8 uno dei canali pi\u00f9 efficaci: e-mail costruite per sembrare comunicazioni ufficiali che convincono l’utente a inserire le proprie credenziali su pagine false. Oppure i malware<\/strong>, che operano in modo ancora pi\u00f9 silenzioso: una volta installati sul dispositivo della vittima, raccolgono password salvate nel browser, cookie di sessione, token di autenticazione, dati di compilazione automatica. Tutto in automatico, senza che nessuno se ne accorga. Poi ci sono le violazioni di database<\/strong>: quando un servizio online viene attaccato, le credenziali degli utenti registrati vengono esfiltrate e spesso rese disponibili su forum del dark web o vendute a broker specializzati.<\/p>\n\n\n\n Ci\u00f2 che accomuna tutti questi metodi \u00e8 che, una volta fuori, quelle credenziali non scompaiono. Restano disponibili per mesi o, a volte, per anni.<\/p>\n\n\n\n Il tema viene spesso percepito come qualcosa che riguarda grandi multinazionali o la pubblica amministrazione o, ancora, i governi. Perch\u00e9 mai qualcuno dovrebbe essere interessato ai miei dati, o a quelli della mia piccola impresa? I dati dicono il contrario, e il pericolo delle credenziali esposte accomuna tutti indistintamente.<\/p>\n\n\n\n Il Report 2025 del CERT-AGID documenta 3.620 campagne malevole che hanno interessato il territorio italiano nel corso dell’anno, con oltre 51.500 indicatori di compromissione<\/strong>. Il 60% dei malware analizzati rientra nella categoria degli infostealer, progettati appunto per raccogliere dati di accesso. L’abuso della PEC come vettore di attacco \u00e8 cresciuto dell’80%: le caselle di posta certificata compromesse vengono usate per distribuire malware o lanciare campagne di phishing, sfruttando la fiducia che gli utenti ripongono in quel canale.<\/p>\n\n\n\n L’ACN, l’Agenzia per la Cybersicurezza Nazionale, ha pubblicato a febbraio 2026 il primo report istituzionale italiano dedicato esclusivamente agli infostealer. I dati che riguardano il nostro Paese sono precisi: nel solo 2025, il malware LummaC2 ha sottratto oltre 940.000 credenziali riconducibili a soggetti italiani, RedLine Stealer ne ha sottratte 634.000, DcRat circa 470.000. Nei report mensili dell’ACN di gennaio e febbraio 2026, il vettore di compromissione pi\u00f9 ricorrente \u00e8 stato lo stesso in entrambi i mesi: l’utilizzo di credenziali valide precedentemente sottratte<\/strong>.<\/p>\n\n\n\n Non \u00e8 un trend in calo. Il Rapporto Clusit 2026, presentato a marzo, registra 507 incidenti informatici gravi in Italia nel 2025, il 42% in pi\u00f9 rispetto all’anno precedente<\/strong>. Phishing e social engineering sono cresciuti del 75%.<\/p>\n\n\n\n L’errore pi\u00f9 comune \u00e8 pensare al problema in modo isolato, del tipo “mi hanno rubato la password, la cambio e il problema \u00e8 risolto”. Il meccanismo reale \u00e8 diverso.<\/p>\n\n\n\n La maggior parte delle volte non viene sottratta solo la password, ma anche cookie di sessione ancora attivi, token di autenticazione, file locali, dati salvati nel browser. Questo consente agli attaccanti di presentarsi come utenti legittimi, bypassando i controlli tradizionali. In altre parole, non forzano nessuna porta, la aprono con la chiave giusta<\/strong>.<\/p>\n\n\n\n Il Verizon Data Breach Investigations Report 2025, che analizza oltre 22.000 incidenti reali, documenta che le credenziali compromesse sono il principale vettore di accesso iniziale nei data breach, presenti nel 22% dei casi. L’88% degli attacchi contro applicazioni web ha coinvolto credenziali rubate.<\/p>\n\n\n\n C’\u00e8, poi, un ulteriore dato che aggrava la situazione ed \u00e8 relativo sulle abitudini degli utenti: in media, solo il 49% delle password di una persona risulta distinto tra servizi diversi. La met\u00e0 delle password viene riusata<\/strong>. Questo trasforma una singola esposizione in un rischio che si propaga su account aziendali, VPN, CRM, e-mail di lavoro.<\/p>\n\n\n\n Le conseguenze operative possono essere pesanti<\/strong>. Con un accesso legittimo, l’attaccante pu\u00f2 muoversi all’interno della rete, leggere la posta, accedere a documenti riservati, pianificare un attacco ransomware o compromettere la catena di fornitura. Secondo IBM, la durata media tra compromissione e contenimento di una breach supera i 240 giorni. Quando l’accesso avviene con identit\u00e0 valide, i sistemi non generano alert automatici e si arriva a 246 giorni. Quasi un anno di finestra aperta, spesso senza saperlo.<\/p>\n\n\n\n ENISA, l’Agenzia europea per la cybersicurezza, stima che gli infostealer siano la causa di oltre il 50% degli attacchi ransomware<\/strong>.<\/p>\n\n\n\n La caratteristica pi\u00f9 insidiosa di questo tipo di minaccia \u00e8 che non produce segnali evidenti<\/strong>. Le credenziali vengono sottratte in silenzio, spesso in contesti esterni all’azienda quali un servizio usato da un dipendente fuori dall’ufficio, una vecchia registrazione, un dispositivo personale. Come detto, l’accesso avviene con identit\u00e0 corrette, quindi i sistemi non rilevano anomalie e tutto sembra \u201cnormale\u201d.<\/p>\n\n\n\n Un’analisi su oltre 140.000 utenze aziendali monitorate ha rilevato che il 6% degli account usava una password gi\u00e0 presente nei database di credenziali esposte del dark web, e il 25% aveva la password impostata senza scadenza. In entrambi i casi, nessun alert o segnalazione di violazione.<\/p>\n\n\n\n Alla luce di tutto ci\u00f2, dunque, la domanda che ogni azienda dovrebbe porsi non \u00e8 tanto “abbiamo password sicure?<\/em>“, quanto, piuttosto, “le nostre credenziali stanno gi\u00e0 circolando da qualche parte?<\/em><\/strong>” Senza strumenti di monitoraggio esterno<\/a> e il supporto di professionisti<\/a> del settore, la risposta \u00e8 quasi impossibile da ottenere in autonomia, soprattutto per piccole e medie realt\u00e0.<\/p>\n\n\n\n Orazero<\/a>, la nostra divisione cybersecurity, ha sviluppato un servizio dedicato al monitoraggio delle credenziali esposte al fine di rispondere a quella domanda in modo continuo e operativo.<\/p>\n\n\n\n Il monitoraggio copre il web pubblico, i database di dati compromessi e i circuiti del dark web, con l’obiettivo di individuare credenziali associate al dominio aziendale del cliente. Non \u00e8 un’analisi una tantum, ma un’attivit\u00e0 continuativa in grado di far fronte a un problema che non \u00e8 statico.<\/p>\n\n\n\n Il servizio prevede tre fasi:<\/p>\n\n\n\n L’obiettivo \u00e8 trasformare un rischio invisibile in un dato misurabile, prima che qualcuno lo sfrutti.<\/p>\n\n\n\n Planetel non \u00e8 soltanto un fornitore di servizi, ma un vero e proprio partner in grado di guidarti nel complesso panorama della trasformazione digitale. Non vogliamo farti acquistare una soluzione a scatola chiusa, ma il primo passo \u00e8 capire se il problema esiste gi\u00e0.<\/p>\n\n\n\n Ecco perch\u00e9, con Orazero, offriamo la possibilit\u00e0 di richiedere un’analisi preventiva delle credenziali associate al tuo dominio aziendale. Solo in un\u2019eventuale seconda fase andremo a strutturare una strategia su misura.<\/p>\n\n\n\n Scrivici a servizicloud@planetel.it<\/a> o chiamaci allo 035 204461<\/a>. Ti aiutiamo a vedere quello che normalmente non si vede.<\/p>\n\n\n\n Fonti:<\/em><\/strong><\/p>\n\n\n\n CERT-AGID Report 2025 (febbraio 2026)<\/em><\/p>\n\n\n\n ACN Report Infostealer (febbraio 2026)<\/em><\/p>\n\n\n\n ACN Operational Summary gennaio-febbraio 2026<\/em><\/p>\n\n\n\n Rapporto Clusit 2026 (marzo 2026)<\/em><\/p>\n\n\n\n Verizon Data Breach Investigations Report 2025<\/em><\/p>\n\n\n\n ENISA Threat Landscape 2025<\/em><\/p>\n\n\n\n IBM Cost of a Data Breach 2025<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" C’\u00e8 un tipo di minaccia che non manda avvisi, non blocca sistemi, non genera errori, non fa scattare alert. Semplicemente qualcuno entra nella tua rete usando le tue credenziali, ottenute altrove, gi\u00e0 pronte all’uso. Questa minaccia \u00e8 legata al tema delle credenziali esposte, che oggi \u00e8 uno dei rischi pi\u00f9 diffusi ma sottovalutati dell\u2019intero panorama […]<\/p>\n","protected":false},"author":4,"featured_media":83907,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[698,702,717,718,719],"tags":[1039,384,974],"service_category":[313],"class_list":["post-83905","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-servizi-it-cloud","category-cybersecurity","category-attivita-commerciali","category-medie-e-grandi-imprese","category-pubblica-amministrazione","tag-credenziali-esposte","tag-cybersecurity","tag-orazero","service_category-servizi-it-cloud"],"acf":[],"yoast_head":"\nCosa significa, in pratica, avere credenziali esposte<\/h2>\n\n\n
I numeri: un problema strutturale, non episodico<\/h3>\n\n\n
Perch\u00e9 una sola password compromessa pu\u00f2 fare molto pi\u00f9 danno del previsto<\/h2>\n\n\n
Il rischio invisibile: quando i sistemi non vedono nulla di anomalo<\/h2>\n\n\n
Come Orazero monitora le credenziali esposte per le aziende<\/h2>\n\n\n
\n
Scopri se le tue credenziali sono gi\u00e0 esposte<\/h3>\n\n\n
\n\n\n\n